[datensicherheit.de, 25.11.2025] Der Freie Ärzteschaft e.V. lädt zu der Diskussionsveranstaltung „Digitalisierung in der Medizin – Keine Erfolgsstory im „Herbst der Reformen“ am 6. Dezember 2025 in Düsseldorf ein. Die gesetzlichen Krankenkassen kündigten Defizite an; Sparmaßnahmen und paternalistische Patientensteuerung sollten aber Beitragserhöhungen vermeiden. Ständig neue praxisferne Vorschläge verunsicherten Ärzte und Patienten. Im Kontext der Digitalisierung der Medizin sollen u.a. Fragen der Sicherheit, des Mehrwertes und der Auswirkungen Künstlicher Intelligenz erörtert werden.

Foto: Manfred Wigger

Wieland Dietrich und Dr. Silke Lüder geben am 6. Dezember 2025 – dann zusammen mit Prof. Ulrich Kelber – Impulse für die Podiums-Diskussion

Ärztliche Schweigepflicht und Informationelle Selbstbestimmung bedroht

Die Freie Ärzteschaft moniert, dass im Spannungsfeld o.g. Entwicklung gleichzeitig mit der elektronischen Patientenakte (ePA) ein „sanktionsbewehrtes staatliches Digitalisierungsprojekt“ ausgerollt wurde, welches in der bestehenden Form „teuer, zeitraubend und unsicher“ sei.

• Sie kritisiert zudem, dass die Ärztliche Schweigepflicht und die Informationelle Selbstbestimmung offenbar nicht mehr en vogue zu sein scheinen.

Nachgegangen werden soll demnach folgenden Fragestellungen:

• „Wurden alle Sicherheitslücken wie versprochen geschlossen?“
• „Ist ein vermeintlicher Mehrwert nach über 20 Jahren in der Medizin angekommen – oder sehen wir jetzt, wie an den Bedürfnissen der Nutzer vorbei geplant worden ist?“
• „Wie reagieren die Praxen auf den KI-Hype?“

„Digitalisierung in der Medizin – Keine Erfolgsstory im ,Herbst der Reformen’“

Samstag, 6. Dezember 2025, von 10.00 bis 12.30 Uhr

Hotel Mutterhaus, Geschwister-Aufricht-Straße 1, 40489 Düsseldorf

Programm (ohne Gewähr):

• Begrüßung und Einführung
  – Wieland Dietrich, Facharzt für Dermatologie, Vorsitzender der Freien Ärzteschaft e.V.
• „Kritisches Update zum Digitalisierungsprojekt ePA 3.0. Wo stehen wir Ende 2025? Was könnte man besser machen? Wie läuft die Diskussion in Berlin?“
  – Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz (BfDI) a.D.
• „ePA 3.0 Ende 2025: Top oder milliardenschwerer Flop? KI hört zu und schreibt mit – wo bleibt das Vertrauen?“
  Dr. Silke Lüder, Fachärztin für Allgemeinmedizin, stellv. Vorsitzende der Freien Ärzteschaft e.V.
• Anschließend moderierte Podiums-Diskussion

Anmeldung erforderlich:
Büro Freien Ärzteschaft e.V.
Frau Müller
Tel.: (0201) 68 58 60 90
E-Mail: mail [at] freie-aerzteschaft [dot] de

Weitere Informationen zum Thema:

Freie Ärzteschaft
Das sind wir: Die Freie Ärzteschaft (FÄ) vertritt den Arztberuf als freien Beruf und steht für eine emphatische, engagierte Ausübung der ärztlichen Heilkunde. Wir setzen uns für eine sichere und zukunftsorientierte Medizin ein und treten der rationierten Staatsmedizin und Bürokratisierung entgegen.

Freie Ärzteschaft
Vorstand

WIKIPEDIA
Ulrich Kelber

HOTEL MUTTERHAUS DÜSSELDORF
Geschichte des HOTEL MUTTERHAUS DÜSSELDORF / Das Mutterhaus der Kaiserswerther Diakonie

datensicherheit.de, 25.10.2025
ePA-Kritik: Freie Ärzteschaft moniert drohende internationale Verfügung über Krankheitsdaten / Trotz geringer Korrekturen an den bisher bekannten ePA-Datenschutzlücken zeigen die Aussagen der Bundesregierung laut FÄ, dass weiter eklatante Mängel und Probleme bestehen

datensicherheit.de, 24.11.2023
106. Tagung der Datenschutzkonferenz: Hohes Datenschutzniveau der medizinischen Forschung im Fokus / Unabhängige Datenschutzaufsichtsbehörden des Bundes und der Länder tagten am 22. und 23. November 2023

datensicherheit.de, 07.03.2023
Freie Ärzteschaft warnt vor schutzlosen persönlichsten Medizindaten / Freie Ärzteschaft befürchtet Begehrlichkeiten der Pharma-Forschung, Gesundheitspolitik oder -wirtschaft

datensicherheit.de, 10.06.2020
Digitaler Wandel: Aufschwung für die Telemedizin in Deutschland / Fernbehandlung zwischen Arzt und Patien in Baden-Württemberg auch außerhalb von Modellprojekten erlaubt

datensicherheit.de, 24.09.2018
Digitalisierung in der Medizin: Dilemmata für Ärzte / Sprechstunde als Schutzraum für Patienten droht verloren zu gehen

[datensicherheit.de, 30.09.2025] Auch der Verbraucherzentrale Bundesverband (vzbv) bezieht Position zu der verpflichtenden Einführung der elektronischen Patientenakte (ePA) per 1. Oktober 2025. vzbv-Gesundheitsexperte Lucas Auer betont, dass mit mehr Informationen in der ePA auch der Handlungsdruck für weitere Verbesserungen wachse. Die Patienten müssten selbstbestimmt entscheiden können, wer Zugriff auf ihre Gesundheitsdaten hat – Versicherte hätten bislang nicht im Detail steuern können, wer welche Informationen sieht.

Foto: vzbv

Lucas Auer fordert: Abrechnungsdaten sollten standardmäßig nur für die Versicherten selbst einsehbar sein!

Patienten müssen Kontrolle über ihre Daten behalten

Ab 1. Oktober 2025 beginne eine neue Phase beim Roll-out der ePA: Ärzte, Apotheken und Krankenhäuser seien dann verpflichtet, aktuelle Behandlungsdaten einzutragen.

• Patienten müssten allerdings die Kontrolle über ihre Daten behalten. Der vzbv fordert daher noch Nachbesserungen der ePA. Auer kommentiert:

„Wenn die ePA nun standardmäßig mit Daten gefüllt wird, kann sie endlich ihren Nutzen zeigen. Das gilt aber nur, sofern Arztpraxen und weitere Leistungserbringer ihrer Pflicht auch wirklich nachkommen!“

Konkret sollten Patienten selbstbestimmt entscheiden können, wer Zugriff auf ihre Gesundheitsdaten hat

Mit mehr Informationen in der ePA wachse auch der Handlungsdruck für weitere Verbesserungen. „Patientinnen und Patienten müssen selbstbestimmt entscheiden können, wer Zugriff auf ihre Gesundheitsdaten hat!“

• Versicherte hätten indes bislang nicht im Detail steuern können, wer welche Informationen sieht. Auer erläutert: „Mit der Hausarztpraxis möchten Patientinnen und Patienten die Informationen aus der Psychotherapie vielleicht teilen. Es ist aber nicht zwingend nötig, dass die Zahnarztpraxis von der Psychotherapie erfährt.“

Auch die Abrechnungsdaten, die Krankenkassen bis zu zehn Jahre rückwirkend in die ePA einstellten, könnten ungewollt Aufschluss über sensible Diagnosen geben. „Darum sollten die Abrechnungsdaten standardmäßig nur für die Versicherten selbst einsehbar sein!“, fordert Auer abschließend.

Weitere Informationen zum Thema:

Verbraucherzentrale Bundesverband
Über uns / Gemeinsam stark für Verbraucherrechte!

datensicherheit.de, 30.09.2025
Verpflichtende Einführung ab 1. Oktober 2025: Kritik an der ePA reißt nicht ab / Bündnis Widerspruch gegen die Elektronische Patientenakte (ePA) erinnert daran, dass die offenkundigen Sicherheitslücken eigentlich vollständig beseitigt sein sollten – nur dann würde die verpflichtende Einführung erfolgen

datensicherheit.de, 28.09.2025
„ePA für alle – Daten für alle?“ Landesdatenschutzbeauftragter und Verbraucherzentrale Rheinland-Pfalz laden nach Mainz ein / Am 6. November 2025 findet im Plenarsaal des Landtags Rheinland-Pfalz in Mainz eine Veranstaltung zu den Herausforderungen und Chancen der elektronischen Patientenakte (ePA) statt

datensicherheit.de, 09.07.2025
ePA-Einführung voraus – doch Gesundheitsdienstleister kämpfen noch immer mit IT-Problemen / 45 Prozent der deutschen Gesundheitseinrichtungen waren seit 2023 von einem Ransomware- oder DDoS-Angriff betroffen

datensicherheit.de, 08.02.2025
Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware / Es droht die kommerzielle ePA-Datennutzung durch Konzerne zu Lasten der gesetzlich Versicherten und der Ärzteschaft

datensicherheit.de, 28.01.2025
BLZK-Kritik an ePA: Vertrauen in Datenschutz verspielt / BLZK-Präsident Dr. Wohl fordert, die elektronische Patientenakte zurück auf null zu setzen

datensicherheit.de, 14.01.2025
Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch / vzhh empfiehlt Verbrauchern, sich umfassend zu informieren und eine „bewusste Entscheidung zum Einsatz der ePA“ zu treffen

datensicherheit.de, 21.11.2024
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient / Elektronische Patientenakte (ePA) kommt nun 2025 – Risiken und Nebenwirkungen werden nicht thematisiert, weshalb Datenschützer empfehlen sich zu informieren und zu widersprechen

[datensicherheit.de, 12.10.2023] Die USA gelten seit vielen Jahren als Vorreiter relevanter technischer Neuerungen – und somit auch als Indikator für künftige Entwicklungen in Deutschland. Das gilt offensichtlich leider auch für den Bereich der Cyber-Kriminalität: „Insbesondere beeinträchtigen Cyber-Kriminelle inzwischen im großen Maßstab auch das Gesundheitswesen“, so das Ergebnis einer aktuellen Studie des Ponemom-Instituts im Auftrag von Proofpoint.

64% in den letzten zwei Jahren von Cyber-Angriff auf Lieferkette betroffen

Laut dieser Studie haben Cyber-Attacken im letzten Jahr (2022) in zwei Dritteln der Gesundheitseinrichtungen die Patientenversorgung beeinträchtigt. „Im zweiten Jahr in Folge haben wir festgestellt, dass Angriffe direkte negative Auswirkungen auf die Sicherheit und das Wohlergehen der Patienten haben. Unsere Ergebnisse zeigen auch, dass im Vergleich zu 2022 mehr IT- und Sicherheitsexperten ihre Organisation als anfällig für jede Art von Angriff betrachten“, berichtet Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute. Diese Attacken belasteten auch die Ressourcen noch stärker als im letzten Jahr: Die finanziellen Kosten seien im Durchschnitt um 13 Prozent gestiegen und Gesundheitsinstitutionen benötigen 58 Prozent mehr Zeit, um die Auswirkungen auf die Patientenversorgung zu beheben.

Für die Studie wurden demnach 653 IT- und Sicherheitsexperten im Gesundheitswesen befragt. Sie habe ergeben, dass Angriffe auf die Lieferkette die Patientenversorgung am ehesten beeinträchtigen. Fast zwei Drittel (64%) der befragten Organisationen seien in den letzten zwei Jahren von einem Angriff auf die Lieferkette betroffen gewesen. Bei 77 Prozent dieser Unternehmen sei es infolgedessen zu einer signifikanten Störung der Patientenversorgung gekommen (ein Anstieg gegenüber 70% im Jahr 2022). „Business E-Mail Compromise“ (BEC) sei mit Abstand die Angriffsart, die am ehesten den Erfolg einer Behandlung aufgrund von Verzögerungen gefährde (71%), gefolgt von Ransomware (59%). BEC führe auch am ehesten zu vermehrten Komplikationen bei medizinischen Verfahren (56%) und einer längeren Aufenthaltsdauer (55%).

Kosten einer Cyber-Attacke: Anstieg um 13%

Bei den Kosten einer Cyber-Attacke konstatiere die Studie einen Anstieg um 13 Prozent gegenüber dem Vorjahr. Die durchschnittlichen Kosten für die von einer erfolgreichen Cyber-Attacke betroffenen Organisation hätten rund fünf Millionen US-Dollar betragen. Ryan Witt, Vorsitzender des „Healthcare Customer Advisory Board“ bei Proofpoint, kann nach eigenen Angaben den Ergebnissen der Studie zumindest einen positiven Aspekt abgewinnen: „Obwohl das Gesundheitswesen nach wie vor sehr anfällig für Cyber-Attacken ist, finde ich es ermutigend, dass die Führungskräfte der Branche verstehen, wie ein Cyber-Vorfall die Patientenversorgung beeinträchtigen kann.“

Witt zeigt sich optimistisch, dass bedeutende Fortschritte gemacht werden könnten, um Patienten vor den gesundheitlichen Gefahren in Folge solcher Angriffe zu schützen. Die Studie belege, dass sich die Organisationen des Gesundheitswesens der für sie relevanten Cyber-Risiken bereits bewusst seien. Witts abschließender Kommentar: „Jetzt müssen sie mit ihren Branchenkollegen zusammenarbeiten und die Unterstützung der Regierung in Anspruch nehmen, um eine bessere Cyber-Sicherheitslage zu erreichen – und damit die bestmögliche Patientenversorgung zu gewährleisten.“

Weitere Informationen zum Thema:

proofpoint
Threat Report / 2023 Ponemon Healthcare Cybersecurity Report

[datensicherheit.de, 30.06.2021] Ab dem 1. Juli 2021 sind Arztpraxen in Deutschland dazu angehalten, die sogenannte elektronische Patientenakte (ePA) zu befüllen. Für den Branchenverband Bitkom hat dessen Präsident, Achim Berg, hierzu positiv Stellung bezogen und betont die Wichtigkeit, dass im Gesundheitswesen durchgängig digitale Prozesse eingeführt werden.

Bitkom sieht ePA als Kernstück der Digitalisierung des Gesundheitswesens

Die ePA sei „das Kernstück der Digitalisierung des Gesundheitswesens“, so Berg. Mit ihr erhielten die Versicherten einen schnellen Zugriff auf ihre medizinischen Daten, Diagnosen und bald auch ihren Impfpass.
„Sie werden dadurch informierter und souveräner. Das Interesse an der elektronischen Patientenakte unter den Versicherten ist groß: Drei Viertel können sich vorstellen, sie zu nutzen“, berichtet Berg.

Bitkom fordert Ärzte auf, Patienten jetzt aktiv auf ePA-Vorteile hinzuweisen

Ärzte sollten ihre Patienten jetzt aktiv auf die Vorteile der ePa hinweisen: „Neben der technischen Ausstattung braucht es dafür ein digitales ,Mindset‘: Offenheit gegenüber der Digitalisierung und die Bereitschaft, die neuen technischen Möglichkeiten aktiv zu nutzen.“
Die „Corona-Pandemie“ habe uns drastisch vor Augen geführt, wie wichtig Vernetzung, ein funktionierender, sicherer Datenaustausch und die digitale Dokumentation von Untersuchungsergebnissen seien. „Zugleich sind die Zeiten, in denen die Menschen ein Leben lang denselben Hausarzt haben, vorbei. Sie wechseln nicht nur Wohnorte, sondern auch ihre behandelnden Ärztinnen und Ärzte.“

Bitkom-Forderung: Patienten sollten auch ePa eines privaten Anbieters nutzen können

Bei schwerwiegenderen Entscheidungen werde oft auch eine ärztliche Zweitmeinung eingeholt. „Wenn Akten in Papierform abgeheftet werden, sind Doppeluntersuchungen, Sicherheitsdefizite und der Verlust von Informationen programmiert“, sagt Berg und unterstreicht: „Umso wichtiger ist es, dass auch im Gesundheitswesen durchgängig digitale Prozesse eingeführt werden.“
Für den Einsatz der ePa werde schließlich auch entscheidend sein, dass die Versicherten frei zwischen den Anbietern wählen könnten: „Wer eine andere ePa als die seines Versicherers möchte, muss dafür bislang die Krankenkasse wechseln.“ Die ePa eines privaten Anbieters zu wählen, sei nicht möglich, kritisiert Berg und kommentiert: „Dies ist ein tiefgreifender und aus unserer Sicht inakzeptabler Einschnitt in die Wahlfreiheit der Patienten, der umgehend korrigiert werden muss.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.06.2021
Datapuls 2021: Deutsche fürchten bei der ePA den Datenmissbrauch / Patientenumfrage u.a. zur elektronischen Patientenakte im Vorfeld der ePA-Einführung am 1. Juli 2021

datensicherheit.de, 16.02.2021
Prof. Ulrich Kelber fordert weitere Verbesserung der elektronischen Patientenakte / BfDI würde elektronische Patientenakte in jetziger Form nicht nutzen

datensicherheit.de, 07.12.2020
Elektronische Patientenakte: Souveränität der Versicherten über Gesundheitsdaten bewahren / Professor Dieter Kugelmann appelliert an Krankenkassen und Gesetzgeber, Gesundheitsdaten konsequent zu schützen

datensicherheit.de, 03.06.2009
Datenschutz-Risiken bei der elektronischen Patientenakte / Hamburger Datenschutzbeauftragter Caspar sieht die Softwarehersteller in der Pflicht

[datensicherheit.de, 12.01.2021] Das Analystenteam von CybelAngel hat nach eigenen Angaben seinen aktuellen Forschungsbericht „Full Body Exposure“ vorgestellt. Demnach sind im Internet weltweit mehr als 45 Millionen medizinische Bilddateien – darunter Röntgen-, CT- und MRT-Scans – auf ungeschützten Servern für jedermann frei zugänglich, so die Warnung.

In Deutschland auf 251 Servern 39.204 frei zugängliche medizinische Aufnahmen

Der Bericht „Full Body Exposure“ basiere auf Untersuchungen von „Network Attached Storage“ (NAS) und „Digital Imaging and Communications in Medicine“ (DICOM), die über sechs Monate hinweg weltweit durchgeführt worden seien. DICOM sei der De-facto-Standard, den Mediziner zum Senden und Empfangen medizinischer Daten verwendeten. Die Analysten hätten im Rahmen ihrer Recherche aufgedeckt, daDSGVOss Millionen sensibler Bilder und Patientendaten im Internet frei zugänglich seien – unverschlüsselt und ohne Passwortschutz.
Für den Bericht hätten CybelAngel-Tools auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern gescannt. Dabei seien mehr als 45 Millionen medizinische Bilder identifiziert worden, die für jedermann offen zugänglich gewesen seien. Allein in Deutschland hätten die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen gefunden. In Großbritannien seien im gleichen Zeitraum auf 90 Servern 23.238 solcher Bilder entdeckt worden. Die medizinischen Aufnahmen enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglicht hätte. Die Daten ließen sich aus allen identifizierten Quellen problemlos ohne Benutzernamen oder Passwort abrufen. In einigen Fällen akzeptierten Login-Portale auch leere Benutzernamen und Passwörter.

Bessere Schutzvorkehrungen für medizinische Patientendaten notwendig

„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, stellt David Sygula, „Senior Cybersecurity Analyst“ bei CybelAngel und Autor des Berichts „Full Body Exposure“, klar. Trotzdem sei es ihnen ein Leichtes gewesen, besagte Daten zu identifizieren und problemlos darauf zuzugreifen.
Diese besorgniserregende Entdeckung beweise, dass schnell deutlich strengere Sicherheitsprozesse eingeführt werden müssten, so der Analyst. „Die Art und Weise, wie Fachpersonal sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren als bisher üblich.“ Er plädiert für ein „gesundes Gleichgewicht zwischen Sicherheit und bequemer Zugänglichkeit“, um Datenpannen in Zukunft zu verhindern.

Medizinische Einrichtungen arbeiten meist mit Netz von Drittanbietern

Die Brisanz des Themas liege unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. „Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind“, erläutert Sygula. Die Cloud sei dabei Dreh- und Angelpunkt und damit eine wichtige Plattform für den Austausch und die Speicherung von Daten.
Sicherheitslücken stellten in einer solchen Umgebung ein enormes Risiko dar. Dies gelte einerseits für die Personen, deren Daten kompromittiert würden, also die Patienten. Andererseits seien auch Einrichtungen des Gesundheitswesens, welche den Vorschriften zum Schutz der Patientendaten unterlägen, durch die aufgedeckten Sicherheitsmängel gefährdet.

Medizinische Aufnahmen könnten im Darknet zu Höchstpreisen verkauft werden

„Gerade der Gesundheitssektor steht aktuell vor noch nie dagewesenen Herausforderungen. Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen daher deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten“, mahnt Sygula.
Der Bericht hebe die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug sei ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden könnten.

Wenige Schritte zu mehr medizinischem Datenschutz

Compliance habe im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So seien europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten seien sanktionspflichtig und könnten hohe Strafen nach sich ziehen.
Um die Sicherheit von Patientendaten aller Art zu garantieren, rät CybelAngel zu einigen grundlegenden Schritten. Damit könnten medizinische Einrichtungen ihre Workflows sowie die Art und Weise absichern, in der Daten geteilt und gespeichert werden. Die wichtigsten Maßnahmen seien:

• – Lecks bei Dritten identifizieren und stopfen.
• – Cloud-Zugriffe sperren, wo immer es angebracht ist.
• – Daten außerhalb des Netzwerks ausreichend überwachen.

Weitere Informationen zum Thema:

CybelAngel
Full Body Exposure / CybelAngel Analysis of Medical Data Leaks

datensicherheit.de, 21.08.2020
Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz / Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

[datensicherheit.de, 07.12.2020] Die Digitalisierung des Gesundheitswesens schreitet offenkundig immer schneller voran. Laut einer aktuellen Stellungnahme des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) forciert die Bundesregierung „den zuvor jahrelang nur schleppend vorangekommenen Prozess der Digitalen Transformation des deutschen Gesundheitswesens durch zahlreiche Gesetzgebungsvorhaben“. Nachdem erst im Oktober 2020 das Patienten-Datenschutzgesetz (PDSG) in Kraft getreten sei, habe das Bundesgesundheitsministerium Mitte November 2020 bereits den nächsten Entwurf vorgelegt, diesmal für ein Gesetz zur digitalen Modernisierung von Versorgung und Pflege, kurz DVPMG genannt. „Aus der Perspektive des Datenschutzes ist der digitale Umbau des Gesundheitssystems in Deutschland zu begrüßen, sofern auch in der digitalen Versorgung die Souveränität der Versicherten hinsichtlich der Verarbeitung ihrer Daten bewahrt und deren Schutz konsequent sichergestellt wird“, so der LfDI RLP. Doch daran hapere es immer wieder…

Patienten-Datenschutzgesetz etabliert elektronische Patientenakte zum Jahresanfang 2021

Bei der mit dem Patienten-Datenschutzgesetz zum Jahresanfang 2021 etablierten elektronischen Patientenakte werde den Versicherten ohne geeignetes Endgerät die Wahrnehmung der ihnen zustehenden Rechte „in unzumutbarer Weise erschwert“. Im Jahr 2021 bestehe gar keine Möglichkeit, ohne eigenen PC, Handy oder Tablet in die Inhalte der eigenen Akte Einblick zu nehmen und Zugriffsrechte darauf zu steuern. Ab 2022 könne ein Vertreter benannt werden, „über den dies dann möglich sein soll“. Eine unmittelbare Rechteausübung sei zu keinem Zeitpunkt vorgesehen.
„Damit werden Versicherten ihnen unmittelbar zustehende elementare Datenschutzrechte genommen. Mit der Aufstellung eigener Terminals bei den Krankenkassen oder anderen geeigneten Maßnahmen hätte man dies vermeiden können und müssen“, bilanziert der LfDI RLP, Prof. Dieter Kugelmann. Die gesetzlichen Vorgaben missachteten in grober Weise die den Versicherten zustehende Wahrnehmung ihres Grundrechts. „Sollten sich Betroffene an mich wenden und Defizite bei der Ausübung ihrer Rechte geltend machen, werde ich von den meiner Aufsicht unterliegenden Krankenkassen verlangen, dass die Versicherten ihre Datenschutzrechte unmittelbar ausüben können.“

Neuester Gesetzentwurf aus dem Bundesgesundheitsministerium hat Verbesserungsbedarf

Auch in Bezug auf den neuesten Gesetzentwurf aus dem Bundesgesundheitsministerium sieht Professor Kugelmann nach eigenen Angaben „Verbesserungsbedarf“. Mit dem Entwurf des DVPMG werde die Digitalisierung im Gesundheitswesen vertieft und auf den Bereich der Pflegeversicherung ausgeweitet. Doch es gebe deutliche Defizite: „So sollen digitale Gesundheits- und Pflegeanwendungen unter anderem noch bis zum Jahr 2023 erstattungsfähig sein, wenn deren Datenschutz- und Sicherheitstauglichkeit allein von den Herstellern selbst erklärt wird. Erst danach bedarf es im Hinblick auf die Sicherheit der Anwendungen der Vorlage von Zertifikaten; bezüglich des Datenschutzes ist das auch danach nicht vorgesehen.“
Dem Schutz der Gesundheitsdaten, welche in den digitalen Anwendungen sowohl in der Krankenversorgung als auch der Pflege verarbeitet werden, müsse höchste Priorität beigemessen werden. Allein den eigenen Erklärungen der Hersteller zu vertrauen, dürfe als Nachweis für die Einhaltung der Anforderungen an den Datenschutz und die Datensicherheit nicht ausreichen. „Schon die Zulassung der ersten digitalen Gesundheitsanwendungen hat dies eindrucksvoll gezeigt“, berichtet Professor Kugelmann und appelliert deshalb an den Gesetzgeber, „ausschließlich den Einsatz von sicheren und datenschutzgerechten Anwendungen sicherzustellen und dabei die in dem Datenschutzrecht vorhandenen Möglichkeiten der Zertifizierung im besonders sensiblen Gesundheitswesen zu nutzen und dies nicht erst im Jahr 2023, sondern sofort“. Datenschutz und IT-Sicherheit dürften nicht auf die lange Bank geschoben werden.

Bei Einrichtung eines zentralen Kommunikationsdienstes für das Gesundheitswesen Vorgaben des Datenschutzes beachten

In seiner gegenüber der Landesregierung Rheinland-Pfalz zu diesem Gesetzentwurf abgegebenen Stellungnahme fordert Professor Kugelmann weiter, „bei der im Gesetz vorgesehenen Einrichtung eines zentralen Kommunikationsdienstes für das Gesundheitswesen die Vorgaben des Datenschutzes für die Nutzung von E-Mail- und Messaging-Diensten zu beachten und insbesondere die Nutzung privater Endgeräte zur Kommunikation im beruflichen Kontext zu verbieten.“
Die Einrichtung einer Schweigepflicht für Hersteller von digitalen Gesundheits- und Pflegeanwendungen sei zu begrüßen, „wobei sich diese auf alle an der Herstellung und den Betrieb mitwirkenden Personen erstrecken sollte“. Den Bundesländern sei vom Bund die Möglichkeit eingeräumt worden, bis zum 7. Dezember 2020 zum neuen Gesetzentwurf Stellung zu nehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 03.11.2019
Patientendaten: Bundesregierung plant Weiterleitung / Anja Hirschel warnt vor „gläsernem Patienten“ und Ausverkauf an zentrales Forschungszentrum

datensicherheit.de, 18.09.2019
Patientendaten: Sicherheitsexperte fordert Ende-zu-Ende-Verschlüsselung /Detlef Schmuck stellt hochsicheren Ausweg angesichts des jüngsten Vorfalls vor

[datensicherheit.de, 22.10.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) meldet, dass Anfang Oktober 2020 das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die ersten beiden digitalen Anwendungen – sogenannte Gesundheits-Apps – zugelassen und in das Verzeichnis für Digitale Gesundheitsanwendungen („DiGA-Verzeichnis“) aufgenommen habe. Der LfDI RLP rät indes zu „Vorsicht bei Gesundheits-Apps“ – Schutz und Sicherheit von Patientendaten müssten höchste Priorität haben.

Kosten für verschriebene Gesundheits-Apps könnten von den gesetzlichen Krankenversicherungen übernommen werden

Somit könnten nun die Kosten für diese Gesundheits-Apps, sofern sie ärztlich verschrieben wurden, von den gesetzlichen Krankenversicherungen übernommen werden. Voraussetzung für die Aufnahme in das DiGA-Verzeichnis sei unter anderem, „dass die Anwendungen den Anforderungen an den Datenschutz entsprechen und die Datensicherheit nach dem Stand der Technik gewährleistet ist“ (§ 139 e Abs. 2 Satz 2 Nr. 2 SGB V).
Inzwischen sei bekanntgeworden, dass bei einer der Apps, die zur Behandlung von Menschen mit Angsterkrankungen eingesetzt werde, IT-Sicherheitsexperten gravierende Datenschutz-Mängel festgestellt hätten. Laut LfDI RLP hätten Angreifer durch Nutzung der Sicherheitslücken Angstpatienten als solche „enttarnen“ und schlimmstenfalls deren Accounts mit sensiblen Daten übernehmen können.

Gesundheits-Apps sammeln hochsensible Daten, welche genaue Einblicke in die persönliche Lebensführung zulassen

„Bei Gesundheits-Apps müssen Schutz und Sicherheit der Daten höchste Priorität haben. Die Geräte und die Software-Anwendungen sammeln hochsensible Daten, welche genaue Einblicke in die persönliche Lebensführung zulassen. Aus diesen Gründen ist es unerlässlich, dass gerade Apps, die vom BfArM freigegeben wurden, höchsten Sicherheits- und Datenschutzansprüchen genügen“, betont der Stellvertretende LfDI RLP, Helmut Eiermann.
Die Nutzer digitaler Gesundheitsanwendungen müssten darauf vertrauen können, dass ihre Daten wirksam geschützt werden. „Dass eine der ersten freigegebenen Apps Sicherheitsmängel aufweist, ist beunruhigend. Das zuständige Bundesgesundheitsministerium sollte daher Nachbesserungen am Zulassungsverfahren angehen.“

Defizite bei Ausgestaltung des Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt

Der LfDI RLP hatte nach eigenen Angaben in der Vergangenheit wiederholt gemeinsam mit den anderen Datenschutz-Aufsichtsbehörden Defizite bei der Ausgestaltung des gesetzlich vorgesehenen Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt. Dabei habe er insbesondere kritisiert, dass lediglich aufgrund von Hersteller-Angaben Apps in das Verzeichnis aufgenommen würden, ohne dass deren datenschutzrechtliche Vereinbarkeit durch unabhängige Stellen geprüft werde.
„Es wird deutlich, dass das vom BfArM durchgeführte Zulassungsverfahren nicht tauglich ist, um die Datenschutzkonformität der in das DiGA-Verzeichnis aufgenommenen Apps zu gewährleisten“, sagt Eiermann.

Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis

Aus technischer Sicht sollten insbesondere folgende Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis berücksichtigt und im Rahmen unabhängiger Audits geprüft werden:

• die Vertraulichkeit und Integrität der Kommunikation (Inhalts- und Metadaten),
• die Sicherheit der auf dem Endgerät beziehungsweise in der App gespeicherten Gesundheitsinformationen,
• die beteiligten technischen Dienstleister sowie die Einbeziehung sonstiger Stellen (etwa zur Reichweitenmessung und App-Analyse).

Hierbei reiche es nicht aus, sich allein auf Hersteller-Angaben zu verlassen.

Weitere Informationen zum Thema:

datensicherheit.de, 09.08.2020
Phishing: Gesundheitssektor benötigt Schutztechnik und -trainings / Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

datensicherheit.de, 14.05.2020
Gesundheitswesen: Globaler Anstieg von Ransomware- und Cyberangriffen / Bitdefenders Telemetrie zeigt Spitzen seit Ausbruch der Pandemie

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

[datensicherheit.de, 29.08.2020] Laut einer aktuellen Meldung von VECTRA soll ein Entwicklerfehler den Leak von 150.000 bis 200.000 in „Office 365“ und „Google G Suite“ gespeicherten Gesundheitsdaten von Patienten verursacht haben, die kürzlich auf „GitHub“ gefunden worden seien.

Foto: Vectra

Andreas Müller: Kein System und kein Benutzer jemals perfekt…

Patientendaten von neun Gesundheitsorganisationen aus der Cloud entdeckt

Der niederländische Security-Forscher Jelle Ursem habe neun separate Dateien mit hochsensiblen persönlichen Gesundheitsdaten (PHI) von neun verschiedenen Gesundheitsorganisationen entdeckt. Die darin gefundenen Patientendaten stammten von den Gesundheitseinrichtungen Xybion, MedPro Billing, Texas Physician House Calls, VirMedica, MaineCare, Waystar, Shields Health Care Group, AccQData und einem weiteren im Bericht beschriebenen, aber nicht genannten Unternehmen.

Betroffene Cloud-Nutzer schwer zu erreichen

Ursem habe Schwierigkeiten gehabt, diese Unternehmen zu erreichen, deren Daten durchgesickert seien, und habe den Vorfall schließlich an „DataBreaches.net“ gemeldet, „das mit ihm zusammenarbeitete, um ein gemeinsames Paper mit dem Titel ,No Hack When It’s Leaking‘ über die Ergebnisse zu veröffentlichen“.

Nichts Neues: Klinikverwaltungen versäumen grundlegende Schritte zur Sicherung von Cloud-Diensten und -Anwendungen

„Klinikverwaltungen, die es versäumen, grundlegende Schritte zur Sicherung von Cloud-Diensten oder -Anwendungen zu unternehmen, sind nichts Neues“, kommentiert Andreas Müller, „Director DACH“ bei VECTRA AI. Es seien so viele Fälle bekannt geworden, in denen private Daten versehentlich dem Internet ausgesetzt worden seien. „Die sofortige Bereitstellung und Skalierbarkeit von Cloud-Computing sind zwar wertvolle Vorteile, aber die Funktionen und Standardkonfigurationen des Cloud-Service-Providers sind ständig im Wandel begriffen.“

Fähigkeit entscheidend, den unbefugten oder böswilligen Zugriff auf Cloud-Dienste zu überwachen, zu erkennen und darauf zu reagieren

Administratoren müssten wissen, „was sie tun, Anpassungen vornehmen und sicherstellen, dass geeignete Zugriffskontrollen zum Schutz ihrer Daten vorhanden sind“. Da kein System und kein Benutzer jemals perfekt sei, könne die Fähigkeit, den unbefugten oder böswilligen Zugriff auf Cloud-Dienste zu überwachen, zu erkennen und darauf zu reagieren, den Unterschied zwischen einem eingedämmten Sicherheitsvorfall und einem ausgewachsenen Datenschutzproblem ausmachen, „mit dem die betroffenen Gesundheitsdienstleister und ihre Patienten jetzt konfrontiert sind“.

Weitere Informationen zum Thema:

VECTRA Blog, Andreas Müller, 09.07.2020
Gravierende Cyber-Risiken im Gesundheitswesen

DataBreaches.net
Health Data

datensicherheit.de, 27.08.2020
VECTRA: Kritische Systeme auf den Prüfstand stellen

[datensicherheit.de, 21.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Meldung auf einen schweren Datenschutz-Vorfall mit Patientenakten ein. In der Liegenschaft des seit Jahren leerstehenden Krankenhauses in Büren wurden demnach seit 2010 Tausende von Krankenakten ungesichert gelagert. Die ursprünglich für die Akten verantwortliche Krankenhausträgergesellschaft, ein Tochterunternehmen der Marseille Kliniken, habe 2010 Insolvenz angemeldet und danach den Klinikbetrieb im gleichen Jahr eingestellt.

HmbBfDI

Prof. Dr. Johannes Caspar: HmbBfDI legt Beschwerde beim OVG Hamburg ein

Sicherung der Krankenakten im leerstehenden Gebäude in Büren erfolgte über Jahre nicht

Der Insolvenzverwalter habe das Grundstück nach Ende des Insolvenzverfahrens an den ursprünglichen Eigentümer, ein Tochterunternehmen der Marseille Kliniken mit Registersitz in Hamburg, zurückgegeben. Das Krankenhausgelände sei seither zeitweilig durch einen Hausmeister betreut worden. „Eine Sicherung der Krankenakten im leerstehenden Gebäude erfolgte nicht.“
Über diesen Fall sei im Mai 2020 auf YouTube detailliert berichtet worden. Dies habe eine breite Medienwirksamkeit erzielt. „Die öffentliche Berichterstattung führte dazu, dass sich ehemalige Patienten über die frei zugängliche Lagerung ihrer Patientenakten bei der Behörde für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen beschwerten.“ Zudem sei die Liegenschaft in der Folge mehrmals durch unbefugte Personen betreten worden, welche sich aus Neugier oder mit dem Vorsatz, dort Dinge zu entwenden, widerrechtlich Zugang zum Gebäude verschafft hätten.

Wegen wiederkehrenden Einbruchsversuchen in Büren ordnete HmbBfDI sofortige Vollziehbarkeit der Grundverfügung an

„Da die Grundstücksgesellschaft ihren Registersitz und die Muttergesellschaft ihren Hauptsitz in Hamburg hat, wurden die Beschwerden an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) abgegeben.“ Dieser hat nach eigenen Angaben in Abstimmung mit der Stadt Büren als zuständige Ordnungsbehörde weitergehende Sicherungsmaßnahmen eingeleitet. Dennoch sei es zu erneuten Versuchen unbefugter Personen gekommen, sich Zutritt zu den Aktenräumen zu verschaffen. Dies habe die Beauftragung eines 24-Stunden vor Ort befindlichen Sicherheitsdienstes erforderlich gemacht.
Mit Bescheid vom 23. Juni 2020 habe der HmbBfDI gegenüber der Grundstückseigentümerin, einer Schwestergesellschaft der ursprünglichen Krankenhausbetreibergesellschaft, angeordnet, die Krankenakten in einer datenschutzgerechten Weise zu lagern und – um die Rechte von Betroffenen an den Daten zu sichern – diese durch einen Träger der ärztlichen Schweigepflicht in Obhut zu nehmen. „Aufgrund der akuten Gefährdungslage durch wiederkehrende Einbruchsversuche ordnete der HmbBfDI die sofortige Vollziehbarkeit der Grundverfügung an.“

VG Hamburg sieht im bloßen Vorhandensein der Aktenbestände in Büren nur einen Zustand

Dem Antrag der Eigentümerin auf Wiederherstellung der aufschiebenden Wirkung habe das VG Hamburg im einstweiligen Rechtsschutzverfahren nun mit der Begründung stattgegeben, dass es sich bei der streitgegenständlichen Lagerung der Patientenakten „unter keinem rechtlichen Gesichtspunkt um einen (der Antragstellerin) zurechenbaren Verarbeitungsvorgang“ im Sinne der Datenschutzgrundverordnung (DSGVO) handele. Vielmehr sei das bloße Vorhandensein der Aktenbestände in dem Gebäudekomplex der Antragstellerin ein bloßer Zustand. Gefordert sei vom Verarbeitungsbegriff eine relevante Zustandsveränderung, die vorliegend durch das bloße Lagern nicht gegeben sei. Eine datenschutzrechtliche Garantenpflicht kenne das Gesetz nicht.
Dieser Beschluss sei unter datenschutzrechtlichen Gesichtspunkten zu hinterfragen, so der HmbBfDI. Die verengende Auslegung des Begriffs der Verarbeitung sei geeignet, erhebliche Rechtsschutzlücken für Grundrechte betroffener Personen zu hinterlassen. Im Fall der Rechtsnachfolge einer verantwortlichen Stelle reiche demnach bloßes Nichtstun, um die Regelungen des Datenschutzes ins Leere laufen zu lassen: „Betroffene haben nach diesen Bestimmungen weder die Möglichkeit, Auskunft über ihre Daten zu bekommen, noch Widerspruch gegen die Datenhaltung zu erheben oder ihre Löschung zu verlangen.“

HmbBfDI fordert Prüfung: Lagern von Daten in eigenen Räumen in Büren gegenüber Betroffenen ggf. eine Verarbeitung

Betroffene hätten dann weder ein Recht auf Beschwerde bei einer unabhängigen Stelle, noch können sie die Einhaltung der erforderlichen technisch-organisatorischen Sicherungsmaßnahmen verlangen. Die Anwendung des zivilrechtlichen Unterlassungsanspruchs gegen den rechtswidrigen Umgang mit Daten sei „juristisch problematisch“ und dürfte bei fehlender Verantwortlichkeit ohnehin nicht durchsetzbar sein. Eine grundrechtskonforme Auslegung, welche das Verwaltungsgericht vorliegend offenbar nicht in Betracht ziehe, könne hierbei weiterhelfen:
Insoweit wäre zu prüfen, ob nicht das Lagern von Daten in den eigenen Räumen gegenüber den Betroffenen eine Verarbeitung darstellt, worauf auch die englische Wortbedeutung des Begriffs des „Storing“ (Lagerung) hindeute, welcher den Verarbeitungsbegriff in der DSGVO konkretisiere. Im Übrigen begegne es erheblichen Bedenken, dass durch besondere gesellschaftsrechtliche Betriebsaufspaltungen die datenschutzrechtliche Verantwortlichkeit auf einen Rechtsträger verlagert werden könne, der dann insolvenzbedingt untergehen könne, „ohne dass Mutter- oder Tochtergesellschaft datenschutzrechtliche Pflichten treffen“.

Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort in Büren gesichert

„Wir haben in den vergangenen Wochen alles getan, um die Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort zu sichern. Dafür hatten wir uns mit der Stadt Büren, der Bezirksregierung Detmold, dem Minister für Arbeit, Gesundheit und Soziales des Landes Nordrhein- Westfalen sowie mit unseren Kollegen des LfDI NRW abgestimmt. Dass in dem vorliegenden Fall nun keine Zuständigkeit für eine Aufsichtsbehörde im Bereich des Datenschutzes bestehen soll, kommt nicht nur für uns überraschend“, führt Prof. Dr. Johannes Caspar, der HmbBfDI, aus.
Der Beschluss des VG Hamburg werfe viele Fragen auf, welche insbesondere den weiteren Umgang mit den Patientenakten der Ordnungsbehörden vor Ort und letztlich auch die Durchsetzung der Rechte zahlreicher Betroffener erheblich erschwerten. „Wir haben daher Beschwerde gegen den Beschluss beim OVG Hamburg eingelegt um sicherzustellen, dass das Datenschutzrecht für Patientendaten am Standort Büren gilt“, berichtet Professor Caspar. Gleichzeitig müsse grundsätzlich geklärt werden, „dass ein umfassender Schutz gerade von besonders sensiblen Daten in derartigen Fallgruppen gewährleistet wird, der nicht durch spezifische Konzernstrukturen unterlaufen werden kann“.

Weitere Informationen zum Thema:

ItsMarvin auf YouTube, 29.05.2020
LOSTPLACES: UNGLAUBLICH! DIESES KRANKENHAUS IST 10 JAHRE ZU !

datensicherheit.de, 25.06.2020
EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt

[datensicherheit.de, 06.06.2019] Ralph Kreter, securonix, erörtert die Frage, ob eine ganzheitliche Sicht wie sie das „Security Information and Event Management“ (SIEM) verspricht, tatsächlich helfen kann, den zunehmenden Sicherheitsrisiken im Gesundheitswesen zu begegnen.

Personal Health Information – so sensibel wie begehrt

Kreter: „Patientendaten sind extrem vertrauliche Informationen. Sie besonders zu schützen ist nur konsequent, und die Institutionen im Gesundheitswesen sind sich der Tragweite bewusst. Die hier anfallenden Daten, die sogenannten PII-Daten, ,Personal Health Information‘, sind so sensibel wie begehrt. Das führt schon seit einigen Jahren dazu, dass Institutionen im Gesundheitswesen kontinuierlich mit Angriffen von Innentätern als auch von externen Cyber-Kriminellen zu kämpfen haben.“
Die Beispiele erfolgreicher Attacken seien „Legion“. Auch hierzulande habe es bereits spektakuläre Vorfälle mit schwerwiegenden Folgen gegeben. PII-Daten gehörten zu den Daten, die sich besonders gut verkaufen ließen, und die finanzielle Motivation spiele bei externen Angreifern eine entscheidende Rolle. Es verwundere also nicht, dass die Zahl der Angriffe steige und die verwendeten Vektoren zunehmend ausgefeilter würden.

PHI-Aufzeichnungen: Zugriff und Schutz zugleich gewährleisten

Ziel der Cyber-Kriminellen sei es, illegitim auf alle Arten von medizinischen Daten und Patienteninformationen zuzugreifen und dabei möglichst lange unentdeckt zu Werke zu gehen. Gleichzeitig gehöre die Gesundheitsbranche zu den besonders stark regulierten Industriezweigen. Regulatorischer Druck und mögliche Strafen stellten die Verantwortlichen vor nicht zu unterschätzende Herausforderungen. Die Herausforderung sei es, so Kreter, Zugriff auf PHI-Aufzeichnungen zu gewährleisten und sie gleichzeitig zu schützen.
„Im Zuge der Digitalisierung und der damit einhergehenden technischen und organisatorischen Veränderungen entwickelt sich auch das Gesundheitswesen ständig weiter. Das macht es nicht unbedingt einfacher, für die Sicherheit einer komplexen und hoch vernetzten Infrastruktur zu sorgen, innerhalb derer eine Vielzahl von sensiblen Daten verarbeitet, geteilt und gespeichert werden.“

Tiefgreifende Veränderungen des Gesundheitswesens

Zu diesen tiefgreifenden Veränderungen zählen laut Kreter:

• Die Einführung elektronischer Patientendatensysteme.
• Das Gesundheitswesen verlasse sich zunehmend auf immer intelligenter werdende und internetfähige medizinische Geräte.
• Die Branche stehe unter hohem regulatorischen Druck mit wachsenden Herausforderungen – HIPAA und HITECH, um nur zwei zu nennen.

Angriffsszenarien ebenfalls verändert

Parallel dazu hätten sich die Angriffsszenarien ebenfalls verändert und weiterentwickelt. Je attraktiver das Ziel desto ausgefeilter die Angriffe. Das gelte auch und gerade für Systeme im Gesundheitswesen. Patientendaten gehörten zu den Informationen, die auf dem Schwarzmarkt regelmäßig Höchstpreise erzielten. Zu den gängigsten Angriffsmethoden und Szenarien gehören:

• Ransomware.
• Sicherheitsschwachstellen im Internet of Things (IoT).
• Innentäter, einschließlich bestechlicher Mitarbeiter.
• „Social Engineering“ entweder über Soziale Medien oder (zum Teil hoch spezialisierte) Phishing-Angriffe

Herkömmliche SIEM-Systeme aber ungeeignet

Das Gesundheitswesen sei bisher eher selten durch besonders aktuelle Sicherheitstechnologien und Prozesse aufgefallen. Ausnahmen bestätigten auch hier die Regel, allerdings meistens erst dann, „wenn das Kind schon in den Brunnen gefallen ist und eine Datenschutzverletzung den nötigen Handlungsdruck erzeugt hat“.
Viele der bestehenden Sicherheitssysteme seien nicht mehr aktuell oder gar in der Lage, mit den Innovationen der Medizintechnologie Schritt zu halten. Die existierenden Signatur- und Regelbasierten Security-Information-and-Event-Management-Lösungen (SIEM) bildeten da hinsichtlich neuer Bedrohungsszenarien keine Ausnahme. Zudem produzierten sie Unmengen von Alarmen, übersähen Anzeichen auf einen potenziellen Angriff und überschwemmten die ohnehin überlastete IT mit Falsch-Positiv-Meldungen. Die sorgten im schlimmsten Fall dafür, dass relevante Benachrichtigungen übersehen würden und die Effektivität der Sicherheitsmaßnahmen gefährlich nach unten gehe.

Moderne SIEM-Systeme integrieren zusätzliche Schlüsselattribute

Das Gesundheitswesen sei in einem hohen Maße von medizinischer Hard- und Software und digitalen Daten abhängig, während sich gleichzeitig die Bedrohungslandschaft ununterbrochen wandele. Traditionelle SIEM-Lösungen erfüllten dieses Anforderungsprofil kaum mehr. Dem SIEM-System liege das Prinzip zugrunde, dass relevante Daten über die Sicherheit einer Firma an verschiedenen Stellen anfielen und es wesentlich einfacher sei, Trends und Muster zu erkennen, „die vom gewohnten Schema abweichen, wenn man alle diese Daten an einer zentralen Stelle betrachten kann“.
SIEM fasse Funktionen von „Security Information Management“ (SIM) und „Security Event Management“ (SEM) in einem Sicherheits-Management-System zusammen. Moderne SIEM-Systeme integrierten aber zusätzliche Schlüsselattribute, „die helfen die beschriebenen Risiken zu senken, im Idealfall zentral gesteuert“, so Kreter.

Automatisiertes maschinelles Lernen und Big-Data-Analysen

Moderne SIEM-Systeme nutzten Technologien auf Basis von Künstlicher Intelligenz (KI) und maschinellem Lernen. Für Angreifer sei es mit üblichen Techniken sonst relativ problemlos möglich, traditionelle Regel- und Signatur-basierte SIEM-Lösungen zu umgehen. Gegen bislang unbekannte Bedrohungen seien sie ohnehin machtlos. Deshalb nutzten moderne SIEM-Lösungen automatisiertes maschinelles Lernen und Big-Data-Analysen. „Ein System, das auf maschinellem Lernen basiert, kann sich zügig anpassen und auch solche Bedrohungen erkennen, auf die traditionelle Systeme nicht schnell genug reagieren können.“
Ferner nutzen sie die Analyse des Benutzerverhaltens, um potenzielle Insider-Bedrohungen und unbefugtes „Herumschnüffeln“ zu erkennen. Solche Systeme verwalteten eine Liste der Benutzer und der ihnen zugewiesenen Berechtigungen. Kreter: „Das stellt sicher, dass die Nutzer nur auf solche Patientendaten zugreifen, auf die sie auch Zugriff haben sollten.“ Das Benutzerverhalten sowohl auf der individuellen Ebene als auch auf Gruppen-Level zu verstehen, sei eines der Schlüsselelemente, um Anomalien zu entdecken, welche Anzeichen für eine Insider-Bedrohung sein könnten: „Sie basieren auf dem Missbrauch von Zugriffsberechtigungen, die entweder fälschlich zugewiesen wurden und es dem Betreffenden erlauben, außerhalb des autorisierten Bereichs zu agieren. Oder ein externer Angreifer benutzt einen illegitimen Kontozugriff und bedient sich der mit diesem Konto verbundenen Rechte.“

Eindeutig definierte Prozesse zur Störungsbeseitigung

Wird ein Cyber-Angriff entdeckt, komme es darauf an, Art und Umfang schnellstmöglich zu analysieren und Gegenmaßnahmen einzuleiten, um den Schaden zu begrenzen. Werden Bedrohungen nicht innerhalb einer bestimmten Zeitspanne erkannt und beseitigt, seien die Folgen oft weitreichend.
„Wie sich wer im Falle eines Angriffs zu verhalten hat, wie die Kommunikationsabläufe definiert sind und welche Schulungen jetzt greifen sollten, all das sind Prozesse, die helfen den Schaden einzugrenzen“, berichtet Kreter.

Vertraulichkeit der Patientendaten gewährleisten

„Nur wenn man EMR-Applikationen kontinuierlich überwacht, entdeckt man Anzeichen für verdächtige Aktivitäten. Das ist aber nur eine Seite“, so Kreter. Wenn diese Aufzeichnungen Patientendaten enthalten, sei es wichtig sicherzustellen, dass diese auch vertraulich bleiben. Einer der Nachteile bei traditionellen SIEM-Lösungen liege darin, dass man gezwungen sei, sensible Patientendaten mit anderen IT-Daten zu vermischen, und so riskiere, gegen Compliance-Anforderungen zu verstoßen.
Fortschrittliche SIEM-Lösungen integrierten eine Reihe von Funktionen, die vertrauliche Daten schützten. Dazu diene das Anonymisieren von Daten (etwa über Datenmaskierung), die Rollen-basierte Kontrolle von Zugriffsberechtigungen, das Filtern oder Löschen von Daten und ein vollständig nachvollziehbarer Audit-Trail.

Kombination: Bedrohungserkennung und -abwehr

Vereinfachtes Compliance-Reporting willkommen: Unternehmen und Organisationen innerhalb des Gesundheitswesens seien stark reguliert. Entsprechend aufwändig seien die Berichtsanforderungen. Funktionen, die es erlauben Berichte sofort abzurufen, erleichterten die Compliance mit HIPAA, HITRUST, DSGVO/GDPR und anderen Richtlinien.
„Aktuelle Lösungen kombinieren Bedrohungserkennung und Bedrohungsabwehr über eine zentrale Stelle und integrieren EMR-Anwendungen, Sicherheit und Netzwerkgeräte sowie ,Identity Stores‘. Auf diese Weise sammelt das System Daten zu Sicherheitsvorkommnissen und ergänzt sie um hilfreiche Kontextinformationen“, so Kreter. Die Befunde würden auf der Basis von maschinellem Lernen analysiert, so dass der Algorithmus auf ein in diesem Umfeld als „normal“ definiertes Verhalten trainiert werde und abweichendes Verhalten und Anomalien identifizieren könne. Weiterhin ließen sich zwischen bestimmten Anomalien Muster und Schemata erkennen, die in nachvollziehbare Bedrohungsketten mündeten. Diese wiederum erlaubten es, Vorkommnisse und Risiken zu priorisieren und entsprechend zu handeln.

Weitere Informationen zum Thema:

SECURONIX
WHITEPAPER / Next-Gen SIEM for Healthcare

datensicherheit.de, 20.05.2019
Cybersicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich