[datensicherheit.de, 12.10.2023] Die USA gelten seit vielen Jahren als Vorreiter relevanter technischer Neuerungen – und somit auch als Indikator für künftige Entwicklungen in Deutschland. Das gilt offensichtlich leider auch für den Bereich der Cyber-Kriminalität: „Insbesondere beeinträchtigen Cyber-Kriminelle inzwischen im großen Maßstab auch das Gesundheitswesen“, so das Ergebnis einer aktuellen Studie des Ponemom-Instituts im Auftrag von Proofpoint.

64% in den letzten zwei Jahren von Cyber-Angriff auf Lieferkette betroffen

Laut dieser Studie haben Cyber-Attacken im letzten Jahr (2022) in zwei Dritteln der Gesundheitseinrichtungen die Patientenversorgung beeinträchtigt. „Im zweiten Jahr in Folge haben wir festgestellt, dass Angriffe direkte negative Auswirkungen auf die Sicherheit und das Wohlergehen der Patienten haben. Unsere Ergebnisse zeigen auch, dass im Vergleich zu 2022 mehr IT- und Sicherheitsexperten ihre Organisation als anfällig für jede Art von Angriff betrachten“, berichtet Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute. Diese Attacken belasteten auch die Ressourcen noch stärker als im letzten Jahr: Die finanziellen Kosten seien im Durchschnitt um 13 Prozent gestiegen und Gesundheitsinstitutionen benötigen 58 Prozent mehr Zeit, um die Auswirkungen auf die Patientenversorgung zu beheben.

Für die Studie wurden demnach 653 IT- und Sicherheitsexperten im Gesundheitswesen befragt. Sie habe ergeben, dass Angriffe auf die Lieferkette die Patientenversorgung am ehesten beeinträchtigen. Fast zwei Drittel (64%) der befragten Organisationen seien in den letzten zwei Jahren von einem Angriff auf die Lieferkette betroffen gewesen. Bei 77 Prozent dieser Unternehmen sei es infolgedessen zu einer signifikanten Störung der Patientenversorgung gekommen (ein Anstieg gegenüber 70% im Jahr 2022). „Business E-Mail Compromise“ (BEC) sei mit Abstand die Angriffsart, die am ehesten den Erfolg einer Behandlung aufgrund von Verzögerungen gefährde (71%), gefolgt von Ransomware (59%). BEC führe auch am ehesten zu vermehrten Komplikationen bei medizinischen Verfahren (56%) und einer längeren Aufenthaltsdauer (55%).

Kosten einer Cyber-Attacke: Anstieg um 13%

Bei den Kosten einer Cyber-Attacke konstatiere die Studie einen Anstieg um 13 Prozent gegenüber dem Vorjahr. Die durchschnittlichen Kosten für die von einer erfolgreichen Cyber-Attacke betroffenen Organisation hätten rund fünf Millionen US-Dollar betragen. Ryan Witt, Vorsitzender des „Healthcare Customer Advisory Board“ bei Proofpoint, kann nach eigenen Angaben den Ergebnissen der Studie zumindest einen positiven Aspekt abgewinnen: „Obwohl das Gesundheitswesen nach wie vor sehr anfällig für Cyber-Attacken ist, finde ich es ermutigend, dass die Führungskräfte der Branche verstehen, wie ein Cyber-Vorfall die Patientenversorgung beeinträchtigen kann.“

Witt zeigt sich optimistisch, dass bedeutende Fortschritte gemacht werden könnten, um Patienten vor den gesundheitlichen Gefahren in Folge solcher Angriffe zu schützen. Die Studie belege, dass sich die Organisationen des Gesundheitswesens der für sie relevanten Cyber-Risiken bereits bewusst seien. Witts abschließender Kommentar: „Jetzt müssen sie mit ihren Branchenkollegen zusammenarbeiten und die Unterstützung der Regierung in Anspruch nehmen, um eine bessere Cyber-Sicherheitslage zu erreichen – und damit die bestmögliche Patientenversorgung zu gewährleisten.“

Weitere Informationen zum Thema:

proofpoint
Threat Report / 2023 Ponemon Healthcare Cybersecurity Report

[datensicherheit.de, 30.06.2021] Ab dem 1. Juli 2021 sind Arztpraxen in Deutschland dazu angehalten, die sogenannte elektronische Patientenakte (ePA) zu befüllen. Für den Branchenverband Bitkom hat dessen Präsident, Achim Berg, hierzu positiv Stellung bezogen und betont die Wichtigkeit, dass im Gesundheitswesen durchgängig digitale Prozesse eingeführt werden.

Bitkom sieht ePA als Kernstück der Digitalisierung des Gesundheitswesens

Die ePA sei „das Kernstück der Digitalisierung des Gesundheitswesens“, so Berg. Mit ihr erhielten die Versicherten einen schnellen Zugriff auf ihre medizinischen Daten, Diagnosen und bald auch ihren Impfpass.
„Sie werden dadurch informierter und souveräner. Das Interesse an der elektronischen Patientenakte unter den Versicherten ist groß: Drei Viertel können sich vorstellen, sie zu nutzen“, berichtet Berg.

Bitkom fordert Ärzte auf, Patienten jetzt aktiv auf ePA-Vorteile hinzuweisen

Ärzte sollten ihre Patienten jetzt aktiv auf die Vorteile der ePa hinweisen: „Neben der technischen Ausstattung braucht es dafür ein digitales ,Mindset‘: Offenheit gegenüber der Digitalisierung und die Bereitschaft, die neuen technischen Möglichkeiten aktiv zu nutzen.“
Die „Corona-Pandemie“ habe uns drastisch vor Augen geführt, wie wichtig Vernetzung, ein funktionierender, sicherer Datenaustausch und die digitale Dokumentation von Untersuchungsergebnissen seien. „Zugleich sind die Zeiten, in denen die Menschen ein Leben lang denselben Hausarzt haben, vorbei. Sie wechseln nicht nur Wohnorte, sondern auch ihre behandelnden Ärztinnen und Ärzte.“

Bitkom-Forderung: Patienten sollten auch ePa eines privaten Anbieters nutzen können

Bei schwerwiegenderen Entscheidungen werde oft auch eine ärztliche Zweitmeinung eingeholt. „Wenn Akten in Papierform abgeheftet werden, sind Doppeluntersuchungen, Sicherheitsdefizite und der Verlust von Informationen programmiert“, sagt Berg und unterstreicht: „Umso wichtiger ist es, dass auch im Gesundheitswesen durchgängig digitale Prozesse eingeführt werden.“
Für den Einsatz der ePa werde schließlich auch entscheidend sein, dass die Versicherten frei zwischen den Anbietern wählen könnten: „Wer eine andere ePa als die seines Versicherers möchte, muss dafür bislang die Krankenkasse wechseln.“ Die ePa eines privaten Anbieters zu wählen, sei nicht möglich, kritisiert Berg und kommentiert: „Dies ist ein tiefgreifender und aus unserer Sicht inakzeptabler Einschnitt in die Wahlfreiheit der Patienten, der umgehend korrigiert werden muss.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.06.2021
Datapuls 2021: Deutsche fürchten bei der ePA den Datenmissbrauch / Patientenumfrage u.a. zur elektronischen Patientenakte im Vorfeld der ePA-Einführung am 1. Juli 2021

datensicherheit.de, 16.02.2021
Prof. Ulrich Kelber fordert weitere Verbesserung der elektronischen Patientenakte / BfDI würde elektronische Patientenakte in jetziger Form nicht nutzen

datensicherheit.de, 07.12.2020
Elektronische Patientenakte: Souveränität der Versicherten über Gesundheitsdaten bewahren / Professor Dieter Kugelmann appelliert an Krankenkassen und Gesetzgeber, Gesundheitsdaten konsequent zu schützen

datensicherheit.de, 03.06.2009
Datenschutz-Risiken bei der elektronischen Patientenakte / Hamburger Datenschutzbeauftragter Caspar sieht die Softwarehersteller in der Pflicht

[datensicherheit.de, 12.01.2021] Das Analystenteam von CybelAngel hat nach eigenen Angaben seinen aktuellen Forschungsbericht „Full Body Exposure“ vorgestellt. Demnach sind im Internet weltweit mehr als 45 Millionen medizinische Bilddateien – darunter Röntgen-, CT- und MRT-Scans – auf ungeschützten Servern für jedermann frei zugänglich, so die Warnung.

In Deutschland auf 251 Servern 39.204 frei zugängliche medizinische Aufnahmen

Der Bericht „Full Body Exposure“ basiere auf Untersuchungen von „Network Attached Storage“ (NAS) und „Digital Imaging and Communications in Medicine“ (DICOM), die über sechs Monate hinweg weltweit durchgeführt worden seien. DICOM sei der De-facto-Standard, den Mediziner zum Senden und Empfangen medizinischer Daten verwendeten. Die Analysten hätten im Rahmen ihrer Recherche aufgedeckt, daDSGVOss Millionen sensibler Bilder und Patientendaten im Internet frei zugänglich seien – unverschlüsselt und ohne Passwortschutz.
Für den Bericht hätten CybelAngel-Tools auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern gescannt. Dabei seien mehr als 45 Millionen medizinische Bilder identifiziert worden, die für jedermann offen zugänglich gewesen seien. Allein in Deutschland hätten die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen gefunden. In Großbritannien seien im gleichen Zeitraum auf 90 Servern 23.238 solcher Bilder entdeckt worden. Die medizinischen Aufnahmen enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglicht hätte. Die Daten ließen sich aus allen identifizierten Quellen problemlos ohne Benutzernamen oder Passwort abrufen. In einigen Fällen akzeptierten Login-Portale auch leere Benutzernamen und Passwörter.

Bessere Schutzvorkehrungen für medizinische Patientendaten notwendig

„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, stellt David Sygula, „Senior Cybersecurity Analyst“ bei CybelAngel und Autor des Berichts „Full Body Exposure“, klar. Trotzdem sei es ihnen ein Leichtes gewesen, besagte Daten zu identifizieren und problemlos darauf zuzugreifen.
Diese besorgniserregende Entdeckung beweise, dass schnell deutlich strengere Sicherheitsprozesse eingeführt werden müssten, so der Analyst. „Die Art und Weise, wie Fachpersonal sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren als bisher üblich.“ Er plädiert für ein „gesundes Gleichgewicht zwischen Sicherheit und bequemer Zugänglichkeit“, um Datenpannen in Zukunft zu verhindern.

Medizinische Einrichtungen arbeiten meist mit Netz von Drittanbietern

Die Brisanz des Themas liege unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. „Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind“, erläutert Sygula. Die Cloud sei dabei Dreh- und Angelpunkt und damit eine wichtige Plattform für den Austausch und die Speicherung von Daten.
Sicherheitslücken stellten in einer solchen Umgebung ein enormes Risiko dar. Dies gelte einerseits für die Personen, deren Daten kompromittiert würden, also die Patienten. Andererseits seien auch Einrichtungen des Gesundheitswesens, welche den Vorschriften zum Schutz der Patientendaten unterlägen, durch die aufgedeckten Sicherheitsmängel gefährdet.

Medizinische Aufnahmen könnten im Darknet zu Höchstpreisen verkauft werden

„Gerade der Gesundheitssektor steht aktuell vor noch nie dagewesenen Herausforderungen. Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen daher deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten“, mahnt Sygula.
Der Bericht hebe die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug sei ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden könnten.

Wenige Schritte zu mehr medizinischem Datenschutz

Compliance habe im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So seien europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten seien sanktionspflichtig und könnten hohe Strafen nach sich ziehen.
Um die Sicherheit von Patientendaten aller Art zu garantieren, rät CybelAngel zu einigen grundlegenden Schritten. Damit könnten medizinische Einrichtungen ihre Workflows sowie die Art und Weise absichern, in der Daten geteilt und gespeichert werden. Die wichtigsten Maßnahmen seien:

• – Lecks bei Dritten identifizieren und stopfen.
• – Cloud-Zugriffe sperren, wo immer es angebracht ist.
• – Daten außerhalb des Netzwerks ausreichend überwachen.

Weitere Informationen zum Thema:

CybelAngel
Full Body Exposure / CybelAngel Analysis of Medical Data Leaks

datensicherheit.de, 21.08.2020
Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz / Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

[datensicherheit.de, 07.12.2020] Die Digitalisierung des Gesundheitswesens schreitet offenkundig immer schneller voran. Laut einer aktuellen Stellungnahme des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) forciert die Bundesregierung „den zuvor jahrelang nur schleppend vorangekommenen Prozess der Digitalen Transformation des deutschen Gesundheitswesens durch zahlreiche Gesetzgebungsvorhaben“. Nachdem erst im Oktober 2020 das Patienten-Datenschutzgesetz (PDSG) in Kraft getreten sei, habe das Bundesgesundheitsministerium Mitte November 2020 bereits den nächsten Entwurf vorgelegt, diesmal für ein Gesetz zur digitalen Modernisierung von Versorgung und Pflege, kurz DVPMG genannt. „Aus der Perspektive des Datenschutzes ist der digitale Umbau des Gesundheitssystems in Deutschland zu begrüßen, sofern auch in der digitalen Versorgung die Souveränität der Versicherten hinsichtlich der Verarbeitung ihrer Daten bewahrt und deren Schutz konsequent sichergestellt wird“, so der LfDI RLP. Doch daran hapere es immer wieder…

Patienten-Datenschutzgesetz etabliert elektronische Patientenakte zum Jahresanfang 2021

Bei der mit dem Patienten-Datenschutzgesetz zum Jahresanfang 2021 etablierten elektronischen Patientenakte werde den Versicherten ohne geeignetes Endgerät die Wahrnehmung der ihnen zustehenden Rechte „in unzumutbarer Weise erschwert“. Im Jahr 2021 bestehe gar keine Möglichkeit, ohne eigenen PC, Handy oder Tablet in die Inhalte der eigenen Akte Einblick zu nehmen und Zugriffsrechte darauf zu steuern. Ab 2022 könne ein Vertreter benannt werden, „über den dies dann möglich sein soll“. Eine unmittelbare Rechteausübung sei zu keinem Zeitpunkt vorgesehen.
„Damit werden Versicherten ihnen unmittelbar zustehende elementare Datenschutzrechte genommen. Mit der Aufstellung eigener Terminals bei den Krankenkassen oder anderen geeigneten Maßnahmen hätte man dies vermeiden können und müssen“, bilanziert der LfDI RLP, Prof. Dieter Kugelmann. Die gesetzlichen Vorgaben missachteten in grober Weise die den Versicherten zustehende Wahrnehmung ihres Grundrechts. „Sollten sich Betroffene an mich wenden und Defizite bei der Ausübung ihrer Rechte geltend machen, werde ich von den meiner Aufsicht unterliegenden Krankenkassen verlangen, dass die Versicherten ihre Datenschutzrechte unmittelbar ausüben können.“

Neuester Gesetzentwurf aus dem Bundesgesundheitsministerium hat Verbesserungsbedarf

Auch in Bezug auf den neuesten Gesetzentwurf aus dem Bundesgesundheitsministerium sieht Professor Kugelmann nach eigenen Angaben „Verbesserungsbedarf“. Mit dem Entwurf des DVPMG werde die Digitalisierung im Gesundheitswesen vertieft und auf den Bereich der Pflegeversicherung ausgeweitet. Doch es gebe deutliche Defizite: „So sollen digitale Gesundheits- und Pflegeanwendungen unter anderem noch bis zum Jahr 2023 erstattungsfähig sein, wenn deren Datenschutz- und Sicherheitstauglichkeit allein von den Herstellern selbst erklärt wird. Erst danach bedarf es im Hinblick auf die Sicherheit der Anwendungen der Vorlage von Zertifikaten; bezüglich des Datenschutzes ist das auch danach nicht vorgesehen.“
Dem Schutz der Gesundheitsdaten, welche in den digitalen Anwendungen sowohl in der Krankenversorgung als auch der Pflege verarbeitet werden, müsse höchste Priorität beigemessen werden. Allein den eigenen Erklärungen der Hersteller zu vertrauen, dürfe als Nachweis für die Einhaltung der Anforderungen an den Datenschutz und die Datensicherheit nicht ausreichen. „Schon die Zulassung der ersten digitalen Gesundheitsanwendungen hat dies eindrucksvoll gezeigt“, berichtet Professor Kugelmann und appelliert deshalb an den Gesetzgeber, „ausschließlich den Einsatz von sicheren und datenschutzgerechten Anwendungen sicherzustellen und dabei die in dem Datenschutzrecht vorhandenen Möglichkeiten der Zertifizierung im besonders sensiblen Gesundheitswesen zu nutzen und dies nicht erst im Jahr 2023, sondern sofort“. Datenschutz und IT-Sicherheit dürften nicht auf die lange Bank geschoben werden.

Bei Einrichtung eines zentralen Kommunikationsdienstes für das Gesundheitswesen Vorgaben des Datenschutzes beachten

In seiner gegenüber der Landesregierung Rheinland-Pfalz zu diesem Gesetzentwurf abgegebenen Stellungnahme fordert Professor Kugelmann weiter, „bei der im Gesetz vorgesehenen Einrichtung eines zentralen Kommunikationsdienstes für das Gesundheitswesen die Vorgaben des Datenschutzes für die Nutzung von E-Mail- und Messaging-Diensten zu beachten und insbesondere die Nutzung privater Endgeräte zur Kommunikation im beruflichen Kontext zu verbieten.“
Die Einrichtung einer Schweigepflicht für Hersteller von digitalen Gesundheits- und Pflegeanwendungen sei zu begrüßen, „wobei sich diese auf alle an der Herstellung und den Betrieb mitwirkenden Personen erstrecken sollte“. Den Bundesländern sei vom Bund die Möglichkeit eingeräumt worden, bis zum 7. Dezember 2020 zum neuen Gesetzentwurf Stellung zu nehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 03.11.2019
Patientendaten: Bundesregierung plant Weiterleitung / Anja Hirschel warnt vor „gläsernem Patienten“ und Ausverkauf an zentrales Forschungszentrum

datensicherheit.de, 18.09.2019
Patientendaten: Sicherheitsexperte fordert Ende-zu-Ende-Verschlüsselung /Detlef Schmuck stellt hochsicheren Ausweg angesichts des jüngsten Vorfalls vor

[datensicherheit.de, 22.10.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) meldet, dass Anfang Oktober 2020 das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die ersten beiden digitalen Anwendungen – sogenannte Gesundheits-Apps – zugelassen und in das Verzeichnis für Digitale Gesundheitsanwendungen („DiGA-Verzeichnis“) aufgenommen habe. Der LfDI RLP rät indes zu „Vorsicht bei Gesundheits-Apps“ – Schutz und Sicherheit von Patientendaten müssten höchste Priorität haben.

Kosten für verschriebene Gesundheits-Apps könnten von den gesetzlichen Krankenversicherungen übernommen werden

Somit könnten nun die Kosten für diese Gesundheits-Apps, sofern sie ärztlich verschrieben wurden, von den gesetzlichen Krankenversicherungen übernommen werden. Voraussetzung für die Aufnahme in das DiGA-Verzeichnis sei unter anderem, „dass die Anwendungen den Anforderungen an den Datenschutz entsprechen und die Datensicherheit nach dem Stand der Technik gewährleistet ist“ (§ 139 e Abs. 2 Satz 2 Nr. 2 SGB V).
Inzwischen sei bekanntgeworden, dass bei einer der Apps, die zur Behandlung von Menschen mit Angsterkrankungen eingesetzt werde, IT-Sicherheitsexperten gravierende Datenschutz-Mängel festgestellt hätten. Laut LfDI RLP hätten Angreifer durch Nutzung der Sicherheitslücken Angstpatienten als solche „enttarnen“ und schlimmstenfalls deren Accounts mit sensiblen Daten übernehmen können.

Gesundheits-Apps sammeln hochsensible Daten, welche genaue Einblicke in die persönliche Lebensführung zulassen

„Bei Gesundheits-Apps müssen Schutz und Sicherheit der Daten höchste Priorität haben. Die Geräte und die Software-Anwendungen sammeln hochsensible Daten, welche genaue Einblicke in die persönliche Lebensführung zulassen. Aus diesen Gründen ist es unerlässlich, dass gerade Apps, die vom BfArM freigegeben wurden, höchsten Sicherheits- und Datenschutzansprüchen genügen“, betont der Stellvertretende LfDI RLP, Helmut Eiermann.
Die Nutzer digitaler Gesundheitsanwendungen müssten darauf vertrauen können, dass ihre Daten wirksam geschützt werden. „Dass eine der ersten freigegebenen Apps Sicherheitsmängel aufweist, ist beunruhigend. Das zuständige Bundesgesundheitsministerium sollte daher Nachbesserungen am Zulassungsverfahren angehen.“

Defizite bei Ausgestaltung des Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt

Der LfDI RLP hatte nach eigenen Angaben in der Vergangenheit wiederholt gemeinsam mit den anderen Datenschutz-Aufsichtsbehörden Defizite bei der Ausgestaltung des gesetzlich vorgesehenen Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt. Dabei habe er insbesondere kritisiert, dass lediglich aufgrund von Hersteller-Angaben Apps in das Verzeichnis aufgenommen würden, ohne dass deren datenschutzrechtliche Vereinbarkeit durch unabhängige Stellen geprüft werde.
„Es wird deutlich, dass das vom BfArM durchgeführte Zulassungsverfahren nicht tauglich ist, um die Datenschutzkonformität der in das DiGA-Verzeichnis aufgenommenen Apps zu gewährleisten“, sagt Eiermann.

Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis

Aus technischer Sicht sollten insbesondere folgende Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis berücksichtigt und im Rahmen unabhängiger Audits geprüft werden:

• die Vertraulichkeit und Integrität der Kommunikation (Inhalts- und Metadaten),
• die Sicherheit der auf dem Endgerät beziehungsweise in der App gespeicherten Gesundheitsinformationen,
• die beteiligten technischen Dienstleister sowie die Einbeziehung sonstiger Stellen (etwa zur Reichweitenmessung und App-Analyse).

Hierbei reiche es nicht aus, sich allein auf Hersteller-Angaben zu verlassen.

Weitere Informationen zum Thema:

datensicherheit.de, 09.08.2020
Phishing: Gesundheitssektor benötigt Schutztechnik und -trainings / Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

datensicherheit.de, 14.05.2020
Gesundheitswesen: Globaler Anstieg von Ransomware- und Cyberangriffen / Bitdefenders Telemetrie zeigt Spitzen seit Ausbruch der Pandemie

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

VECTRA kommentiert Sicherheitsrisiken durch Cloud-Nutzung im Gesundheitswesen

[datensicherheit.de, 29.08.2020] Laut einer aktuellen Meldung von VECTRA soll ein Entwicklerfehler den Leak von 150.000 bis 200.000 in „Office 365“ und „Google G Suite“ gespeicherten Gesundheitsdaten von Patienten verursacht haben, die kürzlich auf „GitHub“ gefunden worden seien.

Foto: Vectra

Andreas Müller: Kein System und kein Benutzer jemals perfekt…

Patientendaten von neun Gesundheitsorganisationen aus der Cloud entdeckt

Der niederländische Security-Forscher Jelle Ursem habe neun separate Dateien mit hochsensiblen persönlichen Gesundheitsdaten (PHI) von neun verschiedenen Gesundheitsorganisationen entdeckt. Die darin gefundenen Patientendaten stammten von den Gesundheitseinrichtungen Xybion, MedPro Billing, Texas Physician House Calls, VirMedica, MaineCare, Waystar, Shields Health Care Group, AccQData und einem weiteren im Bericht beschriebenen, aber nicht genannten Unternehmen.

Betroffene Cloud-Nutzer schwer zu erreichen

Ursem habe Schwierigkeiten gehabt, diese Unternehmen zu erreichen, deren Daten durchgesickert seien, und habe den Vorfall schließlich an „DataBreaches.net“ gemeldet, „das mit ihm zusammenarbeitete, um ein gemeinsames Paper mit dem Titel ,No Hack When It’s Leaking‘ über die Ergebnisse zu veröffentlichen“.

Nichts Neues: Klinikverwaltungen versäumen grundlegende Schritte zur Sicherung von Cloud-Diensten und -Anwendungen

„Klinikverwaltungen, die es versäumen, grundlegende Schritte zur Sicherung von Cloud-Diensten oder -Anwendungen zu unternehmen, sind nichts Neues“, kommentiert Andreas Müller, „Director DACH“ bei VECTRA AI. Es seien so viele Fälle bekannt geworden, in denen private Daten versehentlich dem Internet ausgesetzt worden seien. „Die sofortige Bereitstellung und Skalierbarkeit von Cloud-Computing sind zwar wertvolle Vorteile, aber die Funktionen und Standardkonfigurationen des Cloud-Service-Providers sind ständig im Wandel begriffen.“

Fähigkeit entscheidend, den unbefugten oder böswilligen Zugriff auf Cloud-Dienste zu überwachen, zu erkennen und darauf zu reagieren

Administratoren müssten wissen, „was sie tun, Anpassungen vornehmen und sicherstellen, dass geeignete Zugriffskontrollen zum Schutz ihrer Daten vorhanden sind“. Da kein System und kein Benutzer jemals perfekt sei, könne die Fähigkeit, den unbefugten oder böswilligen Zugriff auf Cloud-Dienste zu überwachen, zu erkennen und darauf zu reagieren, den Unterschied zwischen einem eingedämmten Sicherheitsvorfall und einem ausgewachsenen Datenschutzproblem ausmachen, „mit dem die betroffenen Gesundheitsdienstleister und ihre Patienten jetzt konfrontiert sind“.

Weitere Informationen zum Thema:

VECTRA Blog, Andreas Müller, 09.07.2020
Gravierende Cyber-Risiken im Gesundheitswesen

DataBreaches.net
Health Data

datensicherheit.de, 27.08.2020
VECTRA: Kritische Systeme auf den Prüfstand stellen

Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

[datensicherheit.de, 21.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Meldung auf einen schweren Datenschutz-Vorfall mit Patientenakten ein. In der Liegenschaft des seit Jahren leerstehenden Krankenhauses in Büren wurden demnach seit 2010 Tausende von Krankenakten ungesichert gelagert. Die ursprünglich für die Akten verantwortliche Krankenhausträgergesellschaft, ein Tochterunternehmen der Marseille Kliniken, habe 2010 Insolvenz angemeldet und danach den Klinikbetrieb im gleichen Jahr eingestellt.

HmbBfDI

Prof. Dr. Johannes Caspar: HmbBfDI legt Beschwerde beim OVG Hamburg ein

Sicherung der Krankenakten im leerstehenden Gebäude in Büren erfolgte über Jahre nicht

Der Insolvenzverwalter habe das Grundstück nach Ende des Insolvenzverfahrens an den ursprünglichen Eigentümer, ein Tochterunternehmen der Marseille Kliniken mit Registersitz in Hamburg, zurückgegeben. Das Krankenhausgelände sei seither zeitweilig durch einen Hausmeister betreut worden. „Eine Sicherung der Krankenakten im leerstehenden Gebäude erfolgte nicht.“
Über diesen Fall sei im Mai 2020 auf YouTube detailliert berichtet worden. Dies habe eine breite Medienwirksamkeit erzielt. „Die öffentliche Berichterstattung führte dazu, dass sich ehemalige Patienten über die frei zugängliche Lagerung ihrer Patientenakten bei der Behörde für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen beschwerten.“ Zudem sei die Liegenschaft in der Folge mehrmals durch unbefugte Personen betreten worden, welche sich aus Neugier oder mit dem Vorsatz, dort Dinge zu entwenden, widerrechtlich Zugang zum Gebäude verschafft hätten.

Wegen wiederkehrenden Einbruchsversuchen in Büren ordnete HmbBfDI sofortige Vollziehbarkeit der Grundverfügung an

„Da die Grundstücksgesellschaft ihren Registersitz und die Muttergesellschaft ihren Hauptsitz in Hamburg hat, wurden die Beschwerden an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) abgegeben.“ Dieser hat nach eigenen Angaben in Abstimmung mit der Stadt Büren als zuständige Ordnungsbehörde weitergehende Sicherungsmaßnahmen eingeleitet. Dennoch sei es zu erneuten Versuchen unbefugter Personen gekommen, sich Zutritt zu den Aktenräumen zu verschaffen. Dies habe die Beauftragung eines 24-Stunden vor Ort befindlichen Sicherheitsdienstes erforderlich gemacht.
Mit Bescheid vom 23. Juni 2020 habe der HmbBfDI gegenüber der Grundstückseigentümerin, einer Schwestergesellschaft der ursprünglichen Krankenhausbetreibergesellschaft, angeordnet, die Krankenakten in einer datenschutzgerechten Weise zu lagern und – um die Rechte von Betroffenen an den Daten zu sichern – diese durch einen Träger der ärztlichen Schweigepflicht in Obhut zu nehmen. „Aufgrund der akuten Gefährdungslage durch wiederkehrende Einbruchsversuche ordnete der HmbBfDI die sofortige Vollziehbarkeit der Grundverfügung an.“

VG Hamburg sieht im bloßen Vorhandensein der Aktenbestände in Büren nur einen Zustand

Dem Antrag der Eigentümerin auf Wiederherstellung der aufschiebenden Wirkung habe das VG Hamburg im einstweiligen Rechtsschutzverfahren nun mit der Begründung stattgegeben, dass es sich bei der streitgegenständlichen Lagerung der Patientenakten „unter keinem rechtlichen Gesichtspunkt um einen (der Antragstellerin) zurechenbaren Verarbeitungsvorgang“ im Sinne der Datenschutzgrundverordnung (DSGVO) handele. Vielmehr sei das bloße Vorhandensein der Aktenbestände in dem Gebäudekomplex der Antragstellerin ein bloßer Zustand. Gefordert sei vom Verarbeitungsbegriff eine relevante Zustandsveränderung, die vorliegend durch das bloße Lagern nicht gegeben sei. Eine datenschutzrechtliche Garantenpflicht kenne das Gesetz nicht.
Dieser Beschluss sei unter datenschutzrechtlichen Gesichtspunkten zu hinterfragen, so der HmbBfDI. Die verengende Auslegung des Begriffs der Verarbeitung sei geeignet, erhebliche Rechtsschutzlücken für Grundrechte betroffener Personen zu hinterlassen. Im Fall der Rechtsnachfolge einer verantwortlichen Stelle reiche demnach bloßes Nichtstun, um die Regelungen des Datenschutzes ins Leere laufen zu lassen: „Betroffene haben nach diesen Bestimmungen weder die Möglichkeit, Auskunft über ihre Daten zu bekommen, noch Widerspruch gegen die Datenhaltung zu erheben oder ihre Löschung zu verlangen.“

HmbBfDI fordert Prüfung: Lagern von Daten in eigenen Räumen in Büren gegenüber Betroffenen ggf. eine Verarbeitung

Betroffene hätten dann weder ein Recht auf Beschwerde bei einer unabhängigen Stelle, noch können sie die Einhaltung der erforderlichen technisch-organisatorischen Sicherungsmaßnahmen verlangen. Die Anwendung des zivilrechtlichen Unterlassungsanspruchs gegen den rechtswidrigen Umgang mit Daten sei „juristisch problematisch“ und dürfte bei fehlender Verantwortlichkeit ohnehin nicht durchsetzbar sein. Eine grundrechtskonforme Auslegung, welche das Verwaltungsgericht vorliegend offenbar nicht in Betracht ziehe, könne hierbei weiterhelfen:
Insoweit wäre zu prüfen, ob nicht das Lagern von Daten in den eigenen Räumen gegenüber den Betroffenen eine Verarbeitung darstellt, worauf auch die englische Wortbedeutung des Begriffs des „Storing“ (Lagerung) hindeute, welcher den Verarbeitungsbegriff in der DSGVO konkretisiere. Im Übrigen begegne es erheblichen Bedenken, dass durch besondere gesellschaftsrechtliche Betriebsaufspaltungen die datenschutzrechtliche Verantwortlichkeit auf einen Rechtsträger verlagert werden könne, der dann insolvenzbedingt untergehen könne, „ohne dass Mutter- oder Tochtergesellschaft datenschutzrechtliche Pflichten treffen“.

Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort in Büren gesichert

„Wir haben in den vergangenen Wochen alles getan, um die Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort zu sichern. Dafür hatten wir uns mit der Stadt Büren, der Bezirksregierung Detmold, dem Minister für Arbeit, Gesundheit und Soziales des Landes Nordrhein- Westfalen sowie mit unseren Kollegen des LfDI NRW abgestimmt. Dass in dem vorliegenden Fall nun keine Zuständigkeit für eine Aufsichtsbehörde im Bereich des Datenschutzes bestehen soll, kommt nicht nur für uns überraschend“, führt Prof. Dr. Johannes Caspar, der HmbBfDI, aus.
Der Beschluss des VG Hamburg werfe viele Fragen auf, welche insbesondere den weiteren Umgang mit den Patientenakten der Ordnungsbehörden vor Ort und letztlich auch die Durchsetzung der Rechte zahlreicher Betroffener erheblich erschwerten. „Wir haben daher Beschwerde gegen den Beschluss beim OVG Hamburg eingelegt um sicherzustellen, dass das Datenschutzrecht für Patientendaten am Standort Büren gilt“, berichtet Professor Caspar. Gleichzeitig müsse grundsätzlich geklärt werden, „dass ein umfassender Schutz gerade von besonders sensiblen Daten in derartigen Fallgruppen gewährleistet wird, der nicht durch spezifische Konzernstrukturen unterlaufen werden kann“.

Weitere Informationen zum Thema:

ItsMarvin auf YouTube, 29.05.2020
LOSTPLACES: UNGLAUBLICH! DIESES KRANKENHAUS IST 10 JAHRE ZU !

datensicherheit.de, 25.06.2020
EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt

[datensicherheit.de, 06.06.2019] Ralph Kreter, securonix, erörtert die Frage, ob eine ganzheitliche Sicht wie sie das „Security Information and Event Management“ (SIEM) verspricht, tatsächlich helfen kann, den zunehmenden Sicherheitsrisiken im Gesundheitswesen zu begegnen.

Personal Health Information – so sensibel wie begehrt

Kreter: „Patientendaten sind extrem vertrauliche Informationen. Sie besonders zu schützen ist nur konsequent, und die Institutionen im Gesundheitswesen sind sich der Tragweite bewusst. Die hier anfallenden Daten, die sogenannten PII-Daten, ,Personal Health Information‘, sind so sensibel wie begehrt. Das führt schon seit einigen Jahren dazu, dass Institutionen im Gesundheitswesen kontinuierlich mit Angriffen von Innentätern als auch von externen Cyber-Kriminellen zu kämpfen haben.“
Die Beispiele erfolgreicher Attacken seien „Legion“. Auch hierzulande habe es bereits spektakuläre Vorfälle mit schwerwiegenden Folgen gegeben. PII-Daten gehörten zu den Daten, die sich besonders gut verkaufen ließen, und die finanzielle Motivation spiele bei externen Angreifern eine entscheidende Rolle. Es verwundere also nicht, dass die Zahl der Angriffe steige und die verwendeten Vektoren zunehmend ausgefeilter würden.

PHI-Aufzeichnungen: Zugriff und Schutz zugleich gewährleisten

Ziel der Cyber-Kriminellen sei es, illegitim auf alle Arten von medizinischen Daten und Patienteninformationen zuzugreifen und dabei möglichst lange unentdeckt zu Werke zu gehen. Gleichzeitig gehöre die Gesundheitsbranche zu den besonders stark regulierten Industriezweigen. Regulatorischer Druck und mögliche Strafen stellten die Verantwortlichen vor nicht zu unterschätzende Herausforderungen. Die Herausforderung sei es, so Kreter, Zugriff auf PHI-Aufzeichnungen zu gewährleisten und sie gleichzeitig zu schützen.
„Im Zuge der Digitalisierung und der damit einhergehenden technischen und organisatorischen Veränderungen entwickelt sich auch das Gesundheitswesen ständig weiter. Das macht es nicht unbedingt einfacher, für die Sicherheit einer komplexen und hoch vernetzten Infrastruktur zu sorgen, innerhalb derer eine Vielzahl von sensiblen Daten verarbeitet, geteilt und gespeichert werden.“

Tiefgreifende Veränderungen des Gesundheitswesens

Zu diesen tiefgreifenden Veränderungen zählen laut Kreter:

• Die Einführung elektronischer Patientendatensysteme.
• Das Gesundheitswesen verlasse sich zunehmend auf immer intelligenter werdende und internetfähige medizinische Geräte.
• Die Branche stehe unter hohem regulatorischen Druck mit wachsenden Herausforderungen – HIPAA und HITECH, um nur zwei zu nennen.

Angriffsszenarien ebenfalls verändert

Parallel dazu hätten sich die Angriffsszenarien ebenfalls verändert und weiterentwickelt. Je attraktiver das Ziel desto ausgefeilter die Angriffe. Das gelte auch und gerade für Systeme im Gesundheitswesen. Patientendaten gehörten zu den Informationen, die auf dem Schwarzmarkt regelmäßig Höchstpreise erzielten. Zu den gängigsten Angriffsmethoden und Szenarien gehören:

• Ransomware.
• Sicherheitsschwachstellen im Internet of Things (IoT).
• Innentäter, einschließlich bestechlicher Mitarbeiter.
• „Social Engineering“ entweder über Soziale Medien oder (zum Teil hoch spezialisierte) Phishing-Angriffe

Herkömmliche SIEM-Systeme aber ungeeignet

Das Gesundheitswesen sei bisher eher selten durch besonders aktuelle Sicherheitstechnologien und Prozesse aufgefallen. Ausnahmen bestätigten auch hier die Regel, allerdings meistens erst dann, „wenn das Kind schon in den Brunnen gefallen ist und eine Datenschutzverletzung den nötigen Handlungsdruck erzeugt hat“.
Viele der bestehenden Sicherheitssysteme seien nicht mehr aktuell oder gar in der Lage, mit den Innovationen der Medizintechnologie Schritt zu halten. Die existierenden Signatur- und Regelbasierten Security-Information-and-Event-Management-Lösungen (SIEM) bildeten da hinsichtlich neuer Bedrohungsszenarien keine Ausnahme. Zudem produzierten sie Unmengen von Alarmen, übersähen Anzeichen auf einen potenziellen Angriff und überschwemmten die ohnehin überlastete IT mit Falsch-Positiv-Meldungen. Die sorgten im schlimmsten Fall dafür, dass relevante Benachrichtigungen übersehen würden und die Effektivität der Sicherheitsmaßnahmen gefährlich nach unten gehe.

Moderne SIEM-Systeme integrieren zusätzliche Schlüsselattribute

Das Gesundheitswesen sei in einem hohen Maße von medizinischer Hard- und Software und digitalen Daten abhängig, während sich gleichzeitig die Bedrohungslandschaft ununterbrochen wandele. Traditionelle SIEM-Lösungen erfüllten dieses Anforderungsprofil kaum mehr. Dem SIEM-System liege das Prinzip zugrunde, dass relevante Daten über die Sicherheit einer Firma an verschiedenen Stellen anfielen und es wesentlich einfacher sei, Trends und Muster zu erkennen, „die vom gewohnten Schema abweichen, wenn man alle diese Daten an einer zentralen Stelle betrachten kann“.
SIEM fasse Funktionen von „Security Information Management“ (SIM) und „Security Event Management“ (SEM) in einem Sicherheits-Management-System zusammen. Moderne SIEM-Systeme integrierten aber zusätzliche Schlüsselattribute, „die helfen die beschriebenen Risiken zu senken, im Idealfall zentral gesteuert“, so Kreter.

Automatisiertes maschinelles Lernen und Big-Data-Analysen

Moderne SIEM-Systeme nutzten Technologien auf Basis von Künstlicher Intelligenz (KI) und maschinellem Lernen. Für Angreifer sei es mit üblichen Techniken sonst relativ problemlos möglich, traditionelle Regel- und Signatur-basierte SIEM-Lösungen zu umgehen. Gegen bislang unbekannte Bedrohungen seien sie ohnehin machtlos. Deshalb nutzten moderne SIEM-Lösungen automatisiertes maschinelles Lernen und Big-Data-Analysen. „Ein System, das auf maschinellem Lernen basiert, kann sich zügig anpassen und auch solche Bedrohungen erkennen, auf die traditionelle Systeme nicht schnell genug reagieren können.“
Ferner nutzen sie die Analyse des Benutzerverhaltens, um potenzielle Insider-Bedrohungen und unbefugtes „Herumschnüffeln“ zu erkennen. Solche Systeme verwalteten eine Liste der Benutzer und der ihnen zugewiesenen Berechtigungen. Kreter: „Das stellt sicher, dass die Nutzer nur auf solche Patientendaten zugreifen, auf die sie auch Zugriff haben sollten.“ Das Benutzerverhalten sowohl auf der individuellen Ebene als auch auf Gruppen-Level zu verstehen, sei eines der Schlüsselelemente, um Anomalien zu entdecken, welche Anzeichen für eine Insider-Bedrohung sein könnten: „Sie basieren auf dem Missbrauch von Zugriffsberechtigungen, die entweder fälschlich zugewiesen wurden und es dem Betreffenden erlauben, außerhalb des autorisierten Bereichs zu agieren. Oder ein externer Angreifer benutzt einen illegitimen Kontozugriff und bedient sich der mit diesem Konto verbundenen Rechte.“

Eindeutig definierte Prozesse zur Störungsbeseitigung

Wird ein Cyber-Angriff entdeckt, komme es darauf an, Art und Umfang schnellstmöglich zu analysieren und Gegenmaßnahmen einzuleiten, um den Schaden zu begrenzen. Werden Bedrohungen nicht innerhalb einer bestimmten Zeitspanne erkannt und beseitigt, seien die Folgen oft weitreichend.
„Wie sich wer im Falle eines Angriffs zu verhalten hat, wie die Kommunikationsabläufe definiert sind und welche Schulungen jetzt greifen sollten, all das sind Prozesse, die helfen den Schaden einzugrenzen“, berichtet Kreter.

Vertraulichkeit der Patientendaten gewährleisten

„Nur wenn man EMR-Applikationen kontinuierlich überwacht, entdeckt man Anzeichen für verdächtige Aktivitäten. Das ist aber nur eine Seite“, so Kreter. Wenn diese Aufzeichnungen Patientendaten enthalten, sei es wichtig sicherzustellen, dass diese auch vertraulich bleiben. Einer der Nachteile bei traditionellen SIEM-Lösungen liege darin, dass man gezwungen sei, sensible Patientendaten mit anderen IT-Daten zu vermischen, und so riskiere, gegen Compliance-Anforderungen zu verstoßen.
Fortschrittliche SIEM-Lösungen integrierten eine Reihe von Funktionen, die vertrauliche Daten schützten. Dazu diene das Anonymisieren von Daten (etwa über Datenmaskierung), die Rollen-basierte Kontrolle von Zugriffsberechtigungen, das Filtern oder Löschen von Daten und ein vollständig nachvollziehbarer Audit-Trail.

Kombination: Bedrohungserkennung und -abwehr

Vereinfachtes Compliance-Reporting willkommen: Unternehmen und Organisationen innerhalb des Gesundheitswesens seien stark reguliert. Entsprechend aufwändig seien die Berichtsanforderungen. Funktionen, die es erlauben Berichte sofort abzurufen, erleichterten die Compliance mit HIPAA, HITRUST, DSGVO/GDPR und anderen Richtlinien.
„Aktuelle Lösungen kombinieren Bedrohungserkennung und Bedrohungsabwehr über eine zentrale Stelle und integrieren EMR-Anwendungen, Sicherheit und Netzwerkgeräte sowie ,Identity Stores‘. Auf diese Weise sammelt das System Daten zu Sicherheitsvorkommnissen und ergänzt sie um hilfreiche Kontextinformationen“, so Kreter. Die Befunde würden auf der Basis von maschinellem Lernen analysiert, so dass der Algorithmus auf ein in diesem Umfeld als „normal“ definiertes Verhalten trainiert werde und abweichendes Verhalten und Anomalien identifizieren könne. Weiterhin ließen sich zwischen bestimmten Anomalien Muster und Schemata erkennen, die in nachvollziehbare Bedrohungsketten mündeten. Diese wiederum erlaubten es, Vorkommnisse und Risiken zu priorisieren und entsprechend zu handeln.

Weitere Informationen zum Thema:

SECURONIX
WHITEPAPER / Next-Gen SIEM for Healthcare

datensicherheit.de, 20.05.2019
Cybersicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

[datensicherheit.de, 21.08.2018] Der Arbeitskreis Vorratsdatenspeicherung (AK Vorratsdatenspeicherung) übt heftige Kritik an dem Referentenentwurf zum Terminservice- und Versorgungsgesetz (TSVG). Datenschützer und Patienten seien „alarmiert“. Der AK Vorratsdatenspeicherung ist nach eigenen Angaben ein Zusammenschluss von Bürgerrechtlern, Datenschützern und Internetnutzern, die sich in Zusammenarbeit mit weiteren zivilgesellschaftlichen Initiativen gegen die ausufernde Überwachung im Allgemeinen und gegen die Vollprotokollierung der Telekommunikation und anderer Verhaltensdaten im Besonderen einsetzen.

Für Datendiebe extrem attraktives Ziel mit hohem finanziellen Wert

„Bundesgesundheitsminister Spahn will eine auf zentralen Servern liegende ‚elektronische Patientenakte‘ mit Zugriff sowohl über die Gesundheitskarte und ihre Telematikinfrastruktur, als auch über das Internet“, so Dr. Silke Lüder vom Bündnis „Stoppt die E-Card“.
Das bedeutet demnach „eine gigantische Sammlung sensibler Daten auf einem zentralen Server“ – für Datendiebe ein „extrem attraktives Ziel mit hohem finanziellen Wert“.
„Patienten, deren Daten dort gespeichert werden, werden quasi enteignet“, warnt Dr. Elke Steven, Geschäftsführerin von „Digitale Gesellschaft“.

Offene Schnittstellen in der Telematikinfrastruktur

Laut AK Vorratsdatenspeicherung bergen beide Zugriffswege außerdem Risiken: Der Zugang über die Gesundheitskarte erfordere ein zentrales Register aller vorhandenen elektronischen Akten in der Telematik-Infrastruktur. So könne man leicht nachprüfen, welche Versicherten keine elektronischen Akten haben. Bei Versicherten mit elektronischer Akte könne man über dieses Zentralregister mindestens feststellen, wo ihre Akte zu finden ist.
Der nun zusätzlich vorgesehene Zugang per Smartphone oder Tablet über das Internet bedeute offene Schnittstellen in der Telematikinfrastruktur, welche aus Sicherheitsgründen als geschlossenes Netz geplant gewesen seien. Damit vervielfältige sich die Gefahr unbefugter Zugriffe auf die elektronischen Patientenakten.
Die übertragenen Daten auf den oft unzureichend gesicherten Mobilgeräten seien weiteren Gefahren ausgesetzt: Zugriffe durch Schadsoftware, Staatstrojaner und persönliche Assistenten (wie z.B. „Cortana“ oder „Siri“) der Internet-Konzerne.

Einwilligungsregelung soll sich ändern

Auch die Einwilligungsregelung solle sich ändern: Mit der Übertragung von Daten in die elektronische Akte habe bislang erst begonnen werden dürfen, wenn der Betroffene gegenüber einem Arzt, Zahnarzt, Psychotherapeuten oder Apotheker eingewilligt hatte und die Einwilligung auf der Gesundheitskarte dokumentiert war. Dies habe vorausgesetzt, dass die Patienten auch tatsächlich in der Lage sein mussten, ihre Entscheidung bewusst und in Kenntnis der Risiken einer Offenlegung ihrer Daten zu treffen – was bei Kranken und Hilfsbedürftigen nicht ohne weiteres vorausgesetzt werden könne.
Nach dem Gesetzentwurf solle nicht einmal diese Möglichkeit mehr gegeben sein. Denn die Patienten sollten ihre Zustimmung auch pauschal auf anderen Wegen oder nur gegenüber der Krankenkasse erklären können. Dies mache es schwer nachvollziehbar, ob tatsächlich eine Einwilligung vorliegt oder ob sie eventuell sogar widerrufen wurde.

Das Schlechte aus zwei Welten vereint

Außerdem solle eine „elektronische Arbeitsunfähigkeitsbescheinigung“ (eAU) eingeführt werden. Das bedeutet laut AK Vorratsdatenspeicherung, dass alle Angaben, die bisher vom Versicherten auf Papier an die Krankenkasse geschickt wurden, künftig unter Angabe der Diagnose über eine Telematikinfrastruktur geleitet werden sollen. Der Versicherte habe so keine Möglichkeit, sich gegen diese elektronische Übertragung sensibler Daten zu entscheiden.
„Die zentrale Speicherung mit Online-Zugang im Browser, ohne ausreichende Verschlüsselung vereint das Schlechte aus zwei Welten“, erläutert Anwalt und IT-Fachmann Jan Kuhlmann, Vorsitzender des Vereins Patientenrechte und Datenschutz e.V.
Die beabsichtigte Einwilligungsregelung und eine elektronische Arbeitsunfähigkeitsbescheinigung gefährdeten die informationelle Selbstbestimmung des Versicherten. Kuhlmann: „Wir bewerten diese Vorschläge als #Spahnsinn“.

Unterstützende Organisationen:

Aktion „Stoppt die e-Card„
Ein breites Bündnis von mehr als 50 Bürgerrechtsorganisationen, Datenschützern, Patienten und Ärzteverbänden.
Es sieht in der elektronischen Gesundheitskarte eine Gefahr für die ärztliche Schweigepflicht, die informationelle Selbstbestimmung der Bürger und für eine gute medizinische Versorgung.

dieDatenschützer Rhein Main
Eine lokale Gruppe des AK Vorratsdatenspeicherung und Partner der „Aktion: Stoppt die e-Card!“
Aktuelle Arbeitsschwerpunkte sind u.a. die unzulässige Videoüberwachung des Öffentlichen Raums, die elektronische Gesundheitskarte und die Digitalisierung des Gesundheitswesens, der Sozialdatenschutz, z.B. bei Job-Centern, und die Überwachung durch Geheimdienste und andere staatliche Stellen.

Digitale Gesellschaft e.V.
Engagement für die gerechte und demokratische Teilhabe aller Menschen am digitalen und vernetzten Zeitalter – gegen einseitige Sicherheits- und Urheberrechtspolitik, für Transparenz und Fairness, gegen Hinterzimmerlobbyismus und für Nutzerrechte. Grund- und Freiheitsrechte der Digitalen Welt sollen verteidigt und ausgebaut werden.

Freie Ärzteschaft e.V.
Ein Verband, der den Arztberuf als freien Beruf vertritt – vorwiegend niedergelassene Haus- und Fachärzte sowie verschiedene Ärztenetze. Ziel ist eine unabhängige Medizin, bei der Patient und Arzt im Mittelpunkt stehen und die ärztliche Schweigepflicht gewahrt bleibt.

Humanistische Union e.V. – Landesverband Berlin-Brandenburg
Eine unabhängige Bürgerrechtsorganisation. Einsatz für die Erhaltung und den Ausbau der Grundrechte in Deutschland – für  die Durchsetzung des Rechts auf selbstbestimmtes Leben und Sterben.

Komitee für Grundrechte und Demokratie e.V.
Im Themenbereich „Gesundheitssystem / Bioethik“ Einsatz für Datensouveränität und Patientenrechte – kritische Auseinandersetzung u.a. mit „Big Data“ im Gesundheitswesen und mit der e-Card.

LabourNet Germany
„Treffpunkt für Ungehorsame, mit und ohne Job, basisnah, gesellschaftskritisch“

Patientenrechte und Datenschutz e.V.
Ein Zusammenschluss von Mitgliedern gesetzlicher Krankenkassen, welche die elektronische Gesundheitskarte und die geplante Vernetzung im Gesundheitswesen, die sogenannte Telematikinfrastruktur, aus Datenschutzgründen kritisieren.

Thure von Uexküll-Akademie für Integrierte Medizin
Suche nach einem passenden Modell, um die Spaltung der Medizin in eine für „seelenlose Körper“ und eine für „körperlose Seelen“ zu überwinden. Ziel ist die Entwicklung einer Theorie der Humanmedizin, welche die individuelle Wirklichkeit der Beteiligten reflektiert.

Weitere Informationen zum Thema:

Arbeitskreis Vorratsdatenspeicherung
Stoppt die Vorratsdatenspeicherung!

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

datensicherheiit.de, 29.06.2017
Vorratsdatenspeicherung: Nicht nur Aussetzen, sondern aufheben

datensicherheit.de, 22.06.2016
Europäischer Gerichtshof: Urteil gegen anlasslose Vorratsdatenspeicherung

[datensicherheit.de, 06.12.2017] Laut einer aktuellen Studie von Palo Alto Networks werden Schulungen als wichtige Möglichkeit für medizinisches Personal angesehen, um den Gesundheitssektor bei der Abwehr von Cyber-Angriffen zu unterstützen.

IT-Verantwortliche des britischen National Health Service befragt

Nicht zuletzt die jüngsten Ransomware-Attacken haben das Thema „Cyber-Sicherheit“ im Gesundheitswesen in den Fokus gerückt. Palo Alto Networks hat dazu nach eigenen Angaben exemplarisch IT-Verantwortliche des britischen National Health Service (NHS) befragt:
In Zusammenarbeit mit Vanson Bourne seien 100 IT-Entscheider beim NHS über die Bedeutung der Datensicherheit im Zuge der jüngsten Cyber-Angriffe befragt worden. Themen der Umfrage waren demnach auch der Vorbereitungsgrad für künftige strengere Datenschutzregeln sowie die Entwicklung von Vertrauen bei der Interaktion von Patienten mit den Organisationen im Gesundheitswesen.

Cyber-Sicherheitsinvestitionen generieren langfristig Einsparungen

Die große Mehrheit der Befragten (90 Prozent) glaube, dass die Priorisierung der Cyber-Sicherheit im britischen Gesundheitswesen das Potenzial der Digitalisierung zur Verbesserung der Patientenversorgung freisetzen werde.
Sie seien sich auch darin einig, dass Cyber-Sicherheitsinvestitionen auf lange Sicht erhebliche Einsparungen ermöglichen könnten (83 Prozent), wodurch sich landesweit durchschnittlich 14,8 Millionen Britische Pfund pro Jahr einsparen ließen. Die Umfrageteilnehmer schätzten, dass eine verbesserte Cyber-Sicherheit genug Geld sparen würde, um weitere 150 Ärzte und 250 Krankenschwestern im nationalen Gesundheitsdienst zu beschäftigen.

Schulungen erforderlich, um Präventionskultur zu fördern!

Alle Befragten seien sich darin einig, dass Daten sicher aufbewahrt werden müssten. Die Vorteile der Cyber-Sicherheit werden laut Palo Alto Networks als umfassend angesehen:

• 65 Prozent glaubten, dass sie das Vertrauen der Patienten verbessern werde,
• fast die Hälfte (49 Prozent) glaube, Prozesse rationalisieren zu können und
• 45 Prozent sähen langfristige Kosteneinsparungen als Ergebnis.

Angesichts der jüngsten Cyber-Angriffe wie „WannaCry“, die sich auch auf den Dienst am Patienten auswirkten, seien sich die IT-Manager im Gesundheitswesen bewusst, dass noch mehr getan werden könne, um eine stabile und weit verbreitete Cyber-Sicherheitskultur in den Organisationen zu fördern. Diese soll demnach durch verbesserte Sensibilisierung und Trainingsmaßnahmen erfolgen.

Vertrauen der Patienten in die Datenverarbeitung umstritten

In einem zunehmend digitalisierten, auf Daten angewiesenen Sektor sei das Vertrauen der Patienten in die Art und Weise, wie ihre Daten verwendet und gespeichert werden, von wesentlicher Bedeutung.
Die Untersuchung habe ergeben, dass IT-Entscheidungsträger meist der Meinung seien, dass Patienten ein gutes oder hohes Vertrauen in die Verwendung oder Speicherung ihrer Daten durch den nationalen Gesundheitsdienst NHS hätten (81 Prozent bzw. 67 Prozent). Ein Viertel der Befragten glaube jedoch, dass Patienten nur ein geringes Vertrauen darin hätten, wie das NHS ihre Daten speichert. Mehr als einer von zehn Befragten (16 Prozent) gehe davon aus, dass Patienten sehr wenig Vertrauen in die Verwendung ihrer Daten durch den NHS setzten.
Um diese Vertrauenslücke zu schließen, werde die Priorisierung der Cyber-Sicherheit als Schlüsselelement angesehen (89 Prozent).

IT-Entscheidungsträger im Allgemeinen über EU-DSGVO informiert

Was die EU-Datenschutz-Grundverordnung (EU-DSGVO) angeht, seien IT-Entscheidungsträger im Allgemeinen über die im Jahr 2018 in Kraft tretenden Änderungen informiert:

• 83 Prozent hätten von der Unternehmensleitung Unterstützung erhalten, und 95 Prozent gäben an, dass sie wüssten, was nötig ist, um den Anforderungen gerecht zu werden.
• Die Mehrheit der Befragten (58 Prozent) glaube, dass ihr Standort bis Mai 2018 für die DSGVO bereit sein werde, und 16 Prozent glaubten sogar, dass der NHS bereits konform sei.
• Trotzdem würden mehr als drei Viertel (77 Prozent) erkennen, dass ihre IT-Systeme noch verbessert werden müssten, um die Compliance bei der Datenverarbeitung sicherzustellen.

Vertrauen der Patienten entscheidend!

Die Digitalisierung könne erhebliche Vorteile für Patienten und Mitarbeiter mit sich bringen: die Fähigkeit, Geld zu sparen und die Patientenversorgung durch nahtlose digitale Prozesse zu verbessern.
Dies hänge jedoch davon ab, wie der NHS die Cyber-Sicherheit nutzt, um das Vertrauen der Patienten zu wahren und gleichzeitig von seinem exponentiellen Datenwachstum zu profitieren.
Die Verhinderung erfolgreicher Cyber-Angriffe werde von größter Bedeutung sein, um die Unterbrechung von medizinischen Diensten zu verringern und das Vertrauen der Patienten zu stärken. So könnten künftig Daten zur Verbesserung der Behandlungsergebnisse besser genutzt werden.

Weitere Informationen zum Thema:

paloalto NETWORKS, 14.11.2017
NHS IT Managers Cite Prioritizing Cybersecurity as Essential to Improving Patient Trust and Care / Training Identified as Significant Opportunity for Medical Staff to Support the NHS in Prevention of Successful Cyberattacks

datensicherheit.de, 18.11.2017
EU-DSGVO: Palo Alto Networks untersuchte Kommunikationsprobleme in Unternehmen