[datensicherheit.de, 21.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Meldung auf einen schweren Datenschutz-Vorfall mit Patientenakten ein. In der Liegenschaft des seit Jahren leerstehenden Krankenhauses in Büren wurden demnach seit 2010 Tausende von Krankenakten ungesichert gelagert. Die ursprünglich für die Akten verantwortliche Krankenhausträgergesellschaft, ein Tochterunternehmen der Marseille Kliniken, habe 2010 Insolvenz angemeldet und danach den Klinikbetrieb im gleichen Jahr eingestellt.

HmbBfDI

Prof. Dr. Johannes Caspar: HmbBfDI legt Beschwerde beim OVG Hamburg ein

Sicherung der Krankenakten im leerstehenden Gebäude in Büren erfolgte über Jahre nicht

Der Insolvenzverwalter habe das Grundstück nach Ende des Insolvenzverfahrens an den ursprünglichen Eigentümer, ein Tochterunternehmen der Marseille Kliniken mit Registersitz in Hamburg, zurückgegeben. Das Krankenhausgelände sei seither zeitweilig durch einen Hausmeister betreut worden. „Eine Sicherung der Krankenakten im leerstehenden Gebäude erfolgte nicht.“
Über diesen Fall sei im Mai 2020 auf YouTube detailliert berichtet worden. Dies habe eine breite Medienwirksamkeit erzielt. „Die öffentliche Berichterstattung führte dazu, dass sich ehemalige Patienten über die frei zugängliche Lagerung ihrer Patientenakten bei der Behörde für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen beschwerten.“ Zudem sei die Liegenschaft in der Folge mehrmals durch unbefugte Personen betreten worden, welche sich aus Neugier oder mit dem Vorsatz, dort Dinge zu entwenden, widerrechtlich Zugang zum Gebäude verschafft hätten.

Wegen wiederkehrenden Einbruchsversuchen in Büren ordnete HmbBfDI sofortige Vollziehbarkeit der Grundverfügung an

„Da die Grundstücksgesellschaft ihren Registersitz und die Muttergesellschaft ihren Hauptsitz in Hamburg hat, wurden die Beschwerden an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) abgegeben.“ Dieser hat nach eigenen Angaben in Abstimmung mit der Stadt Büren als zuständige Ordnungsbehörde weitergehende Sicherungsmaßnahmen eingeleitet. Dennoch sei es zu erneuten Versuchen unbefugter Personen gekommen, sich Zutritt zu den Aktenräumen zu verschaffen. Dies habe die Beauftragung eines 24-Stunden vor Ort befindlichen Sicherheitsdienstes erforderlich gemacht.
Mit Bescheid vom 23. Juni 2020 habe der HmbBfDI gegenüber der Grundstückseigentümerin, einer Schwestergesellschaft der ursprünglichen Krankenhausbetreibergesellschaft, angeordnet, die Krankenakten in einer datenschutzgerechten Weise zu lagern und – um die Rechte von Betroffenen an den Daten zu sichern – diese durch einen Träger der ärztlichen Schweigepflicht in Obhut zu nehmen. „Aufgrund der akuten Gefährdungslage durch wiederkehrende Einbruchsversuche ordnete der HmbBfDI die sofortige Vollziehbarkeit der Grundverfügung an.“

VG Hamburg sieht im bloßen Vorhandensein der Aktenbestände in Büren nur einen Zustand

Dem Antrag der Eigentümerin auf Wiederherstellung der aufschiebenden Wirkung habe das VG Hamburg im einstweiligen Rechtsschutzverfahren nun mit der Begründung stattgegeben, dass es sich bei der streitgegenständlichen Lagerung der Patientenakten „unter keinem rechtlichen Gesichtspunkt um einen (der Antragstellerin) zurechenbaren Verarbeitungsvorgang“ im Sinne der Datenschutzgrundverordnung (DSGVO) handele. Vielmehr sei das bloße Vorhandensein der Aktenbestände in dem Gebäudekomplex der Antragstellerin ein bloßer Zustand. Gefordert sei vom Verarbeitungsbegriff eine relevante Zustandsveränderung, die vorliegend durch das bloße Lagern nicht gegeben sei. Eine datenschutzrechtliche Garantenpflicht kenne das Gesetz nicht.
Dieser Beschluss sei unter datenschutzrechtlichen Gesichtspunkten zu hinterfragen, so der HmbBfDI. Die verengende Auslegung des Begriffs der Verarbeitung sei geeignet, erhebliche Rechtsschutzlücken für Grundrechte betroffener Personen zu hinterlassen. Im Fall der Rechtsnachfolge einer verantwortlichen Stelle reiche demnach bloßes Nichtstun, um die Regelungen des Datenschutzes ins Leere laufen zu lassen: „Betroffene haben nach diesen Bestimmungen weder die Möglichkeit, Auskunft über ihre Daten zu bekommen, noch Widerspruch gegen die Datenhaltung zu erheben oder ihre Löschung zu verlangen.“

HmbBfDI fordert Prüfung: Lagern von Daten in eigenen Räumen in Büren gegenüber Betroffenen ggf. eine Verarbeitung

Betroffene hätten dann weder ein Recht auf Beschwerde bei einer unabhängigen Stelle, noch können sie die Einhaltung der erforderlichen technisch-organisatorischen Sicherungsmaßnahmen verlangen. Die Anwendung des zivilrechtlichen Unterlassungsanspruchs gegen den rechtswidrigen Umgang mit Daten sei „juristisch problematisch“ und dürfte bei fehlender Verantwortlichkeit ohnehin nicht durchsetzbar sein. Eine grundrechtskonforme Auslegung, welche das Verwaltungsgericht vorliegend offenbar nicht in Betracht ziehe, könne hierbei weiterhelfen:
Insoweit wäre zu prüfen, ob nicht das Lagern von Daten in den eigenen Räumen gegenüber den Betroffenen eine Verarbeitung darstellt, worauf auch die englische Wortbedeutung des Begriffs des „Storing“ (Lagerung) hindeute, welcher den Verarbeitungsbegriff in der DSGVO konkretisiere. Im Übrigen begegne es erheblichen Bedenken, dass durch besondere gesellschaftsrechtliche Betriebsaufspaltungen die datenschutzrechtliche Verantwortlichkeit auf einen Rechtsträger verlagert werden könne, der dann insolvenzbedingt untergehen könne, „ohne dass Mutter- oder Tochtergesellschaft datenschutzrechtliche Pflichten treffen“.

Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort in Büren gesichert

„Wir haben in den vergangenen Wochen alles getan, um die Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort zu sichern. Dafür hatten wir uns mit der Stadt Büren, der Bezirksregierung Detmold, dem Minister für Arbeit, Gesundheit und Soziales des Landes Nordrhein- Westfalen sowie mit unseren Kollegen des LfDI NRW abgestimmt. Dass in dem vorliegenden Fall nun keine Zuständigkeit für eine Aufsichtsbehörde im Bereich des Datenschutzes bestehen soll, kommt nicht nur für uns überraschend“, führt Prof. Dr. Johannes Caspar, der HmbBfDI, aus.
Der Beschluss des VG Hamburg werfe viele Fragen auf, welche insbesondere den weiteren Umgang mit den Patientenakten der Ordnungsbehörden vor Ort und letztlich auch die Durchsetzung der Rechte zahlreicher Betroffener erheblich erschwerten. „Wir haben daher Beschwerde gegen den Beschluss beim OVG Hamburg eingelegt um sicherzustellen, dass das Datenschutzrecht für Patientendaten am Standort Büren gilt“, berichtet Professor Caspar. Gleichzeitig müsse grundsätzlich geklärt werden, „dass ein umfassender Schutz gerade von besonders sensiblen Daten in derartigen Fallgruppen gewährleistet wird, der nicht durch spezifische Konzernstrukturen unterlaufen werden kann“.

Weitere Informationen zum Thema:

ItsMarvin auf YouTube, 29.05.2020
LOSTPLACES: UNGLAUBLICH! DIESES KRANKENHAUS IST 10 JAHRE ZU !

datensicherheit.de, 25.06.2020
EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt

[datensicherheit.de, 14.04.2020] Angriffe auf die IT-Systeme von Krankenhäusern und andere Einrichtungen, wie Universitäten und Stadtverwaltungen haben die Risiken von Cyberattacken auf Strukturen des Gesundheitswesens deutlich vor Augen geführt. Dies gilt auch in der gegenwärtigen Phase der Corona-Pandemie, wie ein Vorfall in Tschechien zeigt, bei dem erneut ein Krankenhaus durch einen entsprechenden Angriff lahmgelegt wurde.

Angemessene IT-Sicherheit gerade in Krisenzeiten von Bedeutung

„Eine angemessene IT-Sicherheit ist gerade in Krisenzeiten von Bedeutung, dann zahlt es sich aus, wenn man bereits in ruhigeren Zeiten gut aufgestellt ist“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Dieter Kugelmann. „Wir wissen, dass das Gesundheitswesen allgemein und die Krankenhäuser im Besonderen gegenwärtig in außergewöhnlichem Umfang durch die Corona-Pandemie beansprucht sind. Das sollte jedoch nicht dazu führen, dass Sicherheitsaspekte vernachlässigt werden. Aktuelle Vorfälle wie der in Tschechien zeigen, dass auch und vielleicht gerade in Ausnahmesituationen Schwachstellen ausgenutzt werden und Cyberattacken auf Krankenhäuser stattfinden“, so der Landesbeauftragte. „Gerade dann, wenn schnelle Lösungen wichtig sind, um zeitnah und angemessen agieren zu können, sollten diese verlässlich und sicher sein. Dies gilt für die Datensicherheit ebenso wie für den Datenschutz. Wir haben jedoch den Eindruck, dass derzeit an vielen Stellen Digitalisierungslösungen Einzug halten, die unter großem zeitlichem Druck implementiert werden und Improvisationscharakter haben. So nachvollziehbar dies auch sein mag, so problematisch ist dies, wenn diese Provisorien die gegenwärtige Akutsituation überdauern. Es ist dann nur eine Frage der Zeit, bis noch andere Bedrohungen als Corona das Gesundheitssystem belasten.“

Runder Tisch IT-Sicherheit Krankenhäuser eingerichtet

Nach entsprechenden Vorfällen im zurückliegenden Jahr wurde in Rheinland-Pfalz ein „Runder Tisch IT-Sicherheit Krankenhäuser“ eingerichtet, der zwischenzeitlich unter Beteiligung des Landesbeauftragten Vorschläge für übergeordnete Maßnahmen und Empfehlungen an die Krankenhäuser erarbeitet hat, um diese dabei zu unterstützen, Angriffen auf Computersystemen präventiv entgegenzuwirken oder ihre Folgen einzudämmen. „Gemeinsam mit dem branchenspezifischen Sicherheitsstandard zur Informationssicherheit im Krankenhaus sind die Empfehlungen ein wichtiger Baustein zur Unterstützung der Krankenhäuser im Bereich der Informationssicherheit“, so Kugelmann. „Dies gilt auch in Zeiten einer Pandemie, in der IT-Strukturen anfälliger sind als in normalen Zeiten.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

[datensicherheit.de, 17.01.2017] 30 Prozent der staatlichen britischen Krankenhausorganisationen, sog. NHS Trusts, sollten laut einer aktuellen Befragung von SentinelOne bereits Opfer eines Ransomware-Angriffs geworden sein. Sowohl sensible Patientendaten als auch die Gesundheit der Patienten seien damit in Gefahr. Ein Krankenhausverbund – der Imperial College Healthcare NHS Trust – habe sich dabei als besonders beliebte Zielscheibe für Ransomware-Erpresser erwiesen und sei innerhalb eines Jahres von 19 Attacken heimgesucht worden.

Antivirus-Software nur unzureichender Schutz

91 der insgesamt 129 von SentinelOne kontaktierten NHS Trusts hätten bezüglich erlittener Ransomware-Angriffe Auskunft gegeben, drei Trusts eine Antwort abgelehnt, da sie wirtschaftliche Nachteile befürchteten.
Obwohl fast alle befragten Krankenhäuser Antivirus-Software installiert hätten, um ihre Endgeräte vor Malware zu schützen, sei der Großteil von ihnen nicht von Ransomware verschont geblieben. So sei das Leeds Teaching Hospital innerhalb von zwölf Monaten fünfmal attackiert worden.
Laut Befragung habe jedoch keiner der NHS Trusts das geforderte Lösegeld bezahlt und auch die Polizei sei in keinem Fall informiert worden. Vielmehr hätten es die Betroffenen vorgezogen, den Ransomware-Angriff intern zu bewältigen.

Zugang häufig über vernetztes unternehmenseigenes Gerät

15 der betroffenen Krankenhausorganisationen seien in der Lage gewesen, nähere Informationen zum Ursprung der Ransomware-Infektion zu geben. So hätten sich die Angreifer in 87 Prozent der Fälle über ein vernetztes unternehmenseigenes Gerät Zugang verschafft, wobei 80 Prozent der Opfer Ziel eines Phishing-Angriffs gewesen seien.
Die Mehrheit der betroffenen Krankenhäuser sei dabei nicht in der Lage gewesen, die Ransomware-Angreifer zu identifizieren. Einzig ein Opfer habe bestätigen können, von organisierten Cyber-Kriminellen attackiert worden zu sein.

Auch deutsche Krankenhäuser im Fokus

Ransomware-Angriffe auf Krankenhäuser, bei denen die Dateien auf der Festplatte ihrer Opfer verschlüsselt und nur gegen Zahlung von Lösegeld wieder freigeben werden, sorgten seit einigen Monaten weltweit für Aufregung.
Nach der Infizierung mit dem aggressiven Krypto-Trojaner „Locky“ im Februar 2016 habe etwa das Hollywood Presbyterian Medical Center in Los Angeles 12.000 US-Dollar Lösegeld bezahlt. Aber auch Gesundheitseinrichtungen in Deutschland stünden im Fokus der Ransomware-Hacker, wie das Lukaskrankenhaus in Neuss 2016 habe erfahren müssen.

Mangelnde Sicherheit erleichtert lebensgefährliche Manipulationen

Tony Rowan, „Chief Security Consultant“ bei SentinelOne: „Die Ergebnisse unserer Befragung sind wenig überraschend.“ Der Öffentliche Sektor stehe bei Hackern und Betrügern ganz hoch im Kurs, denn knappe Budgets und Ressourcen sorgten für Sicherheitslücken und machten diese Einrichtungen angreifbar. Die Ergebnisse bestätigten auch wieder einmal, dass herkömmliche AV-Technologien im Kampf gegen bösartige und mutierende Malware-Formen „ohnmächtig“ seien und in Sachen Endgeräteschutz ein neuer dynamischer Ansatz unumgänglich sei, betont Rowan.
In der Vergangenheit habe die britische Datenschutzbehörde einige NHS Trusts bereits wegen ihrer schlechten Bilanz bei Datenpannen und Datenschutzverletzungen gerügt.
„Und mit der stetig steigenden Zahl vernetzter Medizingeräte – von Dialysegeräten bis zu Herzfrequenzmonitoren – steigt schließlich auch das Risiko, dass mangelnde Sicherheitspraktiken zu lebensgefährlichen Manipulationen führen“, warnt Rowan.

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2012
Sachsen-Anhalt: Patientendaten auf USB-Stick an externen Berater geschickt

datensicherheit.de, 01.10.2011
Datenretter Attingo findet Patientendaten auf gebrauchten Festplatten

Von unserer Gastautorin Eylem Bozlak, ebo

[datensicherheit.de, 17.11.2016] Mit zunehmender Digitalisierung eröffnen sich auch neue Chancen für Cyberkriminelle. In der letzten Zeit konnten zunehmend gezielte Angriffe auf Unternehmen beobachtet werden, durch die Schäden in Milliardenhöhe verusacht wurden. Als Ziel von Cyberangriffen stehen inzwischen insbesondere auch Krankenhäuser und Behörden im Fokus von Kriminellen.
Der zunehmende Trend zu BYOD– (bring your own device) Möglichkeiten stellt vor diesem Hintergrund eine besondere Herausforderung dar, denn sensible Daten werden vermehrt und ohne große Bedenken in der Cloud oder auf privaten Geräten gespeichert.

Größere Arbeitseffizienz durch mobile IT-Geräte in Krankenhäusern

Im Falle des Krankenhauses sind mobile IT-Geräte ein Gewinn für die Arbeitseffizienz. Der reibungslose Austausch der Daten zwischen Krankenhäusern, Verwaltungsstellen oder eigenem Personal erfolgt automatisch einfacher. Ein angenehmer Zusatzeffekt für das Krankenhauspersonal ist, dass die Patienteninformationen vor dem Krankenbett oder OP-Saal unmittelbar zur Verfügung stehen und sofort eine unterstützende Hilfestellung gegeben ist. Die digitale Patientenakte wird zunehmend zur Pflichtkür und ist notwendig.

Schutz personenbezogener Daten wird schwieriger

Die Speicherung von Patientendaten auf den mobilen IT-Geräten hat jedoch zur Folge, dass die personenbezogenen Informationen nicht mehr auf den eigenen Servern liegen oder vor unbefugtem Zugriff umfangreich geschützt werden können.

Soll man aber aufgrund der Risiken des digitalen Wandels auf die sich bietenden Chancen verzichten?

„Die Antwortet lautet nein“, sagt Lukas Rasegi, der Geschäftsführer der Unicept GmbH aus Hannover. „Das IT-Sicherheitsgesetz besagt, dass der Mitarbeiter beim Verlassen seines Arbeitsplatzes sein Gerät sperren sollte, um Patienteninformationen vor unberechtigtem Zugriff zu schützen. Viele vergessen es im Alltagsstress jedoch immer wieder. Daher sind, insbesondere im Gesundheits- und Public Sektor, einfach zu handhabende Lösungen gefragt, die den Mitarbeiter in seinen Abläufen nicht behindert.“, ergänzt er weiter.

© Unicept GmbH

Smartcard-Reader AirID

Unicept hat mit dem Smartcard-Reader AirID hat eine solche Lösung entwickelt. Verlässt der Mitarbeiter seinen Arbeitsplatz oder sein Arbeitsgerät, wird dieses anhand der Bluetooth Low Energy Verbindung zwischen AirID und mobilem Gerät/PC vollautomatisch ohne Mausklick oder Berührung gesperrt. Ebenfalls ermöglicht der Smartcard Reader eine komfortable Nutzung von 2-Faktor-Authentifizierung sowie E-Mail-Signierung und Verschlüsselung. Die sichere AES 256 Verschlüsselung sorgt dafür, dass die vertraulichen Daten sicher übertragen werden. Darüber hinaus kann der Nutzer seine Unternehmens PKI- Karte immer im Reader lassen und überall bei sich tragen und verwenden, da die bedruckte Seite sichtbar bleibt. NFC-Funktionen der Karte, z.B. für Zugangskontrolle und Zeiterfassung bleiben dabei erhalten.

Hier die wichtigsten Eigenschaften im Überblick:
­

• 2-Faktor-Authentifizierung
• Distanzlogout-Funktion
• Übertragung via Bluetooth-Low-Energy mit AES 256-Verschlüsselung
  ­
• Plattformunabhängige Funktionsweise, um PKI-verschlüsselte Daten zu versenden und zu empfangen
• Deutsche Herstellung und unkomplizierte Integration in die Unternehmensinfra-
  struktur

Über die Autorin:

Eylem Bozlak ist Marketing Managerin bei der Unicept GmbH in Hannover

Ansprechpartner:

Wolfgang Moschell, womo
Telefon: +49 (0) 511 / 53349838
Telefax: +49 511 / 16 99 75 73
E-Mail: moschell [at] unicept [dot] de

Weitere Informationen zum Thema:

AirID – Bluetooth Kartenlesegerät

[datensicherheit.de, 20.02.2016] Ein von KASPERSKY lab durchgeführter Test mit dem Titel „How I hacked my hospital“ hat nach eigenen Angaben aufgezeigt, dass Cybererpressung über Ransomware nicht der einzige wunde Punkt innerhalb der Krankenaus-IT ist. Auch Patientendaten und Geräte seien angreifbar.

Vielfältige Angriffsszenarien für Krankenhäuser

In den letzten Tagen wurden Schadensvorfälle an deutschen Krankenhäuser aufgrund von Angriffen mit Ransomware-Vorfällen publik. Laut Medienberichten hätten zeitweise Befunde per Telefon oder Fax anstatt in digitaler Form übermittelt werden müssen.
Cyberangriffs-Szenarien auf Krankenhäuser gehen allerdings über solche Ransomware-Angriffe hinaus. Über IT-Sicherheitslücken könnten Patientendaten manipuliert oder entwendet werden. Bei den in Krankenhäusern verwendeten modernsten medizinischen, mit Computertechnologie ausgestatteten Geräten würden oftmals erforderliche IT-Schutzvorkehrungen vernachlässigt, erklärt Holger Suhl, „General Manager DACH“ bei KASPERSKY lab. Dadurch könnten Cyberkriminelle Zugriff auf solche Geräte und beispielsweise auch auf sensible Patientendaten erhalten. Im schlimmsten Fall wäre auch eine Neukonfiguration der Geräte und somit Sabotage oder gefälschte Diagnosen denkbar.

KASPERSKY-Experiment zeigt Bedeutung von „Shodan“

KASPERSKY lab hat laut Sergey Lozhkin in einem Experiment aufzeigen können, dass Krankenhäuser über ihre IT-Infrastruktur angreifbar seien.
Über „Shodan“ — eine Suchmaschine für das Internet der Dinge (IoT) — sei der Sicherheitsforscher auf medizinische Geräte in einem Krankenhaus gestoßen, dessen Geschäftsführer mit Lozhkin befreundet sei. Lozhkin habe mit ihm beschlossen, einen Sicherheitstest durchzuführen, um herauszufinden, ob ein Cyberangriff auf ein Krankenhausnetzwerk grundsätzlich möglich sei. Dieser Test habe unter strengsten Rahmenbedingungen stattgefunden. Patienten sowie deren sensible Daten seien hermetisch abgeschirmt und somit vor dem künstlichen Cyberangriff geschützt gewesen. Für den Test seien speziell Test-Daten geschaffen und im Netzwerk platziert worden; so sei sichergestellt gewesen, keine realen Patientendaten anzutasten.

WLAN als Schachstelle

Der erste Versuch sei noch gescheiterte – Lozhkin sei es nicht gelungen, das Krankenhaus von außerhalb zu kompromittieren, da die
Systemadministratoren der Klinik bei dem Fernangriffsversuch die richtigen Sicherheitsmaßnahmen getroffen hätten. Allerdings habe er sich dann über ein nicht sicher eingerichtetes lokales WLAN in die Infrastruktur des Krankenhauses Zugang verschafft. Indem er den Netzwerkschlüssel geknackt habe, sei er in der Lage gewesen, auf beinahe das komplette Kliniknetzwerk zuzugreifen, einschließlich einiger Geräte zur Datenspeicherung und -analyse. Über eine Applikationsschwachstelle habe er zudem auf einen tomographischen Scanner zugreifen können.
Die Folgen eines möglichen Cyberangriffs wären fatal: Neben der Manipulation von Patientendaten hätte auch der Scanner direkt attackiert werden können, so Lozhkin.

KASPERSKYs Sicherheitsempfehlungen für Krankenhäuser

Organisationen, die sensible Infrastruktursysteme unterhalten, sollten neben allgemeingültigen Sicherheitsmaßnahmen im Netzwerk laut KASPERSKY lab auf folgende Sicherheitsaspekte achten:

• Sensible Geräte und Systeme wie zum Beispiel medizintechnische Apparate müssen vom regulären IT-Netzwerk getrennt sein. Über eine Segmentierung von kritischen Systemen innerhalb des Internets der Dinge wird mehr Sicherheit geschaffen.
• Entwickler medizinischer Geräte sowie die Krankenhausleitung und -verwaltung sollten sich mit dem Thema Cybersicherheit verstärkt auseinandersetzen, zum Beispiel über IT-Sicherheitsschulungen. Zudem müssen regelmäßig IT-Sicherheitstests und -revisionen durchgeführt werden.
• Auf Sicherheits-Schwachstellen achten: Entwickler von „IoT“-fähigen Geräten sollten mehr in die IT-Sicherheit ihrer Produkte investieren. Bei der Anschaffung entsprechender Geräte sollte auf den Aspekt „Security-by-Design“ geachtet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2016
Locky-Attacken: Vorsorgemaßnahmen gegen Cybererpressung

KASPERSKA lab DAILY, 11.02.2016
Medizintechnik unter Beschuss: Wie man ein Krankenhaus hackt

Kaspersky Lab auf YouTube, 09.02.2016
How I hacked my hospital

[datensicherheit.de, 03.06.2009] Johannes Caspar, Hamburger Datenschutzbeauftragter, sieht erhebliche Defizite in der Datensicherheit von Krankenhauspatienten.
Das papierlose Krankenhaus setze sich durch. Datenschutzrechtliche Prüfungen im UKE und bei Asklepios sowie Workshops mit den Datenschutzbeauftragten der Hamburger Krankenhäuser offenbarten jedoch erhebliche Missbrauchsgefahren bei der Nutzung der elektronischen Patientenakten. Die immer häufiger genutzte „elektronische Patientenakte“ erlaube es einem großen Kreis von Personen, sich einfach sämtliche Patienteninformationen auf den Bildschirm zu holen.
Die Versuchung für Klinikmitarbeiter, Behandlungsdaten von Bekannten, Kolleginnen und Kollegen oder Prominenten einzusehen, privat zu nutzen oder womöglich an Medien zu verkaufen, sei kein Hirngespinst besonders misstrauischer Datenschützer. Vielmehr gab es Missbrauch auch schon bei der herkömmlichen Papierakte. Bei der elektronischen Patientenakte sei dieser jedoch ungleich leichter – wie auch der Fall einer prominenten Patientin im UKE in der jüngeren Vergangenheit zeige.

Weitere Informationen zum Thema:

Der Hamburgische Datenschutzbeauftragte, 02.06.2009
Papierloses Krankenhaus = gläserner Patient ? / Datenschutz-Risiken der elektronischen Patientenakte