Von unserem Gastautor Julian Totzek-Hallhuber, Principal Solution Architect bei Veracode

[datensicherheit.de, 21.07.2021] Patientendaten und Informationen rund um Pflege, Diagnose und Behandlung sind nur ein Teil der sensiblen Daten, mit denen Organisationen im Gesundheitswesen täglich arbeiten. Eine zentrale Aufgabe der IT ist es, diese mit größter Sorgfalt zu behandeln und umfassend zu schützen. Der elfte State of Software Security (SoSS) Report von Veracode gibt einen Überblick über den aktuellen Stand der Anwendungssicherheit und enthüllt dabei spezifische Erkenntnisse über den Gesundheitssektor. Julian Totzek-Hallhuber, Principal Solution Architect des Unternehmens, fasst die wichtigsten Erkenntnisse zusammen und zeigt Entwicklern und Entscheidern im Gesundheitssektor, worauf sie in Zukunft achten müssen.

Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Die elfte Ausgabe der branchenweit umfangreichsten Studie gibt einen Überblick über den Status Quo der Anwendungssicherheit. Im Fokus standen die Finanzbranche, das Gesundheitswesen, der Einzelhandel/Gastgewerbe, die Produktionsbranche, die Technologie-Branche und Behörden. Eine zentrale Erkenntnis: In den verschiedene Sektoren adressieren IT-Teams Sicherheitslücken auf unterschiedliche Weise – und mit unterschiedlichen Geschwindigkeiten. Das Gesundheitswesen arbeitet mit vielen sensiblen Daten. Nur so kann Klinikpersonal und anderes medizinisches Personal ihren Patienten die bestmögliche Versorgung gewährleisten. Im Zug der fortschreitenden Digitalisierung gilt es, diese wertvollen Daten zu schützen und der SoSS Report zeigt: Unternehmen aus dem Gesundheitswesen beheben Sicherheitsrisiken schneller, als Unternehmen aus anderen Branchen. Und obwohl einige DevSecOps-Praktiken dort bereits angekommen sind, gibt es immer noch weitere Best Practices, die Entwickler in ihre Arbeitsabläufe einbauen können, um Sicherheitslücken schneller zu schließen.

Bild: Veracode

Der aktuelle Stand der Anwendungssicherheit im Gesundheitssektor

Im Vergleich zu anderen Branchen schneidet das Gesundheitswesen gut ab: Lediglich 75 Prozent aller Anwendungen weisen mindestens eine Sicherheitslücke auf. Weniger Schwachstellen finden sich nur in der Finanzbranche, mit 74 Prozent. Schlechter schneidet der Einzelhandel sowie die Produktion mit 76 Prozent ab. Bei Anwendungen aus der Technologie-Branche wurde ein Anteil von Applikationen mit mindestens einer Sicherheitslücke von 78 Prozent, bei behördlichen Anwendung sogar ein Anteil von 80 Prozent verzeichnet.

Im Vergleich zu diesem relativ positiven Ergebnis finden sich im Gesundheitssektor zahlreiche Anwendungen mit schwerwiegenden Sicherheitslücken – mit 26 Prozent belegt die Branche den zweiten Platz. Nur die Technologiebranche hat mit 28 Prozent einen höheren Anteil an schwerwiegenden Sicherheitslücken. Auch die Fehlerbehebungsrate ist auf einem recht niedrigen Niveau. Während die Finanzbranche mit einer Fehlerbehebungsrate von 75 Prozent am besten von allen untersuchten Branchen abschneidet, verzeichnet das Gesundheitswesen lediglich eine Rate von 70 Prozent. Schlechter schneiden nur behördliche Einrichtungen (66 Prozent) und die Produktionsbranche (59 Prozent) ab. Die Dauer, bis die Hälfte der Sicherheitslücken im Gesundheitswesen behoben wird, ist mit 149 Tagen zwar auf dem zweiten Platz von allen untersuchten Sektoren, trotzdem bietet sich hier enormer Raum zur Optimierung.

Fehleranalyse: Wo es hakt

Die unterschiedlichen identifizierten Sicherheitslücken in den Anwendungen wurden kategorisiert, um eine detailliertere Analyse zu ermöglichen. Bei einem Überblick über alle Kategorien kann das Gesundheitswesen eine positive Bilanz verzeichnen: Im Durchschnitt werden hier kategorienübergreifend weniger Sicherheitslücken gefunden als in den anderen Branchen. Die häufigste Art der Fehler sind mit 49 Prozent Datenlecks, gefolgt von CLRF-Injections mit 48 Prozent und der Qualität des Codes mit 46 Prozent. Dabei stellen Datenlecks ein signifikant geringeres Problem dar als im branchenübergreifenden Durchschnitt, der bei 58 Prozent liegt. Auffällig ist, dass das Gesundheitswesen gerade beim Beheben von CLRF-Injections und kryptographischen Problemen einen enormen Vorsprung gegenüber den anderen Branchen hat. Das ist in Hinblick auf den wachsenden Rückgriff von Patienten auf Apps für das Gesundheitsmanagement ein positiver Trend.

Die Entwicklungsumgebung macht den Unterschied

Der aktuelle Bericht hat das Verhalten von Entwicklern in den Fokus gestellt, da die Ausübung von DevSecOps-Praktiken einen wichtigen Faktor für erfolgreiche Anwendungssicherheit darstellt. Es kann zwischen gegebenen Eigenschaften der Entwicklungsumgebung („Nature“) und den beeinflussbaren Faktoren bei der Entwicklung („Nurture“) unterschieden werden. Entwickler im Gesundheitswesen agieren in einer relativ sicheren und stabilen Umgebung im Vergleich zu anderen Industrien. Die Branche belegt bei dem durchschnittlichen Alter der Anwendungen, der Anwendungsgröße und der Fehlerdichte jeweils den zweiten Platz. Die Organisationen selbst scheinen allerdings relativ groß zu sein – das Gesundheitswesen belegt hier den vierten Platz. Folglich findet der Einzug von DevSecOps-Praktiken nur Schritt für Schritt statt. Unternehmen im Gesundheitssektor belegen lediglich Platz fünf bei der Häufigkeit ihrer Sicherheitsscans und bei der Integration von Sicherheitsaspekten im Entwicklungsprozess nehmen sie den vierten Platz ein. Im Gegensatz dazu belegen die Organisationen den ersten Platz bei der Scan-Kadenz. Dies legt offen: Es gibt zwar keine häufigen Sicherheits-Scans, aber konsistente, die einer kontinuierlichen Strategie unterliegen. Entwickler im Gesundheitswesen greifen verstärkt auf dynamische Analyse (DAST) zurück, Organisationen belegen hier im Vergleich zu Unternehmen aus anderen Branchen den ersten Platz – bei Software-Composition-Analyse (SCA) jedoch den letzten. Hier besteht Handlungsbedarf, denn Teams, die eine Kombination von Scan-Typen, einschließlich DAST, SCA und statischer Analyse (SAST), verwenden, verbessern ihre Fehlerbehebungsrate. Diejenigen, die auf eine Kombination aus SAST und DAST zurückgreifen, beheben die Hälfte der Fehler 24 Tage schneller. Für Unternehmen im Gesundheitswesen gilt daher das Fazit: DevSecOps-Praktiken wurden zwar bereits schrittweise integriert, sind aber noch nicht umfassend genug etabliert.

Digitales Gesundheitswesen: Auf bestehende Strategie aufbauen, DevSecOps-Praktiken priorisieren

Organisationen im Gesundheitswesen sind zwar relativ groß, die Anwendungen auf die sie zurückgreifen jedoch zeitgemäß und eher klein. So stehen Entwickler vor weniger Herausforderungen, denn der „Nature“-Aspekt der Entwicklungsumgebung im Gesundheitswesen unterstützt sie. Die zahlreichen identifizierten Vorteile führen zu einer besseren Reaktionszeit. Dies trägt zu einer erhöhten Wahrscheinlichkeit bei, Fehler schneller zu beheben. Für Unternehmen gilt es jetzt zu erkennen, dass sie weitere Vorteile daraus ziehen könnten, wenn Entwickler zusätzliche DevSecOps-Praktiken nachhaltig in das Unternehmen integrieren würden. Es muss also zukünftig die „Nuture“ verstärkt in den Fokus rücken. Die Sicherheitsstrategie im Gesundheitswesen könnte durch eine erhöhte Frequenz und durch die Integration von weiteren Scan-Typen die Anwendungssicherheit auf ein neues Level heben.

Weitere Informationen zum Thema:

datensicherheit.de, 28.05.2020
Veracode-Report: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

Von unserem Gastautor Ben Bulpett, EMEA Marketing Director bei SailPoint

[datensicherheit.de, 05.05.2020] Hochsensible Patientendaten offen zugänglich im Internet – Ende 2019 sorgte diese Schlagzeile für Aufsehen. Im September letzten Jahres ergaben Recherchen des Bayerischen Rundfunks und des US-amerikanischen Rechercheportals ProPublica, dass medizinische Informationen von Millionen von Patienten weltweit auf offen zugänglichen Servern im Netz aufzufinden waren – und dies teilweise über Jahre hinweg. Es handelte sich unter anderem um Röntgenaufnahmen und Bilder von Vorsorge-Screenings. Mehr als 13.000 der gefundenen Datensätze stammten aus Deutschland von mindestens fünf verschiedenen Server-Standorten. Der Hauptteil der Informationen konnte auf Patienten in Ingolstadt verortet werden sowie aus Kempen in Nordrhein-Westfalen. Anfang dieses Jahres warnte dann der bayerische Datenschutzbeauftragte Thomas Petri im Rechtsausschuss des Landtags, dass es Kliniken in Bayern gebe, die im Bereich IT-Sicherheit nur sehr schlecht ausgestattet seien. Auch Andreas Sachs vom Landesamt für Datenschutzaufsicht warnte vor einer mangelnden IT-Sicherheitsorganisation in einzelnen Kliniken.

Effektiver Schutz für sensible Patientendaten nötig

Es stellt sich daher die Frage wie Healthcare-Betriebe ihre Patientendaten effektiv schützenkönnen. Zunächst lässt sich festhalten, dass in jeder Gesundheitseinrichtung immer wieder sensible Informationen ihren Weg in Tabellenkalkulationen, Folien und andere, unstrukturierte Formate finden, die dann in Dateispeichern abgelegt werden. Tatsächlich ist dies nichts Ungewöhnliches, erstellen doch Mitarbeiter und sogar Bots laufend Nachberichte oder kopieren aus verschiedenen Gründen Daten aus Dokumenten, um sie anderswo einzufügen. Zudem werden regelmäßig Papierdokumente eingescannt und digitalisiert. All diese Vorgänge lassen ein Meer unstrukturierter Daten entstehen. Und wenn diese Daten nicht verwaltet werden, laufen Unternehmen aus dem Gesundheitsbereich stark Gefahr, sensible Informationen preiszugeben.

Bild: SailPoint

Ben Bulpett, EMEA Marketing Director bei SailPoint

Kontrolle über Patientendaten

Ein guter Anfang nicht die Kontrolle über Patientendaten zu verlieren besteht darin, die häufigsten Fallstricke zu kennen, die zu ungewolltem Datenabfluss führen – und zu wissen, wie diese mithilfe von Identity Management vermieden werden können.

1. Offene Zugänge werden ignoriert – In offenen Repositories, etwa Ordnern und Containern mit unzureichenden oder fehlenden Zugriffskontrollen, sammeln sich gerne alle möglichen Daten an. In vielen Fällen sind darunter auch hochsensible Informationen. Solche Datenablagen lassen sich leicht verwenden und freigeben und eignen sich gut für automatisierte Prozesse, bei denen Daten gemeinsam genutzt werden müssen. Je länger sie existieren, desto mehr Einsatzzwecke finden die Nutzer für sie. All dies führt zu einer ersten Kontrolllücke – es werden Datendepots übersehen, die möglicherweise ungeschützte sensible Informationen enthalten. Mit Identity Governance können Unternehmen feststellen, wer Zugriff auf Daten hat und wann Nutzer zuletzt auf sie zugegriffen haben. So können offene Zugänge geschlossen werden.
2. Die Zugriffspfade für Konten werden nicht überprüft – Nehmen wir an, ein Mitarbeiter wurde versetzt. Nachdem ein Healthcare-Betrieb festgestellt hat, dass seine digitale Identität über eine Gruppe, der er angehört, Zugriff auf einen bestimmten Ordner hat, entfernt das Unternehmen diese Berechtigung, indem der Mitarbeiter aus der Gruppe entfernt wird. In Wirklichkeit ist die Sache jedoch nicht so einfach, da der Datenzugang nicht abgeändert oder widerrufen wurde. Dies kann zu Szenarien führen, in denen ein Verwaltungsmitarbeiter umfassenden Zugriff auf alle Behandlungsdaten eines Patienten hat, obwohl er nur dessen Namen, das Geschlecht, Geburtsdatum, die Adresse und die Angaben zu seiner Krankenversicherung braucht. Damit wären wir beim zweiten häufigen Fehler – der Annahme, es gäbe nur einen Weg, um Zugang zu Daten zu erhalten. Mithilfe einer visuellen „Landkarte“, die zeigt, wie ein Benutzer auf eine Ressource zugreifen kann, können Organisationen wie Krankenhäuser und Arztpraxen die Zugriffspfade von Personen verwalten und sehen, wo Probleme bestehen.
3. Alle Aktivitäten werden manuell überprüft – Wenn viele Daten vorhanden sind, die regelmäßig genutzt werden, ist die zentrale Frage: Wie behalten Firmen dann im Blick, wie auf diese Daten zugegriffen wird, wie sie kopiert, gelöscht, umbenannt oder geändert werden? Ohne identitätsbezogene Informationen, die helfen, den gewöhnlichen Datenverkehr vernünftig herauszufiltern, können Gesundheitsbetriebe unmöglich jede Aktivität untersuchen. Dies bedeutet, dass risikoreiche Aktivitäten nicht überprüft oder erst nach geraumer Zeit entdeckt werden. Der bloße Versuch, dieses Verfahren manuell abzuwickeln, schafft schon eine weitere Kontrolllücke. Identity Management ermöglicht es Unternehmen, die Kontrolle über gewöhnliche Zugriffe dem System zu überlassen. So können sich die Mitarbeiter darauf konzentrieren, Zugriffe durch Schlüsselpersonen zu überprüfen.
4. Alle Ordner werden gleich behandelt – Ein Ordner mit den wöchentlichen Speiseplänen für stationär untergebrachte Patienten birgt nicht die gleichen Risiken wie einer, der Informationen zu Medikamenten und ihrer Dosierung enthält. Dennoch behandeln viele Einrichtungen im Gesundheitssektor alle Ordner gleich. Damit konzentrieren sie aber ihre Ressourcen für Governance-Maßnahmen nicht auf die Bereiche, in denen diese am meisten bringen. Nur wenn die Datenarten in den Ordnern klassifiziert werden, Open-Access-Inhalte ermittelt werden und wenn Verantwortliche die Maßnahmen rund um die Inhalte mit den höchsten Aktivitäten priorisieren, kann ein vierter Fehler vermieden werden – die Gleichbehandlung aller Ordner. Wenn Firmen eine Identitätsstrategie anwenden, können ihre Ordner nach den enthaltenen Daten und den zugriffsberechtigten Personen klassifiziert werden. Dann kann entschieden werden, ob für einen Ordner strengere Sicherheitsrichtlinien gelten sollten. Wenn beispielsweise die meisten Nutzer, die auf den Ordner zugreifen, aus der Finanzabteilung kommen, kann dieser Ordner als Finanzordner klassifiziert und mit entsprechenden Richtlinien geschützt werden.
5. Zugriffe werden nur durch die IT überprüft – Wer könnte die IT-Sicherheit eines Betriebs besser überprüfen als die IT-Abteilung? Schließlich hat sonst keiner Zeit dafür. Nicht alle Gesundheitseinrichtungen mögen tatsächlich so denken, doch es gibt nicht wenige, die so handeln. In der Regel haben Teams außerhalb der IT das Kontextwissen zu den Benutzern, den gespeicherten Daten und den Speicherorten sensibler Informationen. Dennoch wird der Schutz sensibler Daten oft ganz den IT- und Sicherheitsteams aufgebürdet. Viele Gesundheitsunternehmen wie etwa Kliniken versäumen es, die Risikoprüfung unter IT-Verantwortlichen und anderen Mitarbeitern aufzuteilen, was zu Fehlern führen kann. Anhand der Identitäten können Healthcare-Organisationen erkennen, wer am besten geeignet ist, bestimmte Zugriffe zu verwalten und zu überprüfen. Der Datenschutz ist schließlich eine Anforderung, die den gesamten Betrieb betrifft.
6. Viele verschiedene Tools zur Durchsetzung der Governance-Regeln werden eingesetzt – Man könnte sagen, dass Sicherheit eine Frage der Schichten ist – jedenfalls wenn es um Tools geht, die unterschiedliche Aufgaben erfüllen. Wenn Organisationen jedoch jeden ihrer Cloud-Anbieter mit einem anderen Tool verwalten und wieder andere Tools für lokale Speicher, NAS und SharePoint einsetzen, ist Chaos vorprogrammiert. Eine derart inkonsequente Vorgehensweise schafft nicht nur Sicherheitslücken, sondern erschwert es auch, auf Änderungen und neue Betriebsanweisungen zu reagieren. Die übermäßige Diversifizierung der Tools kann zu Schwachstellen führen, die Angreifer anschließend ausnutzen können. Eine integrierte Identitätsstrategie erlaubt es Unternehmen im Gesundheitssektor, alle Benutzer, Dienstleister, Anwendungen sowie strukturierte und unstrukturierte Daten über eine einzige Plattform zu verwalten.

Laut Marktforschungsanbieter Gartner sind schätzungsweise 80 Prozent aller Daten weltweit unstrukturiert. [1] Und einer von vier Benutzern speichert sensible Daten in Cloud-Anwendungen oder gibt sie an andere weiter. [2] Solche Zahlen machen deutlich, wie groß die Herausforderungen in diesem Bereich sind. Die Integration von Identity Governance in die betriebsinterne Cybersicherheitsstrategie wird gewährleisten, dass Patientendaten geschützt sind, und die vollständige Konformität mit der EU-DSGVO wird Gesundheitseinrichtungen helfen, das enorme Risiko des Datenabflusses einzudämmen. Dies ist hier gerade aufgrund der besonderen Sensibilität der Informationen besonders wichtig. Wenn Identity Governance zur Absicherung der Patientendaten genutzt wird, können drei zentrale Fragen beantwortet werden: Wer Zugriff worauf hat, wie dieser Zugriff genutzt wird und ob der Zugriff gerechtfertigt ist. So machen Kliniken, Versicherer, Arztpraxen und andere Gesundheitsdienstleister Datenbestände zukunftssicher, unterstützen die betrieblichen Anforderungen und ebnen den Weg zu echter Sicherheit.

[1] Gartner, „Organizations Will Need to Tackle Three Challenges to Curb Unstructured Data Glut and Neglect Foundational“, Januar 2017

[2] SailPoint Market Pulse Survey 2017

Weitere Informationen zum Thema:

SailPoint
Identity and Access Management Software Solutions – On-Premises & Cloud IAM

datensicherheit.de, 03.11.2019
Patientendaten: Bundesregierung plant Weiterleitung

datensicherheit.de, 18.09.2019
Jahrelang einsehbar: Millionen von Patientendaten

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

datensicherheit.de, 03.12.2012
Datenschutzexperte Christian Volkmer warnt vor Datensammelwut der Krankenkassen

[datensicherheit.de, 22.11.2019] Greenbone, nach eigenen Angaben Lösungsanbieter zur Schwachstellenanalyse von IT-Netzwerken, hat ein Update seines Sicherheitsberichts zu ungeschützten medizinischen Bildarchivierungssystemen (Picture Archiving and Communication Systems, PACS) veröffentlicht. Ärzte und Kliniken auf der ganzen Welt nutzen demnach PACS-Server, um radiologische Bilder wie CT- oder MRT-Aufnahmen zu speichern. In der ersten Analyse vor 60 Tagen habe Greenbone Networks über 24 Millionen öffentlich zugängliche Patientendatensätze im Internet gefunden – seither sei die Zahl auf 35 Millionen gestiegen.

Die meisten neuen Datensätze in den USA entdeckt

Sicherheitsforscher von Greenbone hätten 1,19 Milliarden medizinische Bilder im Zusammenhang mit diesen Patientendaten identifiziert. Das seien 60 Prozent mehr als bei der ersten Analyse zwischen Juli und September 2019.
In vielen Fällen seien Angaben zu Patientennamen, Untersuchungsgrund, Geburtsdatum und sogar Ausweisnummern enthalten. Die meisten neuen Datensätze seien in den USA entdeckt worden. Die 786 Millionen damit verknüpften medizinischen Bilder enthielten zum Teil Sozialversicherungsnummern oder Angaben zu Militärausweisen des Verteidigungsministeriums.

Seit erster Analyse vor 60 Tagen keine Verbesserung erkennbar

Weltweit habe Greenbone 129 neue, ungeschützte Archivierungssysteme entdeckt. Neun weitere Länder seien seit der ersten globalen Analyse hinzugekommen. Am stärksten sei die Zahl der öffentlich im Internet zugänglichen Bilder in den USA, Indien, Südafrika, Brasilien und Ecuador gestiegen.
Greenbone habe außerdem festgestellt, dass angemessene Kontrollmaßnahmen, wie sie zum Beispiel durch das Gesetz zum Schutz von Gesundheitsinformationen (Health Insurance Portability and Accountability Act, HIPAA) in den USA vorgeschrieben seien, weitgehend fehlten. Insgesamt habe sich die Zahl der ungeschützten medizinischen Datensätze von 4,4 Millionen auf neun Millionen mehr als verdoppelt. Damit seien 370 Millionen sensible Bilder öffentlich über das Internet zugänglich. Jeder könne sie mit wenigen Internetkenntnissen einsehen.

Deutschland, Großbritannien, Thailand und Venezuela entfernten medizinische Bildarchivierungssysteme

Umgekehrt habe Greenbone auch festgestellt, dass 172 PACS-Server vollständig offline genommen worden seien. Elf Länder, darunter Deutschland, Großbritannien, Thailand und Venezuela, hätten all ihre medizinischen Bildarchivierungssysteme entfernt, so dass Patientendaten nicht länger über das Internet zugänglich seien.
„Während einige Länder schnell gehandelt haben und alle zugänglichen Daten aus dem Internet entfernt haben, scheint sich das Problem der ungeschützten PACS-Systeme weltweit noch zu verschärfen. Insbesondere in den USA fließen sensible Patienteninformationen offenbar frei zugänglich im Netz. Dort zeichnet sich eine Datenschutzkatastrophe ab“, kommentiert Dirk Schrader, „Cyber Resilience Strategist“ bei Greenbone Networks.

Details zu ungeschützten Systemen nur an autorisierte Stellen

„Bei unserer zweiten Analyse hatten wir nicht damit gerechnet, dass wir noch mehr ungeschützte Daten finden würden als zuvor. Und schon gar nicht, dass wir weiterhin Zugang zu den Systemen haben würden, die wir bereits identifiziert hatten. Immerhin ist es einigen Ländern gelungen, ihre Systeme aus dem Internet zu nehmen. Das gibt Hoffnung. Aber es gibt noch viel zu tun“, betont Schrader.
Um die Einhaltung der Datenschutzbestimmungen zu gewährleisten, habe Greenbone im Rahmen seiner Forschung keine Patientendaten heruntergeladen oder eingesehen und werde Details zu den ungeschützten Systemen nur an autorisierte Stellen weitergeben.

Weitere Informationen zum Thema:

Greenbone
Information Security Report / Unprotected patient data in the Internet – a review 60 days later or The Good, the Bad, and the Ugly

[datensicherheit.de, 03.11.2019] Laut einer Stellungnahme der Piratenpartei Deutschland soll bereits am 7. November 2019 das „Digitale-Versorgungs-Gesetz“ im Bundestag beschlossen werden. Es verspricht demnach, die Digitalisierung in der Medizin einen großen Schritt voranzubringen – so sollen u.a. Verwaltungsprozesse vereinfacht und die Telemedizin gestärkt werden. Als „besonders brisant“ bezeichnet indes die Piratenpartei, dass dieses Gesetz zusätzlich vorsehe, „die persönlichen Daten aller gesetzlich Versicherten an den Spitzenverband der Krankenkassen weiterzuleiten“.

Pseudo-Pseudonymisierung der Patientendaten befürchtet

Unter § 303b „Datenzusammenführung und -übermittlung“ im Antrag zur Änderung des Fünften Buches Sozialgesetzbuch werde konkret gefordert,

1. Angaben zu Alter, Geschlecht und Wohnort,
2. Angaben zum Versicherungsverhältnis,
3. die Kosten- und Leistungsdaten nach den §§ 295, 295a, 300, 301, 301a und 302,
4. Angaben zum Vitalstatus und zum Sterbedatum und
5. Angaben zu den abrechnenden Leistungserbringern

an den Spitzenverband Bund der Krankenkassen als Datensammelstelle weiterzuleiten.
Dieser wiederum übermittele die Daten (ohne das Versichertenkennzeichen) an ein Forschungsdatenzentrum. Die einzelnen Datensätze sollten mit einer Arbeitsnummer gekennzeichnet werden, was als Pseudonymisierung angesehen werden könnte. „Allerdings soll eine Liste beigefügt werden, welche diese Arbeitsnummern wiederum den eindeutigen Versichertenkennzeichen zuordnet“, warnt die Piratenpartei.

Ausverkauf der Patientendaten in diesem Ausmaß nicht widerspruchslos hinzunehmen

Das Forschungsdatenzentrum selbst (geregelt in § 303d) werde zudem ermächtigt, Anträge auf Datennutzung zu prüfen, die Daten zugänglich zu machen und „das spezifische Reidentifikationsrisiko in Bezug auf die durch Nutzungsberechtigte nach § 303e beantragten Daten zu bewerten und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen zu minimieren“.
Anja Hirschel, Stadträtin in Ulm und Bundesthemenbeauftragte für Digitalisierung der Piratenpartei, kommentiert: „Es ist zu befürchten, dass die höchst persönlichen und sensiblen Gesundheitsdaten, welche nun zentral gesammelt werden sollen, komplett schutzlos sind: vor gezielten Angriffen, vor Datenpannen, vor kommerziellen Interessen. Es ist leicht, eine Datensammelwut mit Digitalisierung zu begründen, es ändert aber nichts an der Tatsache, dass wir den Ausverkauf unserer Daten in diesem Ausmaß nicht widerspruchslos hinnehmen dürfen.“

Widerspruchsrecht bei Weiterleitung der Patientendaten offenbar nicht vorgesehen

Auf technische Details wie Verschlüsselung usw. werde nicht eingegangen. Deren Klärung obliege dem Spitzenverband selbst. „Das Nähere zur technischen Ausgestaltung der Datenübermittlung nach Satz 1 vereinbart der Spitzenverband Bund der Krankenkassen mit den nach § 303a Absatz 1 Satz 2 bestimmten Stellen spätestens bis zum 31. Dezember 2021.“ Ein Widerspruchsrecht werde ebenso nicht erwähnt – dies wäre aber dringend erforderlich.
Beim Vergleich dieses Gesetzesentwurfs mit dem Krebsfrüherkennungs- und -registergesetz (KFRG), beschlossen 2013, fällt laut Piratenpartei auf: „Das Krebsregister hält die Daten in von Internet getrennten Netzen und nutzt sie ausschließlich dazu, die medizinische Versorgung voran zu bringen um u.a. Therapien zu verbessern. Es dient der Optimierung der individuellen Betreuung der Patienten. In manchen Landesgesetzen ist zudem ein Widerspruchsrecht und/oder ein Widerspruch gegen die Kontaktaufnahme möglich.“

Weitere Informationen zum Thema:

bundesgesundheitsministerium.de
Gesetzentwurf der Bundesregierung / Entwurf eines Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG)

datensicherheit.de, 26.09.2019
Leistungsschutzrecht: Piratenpartei fordert Experiment zu stoppen

datensicherheit.de, 03.12.2012
Datenschutzexperte Christian Volkmer warnt vor Datensammelwut der Krankenkassen

[datensicherheit.de, 19.09.2019] In Luxemburg wird verstärkt in „e-Health Services“ investiert. Nach offiziellen Angaben nutzen dort 30.000 Gesundheitsexperten aus Krankenhäusern, Laboren und niedergelassenen Praxen bereits die digitale Gesundheitsplattform der Agentur „eSanté“: Darüber sei es möglich, elektronische Gesundheitsinformationen sicher auszutauschen und gemeinsam zu nutzen. Dazu zählt demnach auch die Digitale Patientenakte – seit 2015 in der Testphase, soll sie bis Jahresende 2019 für alle rund 850.000 Krankenversicherten in Luxemburg eingeführt werden.

Patientendaten: Jüngste Sicherheitslücke nur ein Beispiel von vielen

„Medizinische Patientendaten werden in vielen Ländern noch nicht ausreichend gesichert. Die jüngst publik gewordene gravierende Sicherheitslücke der frei im Web liegenden Röntgenbilder und MRT-Aufnahmen ist nur eins von vielen Beispielen“, kommentiert Kurt Kammerer, „CEO“ der regify GmbH, welche nach eigenen Angaben für die Agentur „eSanté“ die Technologie für den sicheren, verschlüsselten Austausch der Patientendaten bereitstellt.
Einfachste Sicherheitsmaßnahmen würden von Praxen und Krankenhäusern in den betroffenen Ländern – darunter auch Anbieter aus Deutschland – nicht umgesetzt. „Das luxemburgische Gesundheitswesen setzt hier andere Maßstäbe“, unterstreicht Kammerer.

Datensicherheit in der Box für sensiblen Gesundheitssektor

„eSanté“ stelle Luxemburger Krankenhäusern, Laboren und Praxen eine Cloud-Lösung für den vertraulichen Austausch von Patientendaten bereit. Die sensiblen Daten werden laut Kammerer online in einer sicheren Daten-Box, der „regibox“, abgelegt und seien nur für die Beteiligten zugänglich.
„Werden Daten hinzugefügt, verändert oder gelöscht, können die Projektbeteiligten dank automatischer Synchronisierung immer auf den aktuellen Datenbestand zugreifen.“ Labore könnten zum Beispiel neueste Blutwerte den betreuenden Ärzten in Krankenhäusern direkt zur Verfügung stellen, „ohne dass ein Sicherheitsrisiko entsteht“. Das helfe den Patienten, beschleunige Prozesse und sichere die medizinischen Einrichtungen ab, so Kammerer.

Vorreiterrolle beim grenzüberschreitenden Austausch von Patientendaten

Luxemburg sei auch innerhalb der EU zusammen mit Finnland, Estland und Tschechien Vorreiter beim grenzüberschreitenden Austausch von Patientendaten.
So beteilige sich das Land seit Juni 2019 über „eSanté“ am EU-Programm „CEF eHDSI“ (Connecting Europe Facility – eHealth Digital Services Infrastructure). Dadurch würden zum Beispiel Medikamentenverschreibungen auch in Apotheken anderer Länder gültig.

Weitere Informationen zum Thema:

datensicherheit.de, 18.09.2019
Öffentlich zugänglich Patientendaten: Was Unternehmen nun lernen sollten

datensicherheit.de, 18.09.2019
Jahrelang einsehbar: Millionen von Patientendaten

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

[datensicherheit.de, 18.09.2019] Medizinische Daten sollten grundsätzlich mit einer Ende-zu-Ende-Verschlüsselung versehen werden, sagt Datensicherheitsexperte Detlef Schmuck, Geschäftsführer der Hamburger TeamDrive GmbH. Dazu müsse Bundesgesundheitsminister Jens Spahn zügig „klare gesetzliche Vorgaben“ machen. Schmuck reagiert damit auf den jüngsten Medizindatenskandal, bei dem mehrere Millionen Patientendaten auf öffentlich zugänglichen Servern für jedermann einzusehen waren.

Foto: TeamDrive Systems GmbH

Detlef Schmuck: Patientendaten können nie hundertprozentig sicher gespeichert werden

Diebstahl nie ganz auszuschließen – aber Lesbarkeit für den Dieb

„Angesichts der Vielzahl von Datendiebstählen im großen Stil weltweit wäre es grob fahrlässig, davon auszugehen, dass Patientendaten hundertprozentig sicher gespeichert werden können. Vielmehr muss von Anfang an in die Überlegungen der Fall mit einbezogen werden, dass die Daten gestohlen und missbräuchlich verwendet werden“, betont Schmuck.
Der einzige Ausweg stelle eine lückenlose Ende-zu-Ende-Verschlüsselung dar. Dann könnten die Daten zwar immer noch gestohlen werden, aber der Dieb könne mit den Daten nichts anfangen, weil sie für ihn unlesbar seien. „Nur die Ende-zu-Ende-Verschlüsselung stellt sicher, dass die Daten ausschließlich dann lesbar sind, wenn der Patient in jedem Einzelfall ausdrücklich zustimmt.“

Ende-zu-Ende-Verschlüsselung personenbezogener medizinischer Daten jetzt verbindlich machen!

Der Hamburger Sicherheitsexperte fordert den Bundesgesundheitsminister auf, „so rasch wie möglich eine bundesweit einheitliche Regelung auf den Weg zu bringen, die die Ende-zu-Ende-Verschlüsselung personenbezogener medizinischer Daten verbindlich vorschreibt.“
Die Sicherheitskette müsse alle am Gesundheitswesen Beteiligten einbeziehen, von Arztpraxen und Apotheken über medizinische Dienstleister bis hin zu Krankenhäusern, unterstreicht Schmuck.

[datensicherheit.de, 18.09.2019] „Wie diese Woche bekannt wurde, waren und sind teilweise immer noch zahlreiche Patientendaten ungesichert abrufbar. Darunter fallen etwa Röntgenaufnahmen, Screenings sowie Krankenakten“, berichtet Volker Sommer, „Area Vice President DACH und EE“ bei SailPoint. Besonders brisant sei hierbei die Tatsache, dass die betroffenen Daten personalisiert seien, „das heißt, die jeweiligen Aufnahmen und Dokumente können dem betroffenen Patienten zugeordnet werden“. So sei es auch für weniger versierte Hacker möglich gewesen, in Echtzeit auf die ungesicherten Server zuzugreifen und die Daten abzuspeichern.

Foto: SailPoint

Volker Sommer: „Im Gesundheitsbereich handelt es sich um die intimsten und persönlichsten Informationen überhaupt…“

Verifizierung und automatische Datenklassifikation

Sommer: „Da es sich bei Daten aus dem Gesundheitsbereich um die intimsten und persönlichsten Informationen überhaupt handelt, ist dieses Datenleck besonders kritisch zu bewerten. Doch wie können sich Unternehmen, die auf die Speicherung kritischer Daten angewiesen sind, vor solchen Vorfällen in Zukunft schützen?“ Ein erster Schritt wäre, dafür zu sorgen, dass die Server, auf denen die Daten lagern, nicht ohne jedwede Verifizierung zugänglich sind.
Eine weitere Maßnahme könne die Einrichtung einer Lösung zur automatischen Datenklassifikation sein, „die sicherstellt, dass nur berechtigte Personen Zugriff erhalten“. Diese untersuche gespeicherte und zu speichernde Daten auf ihren Grad an Vertraulichkeit – „das heißt, wie kritisch die in ihnen enthaltenen Informationen sind“. Häufige Kriterien, nach denen Daten klassifiziert würden, seien sogenannte Reguläre Ausdrücke (RegExes), Metadaten und Schlüsselwörter. „Befinden sich in einem Dokument zum Beispiel die Worte ,Screening‘ oder ,Befund‘, wird es automatisch als vertraulich eingestuft.“

Lösung zum Identity- und Access-Management implementieren!

Ist gleichzeitig eine Lösung zum Identity- und Access-Management implementiert, kann laut Sommer zugleich sichergestellt werden, dass nur berechtigte Personen die jeweiligen Informationen nutzen können. „Hiermit trägt die Lösung dazu bei, dass nur diejenigen Personen innerhalb einer Organisation auf Daten zugreifen können, die auch wirklich auf sie angewiesen sind.“
Beispielsweise benötigten Angestellte aus der Buchhaltung und der IT-Security in den seltensten Fällen Zugriff auf Patientendaten. Die strengen Datenschutzbestimmungen von Unternehmens- und gesetzlicher Seite würden daher auch erfüllt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 18.09.2019
Jahrelang einsehbar: Millionen von Patientendaten

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

[datensicherheit.de, 18.09.2019] Der am 17. September 2019 bekanntgewordene Fall der freien Verfügbarkeit von möglicherweise Millionen von Patientendaten im Internet hat offensichtlich für erhebliches Aufsehen gesorgt. Dabei ist laut einer Stellungnahme von Vectra „in diesem Fall nicht einmal davon auszugehen, dass Kriminelle beteiligt waren, sondern dass es hier in erster Linie um Pannen und unklare Zuständigkeiten geht“. Der Anbieter von IT-Sicherheitsplattformen auf Basis Künstlicher Intelligenz (KI) und Maschinellen Lernens hat nach eigenen Angaben in der Vergangenheit „schon mehrfach die IT-Sicherheitsvorkehrungen im Healthcare-Bereich analysiert“.

Foto: Vectra

Andreas Müller: Proaktiv nach Schatten-IT-Systemen suchen!

Seit Langem beobachteter unseliger Trend

„Und täglich grüßt das Murmeltier. Schon wieder wurden Daten von Systemen verfügbar gemacht, weil sie nicht ordnungsgemäß gesichert wurden. Es ist ein unseliger Trend, den wir schon lange beobachten – mal mit großen, mal mit kleinen Auswirkungen“, kommentiert Andreas Müller, „Regional Director DACH“ bei Vectra.

Unsichere oder schlecht konfigurierte Cloud-Systeme

Die Anzahl der Datenpannen und unbeabsichtigten Veröffentlichungen, die sich daraus ergeben, dass Daten von unsicheren oder schlecht konfigurierten Cloud-Systemen öffentlich verfügbar sind, steigt laut Müller kontinuierlich an – und dabei seien nicht einmal die bösen Absichten von Hackern der Hintergrund. Beteiligt seien meist nur Leute, die im Internet stöberten – „um zu sehen, was offen verfügbar ist“.

Große Lücke bei Verantwortung für Sicherheit der Patientendaten

Gesundheitsdienstleister und das große Netzwerk der Dienstleister, auf welche sie sich verließen, hätten „eine große Lücke in der Verantwortung für die Sicherheit der Patienteninformationen geschaffen“. Die Software der Anbieter werde mit der Annahme erstellt, dass der Gesundheitsdienstleister sein Netzwerk sichern werde, und der Gesundheitsdienstleister erwerbe Software und Services mit der Annahme, dass der Software-Anbieter bzw. der Service-Anbieter sichere Software und Dienste bereitstellten. „Wie sich immer wieder herausstellt, scheint beides nicht zu stimmen“, so Müller.

Systeme ohne den Rat des IT-Sicherheitsteams eingeführt

Nicht selten würden Systeme von medizinischem Personal mit einer bestimmten Anforderung ohne den Rat des IT-Sicherheitsteams eingeführt. Es sei ein kompliziertes Netzwerk, das die IT-Sicherheit dazu zwinge, proaktiv nach Schatten-IT-Systemen zu suchen, welche Daten genau so verfügbar machten, „wie es im aktuellen Fall wohl leider geschehen ist“.

[datensicherheit.de, 18.09.2019] Laut Recherchen des Bayerischen Rundfunks (BR) und der US-Investigativplattform „ProPublica“ sind hochsensible medizinische Daten von Patienten aus Deutschland und den USA auf ungesicherten Servern gelandet. Demnach könnten unbeteiligte Dritte jederzeit Zugriff auf diese Informationen gehabt haben. Betroffen seien Daten von Millionen von Patienten, unter anderem handele es sich um Informationen wie Vor- und Nachname der Betroffenen, Geburtsdatum, aber auch Details über die jeweilige Behandlung. Außerdem fänden sich selbst hochauflösende Röntgenbilder in der Sammlung. Diese Informationen seien wohl jahrelang im Internet verfügbar gewesen und hätten frei eingesehen werden können. In der Summe gehe es um insgesamt 16 Millionen Datensätze – 13.000 davon stammen aus Deutschland. Global seien etwa 50 Länder von diesem Leak betroffen. Hierzulande entfalle der Großteil der Datensätze auf Patienten aus dem Raum Ingolstadt und aus Kempen (Nordrhein-Westfalen).

Vorfall erschreckend, aber nicht überraschend

„Dieser jüngste Vorfall ist erschreckend, trotzdem überrascht er nicht. Denn auch eine aktuelle Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft ergab, dass das Thema Cyber-Sicherheit in Praxen und Kliniken deutlich zu kurz kommt“, kommentiert Marc Schieder, „CIO“ bei DRACOON.
So habe jene Erhebung unter anderem bewiesen, „dass in 20 von 25 Praxen alle Benutzer Administrationsrechte besaßen und keine einzige befragte Praxis regelmäßig prüft, ob alte Administratorenrechte noch bestehen“.

Zudem massiver Nachholbedarf in Sachen Verschlüsselung

Aufgedeckt worden sei außerdem ein massiver Nachholbedarf in Sachen Verschlüsselung. Sensible Patientendaten seien nach einem Test der Mailserver mit dem Analysetool „Cysmo“ stark gefährdet, denn von den ca. 1.200 untersuchten Arztpraxen seien nur 0,4 Prozent hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom BSI empfohlenen Stand der Technik.
Alle weiteren niedergelassenen Ärzte verließen sich hinsichtlich der Verschlüsselung im E-Mail-Verkehr auf veraltete und unsichere Standards. Schieder: „Und genau das eröffnet Dritten die Möglichkeit, solch eine Mail auf dem Weg zwischen Sender und Empfänger abzufangen.“

E-Mail-/Passwort-Kombinationen von 60 % der Kliniken bereits im Darknet

Bei den befragten Kliniken hätten immerhin fünf Prozent dem aktuellen BSI-Standard entsprochen – vor dem Hintergrund der besonderen Sensibilität der Daten sei aber auch diese Zahl „erschreckend“.
Getestet worden seien die Mailserver durch die PPI AG im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Die Studie habe außerdem ergeben, dass E-Mail-/Passwort-Kombinationen von 60 Prozent der Kliniken bereits im sogenannten Darknet hätten gefunden werden können. Bei den Arztpraxen habe diese Zahl bei neun Prozent gelegen.

Verantwortung für sicheren Umgang mit Patientendaten ernstnehmen!

Um ein dauerhaft hohes Niveau an Datenschutz und Datensicherheit im Betrieb zu gewährleisten, müssten sowohl Kliniken als auch niedergelassene Ärzte, aber auch Apotheker und andere Gesundheitsdienstleister ihre Verantwortung für den sicheren Umgang mit Patientendaten ernstnehmen.
„Dazu gehört, dass ein maximal sicherer Verschlüsselungsstandard genutzt wird – dies betrifft neben dem E-Mail-Verkehr auch Lösungen aus dem Bereich ,Enterprise Filesharing‘, wie sie bereits von zahlreichen Praxen und Kliniken genutzt werden.“

Daten bereits am Endgerät verschlüsseln!

Idealerweise böten Lösungen aus diesem Sektor eine clientseitige, offengelegte Verschlüsselung. Hierbei würden die Daten bereits am Endgerät verschlüsselt, was ein Maximum an Datensicherheit garantiere.
Auch in Bezug auf das Thema „Berechtigungen“ sollten Healthcare-Unternehmen dringend reagieren, so dass sichergestellt sei, „dass wirklich nur derjenige Benutzer Zugriff auf Daten hat, auf die er berechtigt ist“.

Modernes Berechtigungskonzept mit dezentraler Administration gefragt

Neben einer hohen Sicherheitskultur in Bezug auf Passwörter gehöre dazu auch, dass nur solche Lösungen zum Dateiaustausch implementiert würden, die über ein modernes Berechtigungskonzept mit dezentraler Administration verfügten.
Zugriffsrechte müssten einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. „So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte erhalten, andere wiederum auch Daten bearbeiten und löschen können.“

Jüngste Datenleck als Warnung sehen!

Auf diese Weise werde verhindert, „dass Unbefugte auf sensible Patientendaten Zugriff haben“. Spätestens jetzt sollten Kliniken und andere Dienstleister aus dem Gesundheitsbereich das jüngste Datenleck als Warnung sehen und ihre IT-Sicherheitskultur im Unternehmen dringend prüfen:
„Organisatorisch, aber auch dahingehend, dass neue Lösungen innerhalb des Betriebs den höchsten Ansprüchen in Sachen Datensicherheit und -schutz genügen“, fordert Schieder.

Weitere Informationen zum Thema:

GDV DIE DEUTSCHEN VERSICHERER, 08.04.2019
Cybersicherheit im Heilwesen / Deutschlands Ärzte haben ein Passwort-Problem – Zugangsdaten häufig im Darknet zu finden

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

[datensicherheit.de, 17.09.2019] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass mehrere tausend Patientendaten „offen im Internet abrufbar“ gewesen seien. Das BSI wurde nach eigenen Angaben über diesen Sachverhalt von IT-Sicherheitsforschern informiert und habe daraufhin die betroffenen medizinischen Einrichtungen anhand der ihm vorliegenden IP-Adressen in Kenntnis gesetzt. In drei Fällen habe das BSI die Einrichtungen direkt kontaktieren können, in 14 weiteren Fällen seien die jeweiligen Internet-Service-Provider gebeten worden, ihre Kunden anhand der IP-Adressen zu identifizieren und zu informieren.

Offenbar einfachste IT-Sicherheitsmaßnahmen für Patientendaten bisher nicht umgesetzt

Zudem habe das BSI 46 internationale Partnerorganisationen über diesen Sachverhalt informiert. Das BSI dürfe nach derzeitiger Rechtslage diese Daten nicht abrufen oder analysieren – auch nicht, um die Betreiber der ungesicherten Webserver zu identifizieren.
Nach Einschätzung des BSI „sind die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden“. Dem BSI liegen demnach keine Informationen vor, dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind.

Vertrauen in Datensicherheit auch bei Patientendaten als Erfolgsfaktor der Digitalisierung

„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient“, kommentiert BSI-Präsident Arne Schönbohm.
Wir müssten als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen könnten, „nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden“. Nur wenn die Bürger Vertrauen in die Sicherheit ihrer Daten hätten, werde die Digitalisierung erfolgreich sein.

Weitere Informationen zum Thema:

datensicherheit.de, 21.08.2019
FireEye-Bericht: Gesundheitssektor beliebtes Hacker-Angriffsziel

datensicherheit.de, 03.07.2019
Gesundheitswesen: Datenschutz und Verschlüsselung mangelhaft

datensicherheit.de, 30.06.2019
Digitalpolitik: Kurswechsel im Gesundheitswesen gefordert

datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 20.05.2019
Cybersicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung