Laut Recherchen des Bayerischen Rundfunks und der US-Investigativplattform ProPublica sind hochsensible medizinische Daten von Patienten aus Deutschland und den USA auf ungesicherten Servern gelandet. Das bedeutet konkret, dass unbeteiligte Dritte jederzeit Zugriff auf diese Informationen hatten. Betroffen sind Daten von Millionen von Patienten, unter anderem handelt es sich um Informationen wie Vor- und Nachname der Betroffenen, Geburtsdatum, aber auch Details über die jeweilige Behandlung. Außerdem finden sich hochauflösende Röntgenbilder in der Sammlung. Diese Informationen waren wohl jahrelang im Internet verfügbar und konnten frei eingesehen werden. In der Summe geht es um insgesamt 16 Millionen Datensätze – 13.000 davon stammen aus Deutschland. Global sind etwa 50 Länder von dem Leak betroffen. Hierzulande entfällt der Großteil der Datensätze auf Patienten aus dem Raum Ingolstadt und aus Kempen (Nordrhein-Westfalen).

Dieser jüngste Vorfall ist erschreckend, trotzdem überrascht er nicht. Denn auch eine aktuelle Untersuchungzur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft ergab, dass das Thema Cybersicherheit in Praxen und Kliniken deutlich zu kurz kommt. So bewies die Erhebung unter anderem, dass in 20 von 25 Praxen alle Benutzer Administrationsrechte besaßen und keine einzige befragte Praxis regelmäßig prüft, ob alte Administratorenrechte noch bestehen. Aufgedeckt wurde außerdem ein massiver Nachholbedarf in Sachen Verschlüsselung. Sensible Patientendaten sind nach einem Test der Mailserver mit dem Analysetool Cysmo stark gefährdet, denn von den ca. 1.200 untersuchten Arztpraxen waren nur 0,4 % hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom BSI empfohlenen Stand der Technik. Alle weiteren niedergelassenen Ärzte verlassen sich hinsichtlich der Verschlüsselung im Mail-Verkehr auf veraltete und unsichere Standards. Und genau das eröffnet Dritten die Möglichkeit, solch eine Mail auf dem Weg zwischen Sender und Empfänger abzufangen. Bei den befragten Kliniken entsprachen immerhin 5 % dem aktuellen BSI-Standard – vor dem Hintergrund der besonderen Sensibilität der Daten ist aber auch diese Zahl erschreckend. Getestet wurden die Mailserver durch die PPI AG im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Die Studie ergab außerdem, dass E-Mail-/Passwort-Kombinationen von 60 % der Kliniken bereits im Darknet gefunden werden konnten. Bei den Arztpraxen lag diese Zahl bei 9 %.

Um ein dauerhaft hohes Niveau an Datenschutz und Datensicherheit im Betrieb zu gewährleisten, müssen sowohl Kliniken als auch niedergelassene Ärzte, aber auch Apotheker und andere Gesundheitsdienstleister ihre Verantwortung für den sicheren Umgang mit Patientendaten ernst nehmen. Dazu gehört, dass ein maximal sicherer Verschlüsselungsstandard genutzt wird – dies betrifft neben dem E-Mail-Verkehr auch Lösungen aus dem Bereich Enterprise Filesharing, wie sie bereits von zahlreichen Praxen und Kliniken genutzt werden. Idealerweise bieten Lösungen aus diesem Sektor eine clientseitige, offen gelegte Verschlüsselung. Hierbei werden die Daten bereits am Endgerät verschlüsselt, was ein Maximum an Datensicherheit garantiert. Auch in Bezug auf das Thema „Berechtigungen“ sollten Healthcare-Unternehmen dringend reagieren, sodass sichergestellt ist, dass wirklich nur derjenige Benutzer Zugriff auf Daten hat, auf die er berechtigt ist. Neben einer hohen Sicherheitskultur in Bezug auf Passwörter gehört dazu auch, dass nur solche Lösungen zum Dateiaustausch implementiert werden, die über ein modernes Berechtigungskonzept mit dezentraler Administration verfügen.  Zugriffsrechte müssen einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte erhalten, andere wiederum auch Daten bearbeiten und löschen können. Auf diese Weise wird verhindert, dass Unbefugte auf sensible Patientendaten Zugriff haben. Spätestens jetzt sollten Kliniken und andere Dienstleister aus dem Gesundheitsbereich das jüngste Datenleck als Warnung sehen und ihre IT-Sicherheitskultur im Unternehmen dringend prüfen –organisatorisch, aber auch dahingehend, dass neue Lösungen innerhalb des Betriebs den höchsten Ansprüchen in Sachen Datensicherheit und -schutz genügen.

Ein Videostatement von Marc Schieder zu diesem Thema finden Sie außerdem hier:
https://www.youtube.com/…

 

Über die Dracoon GmbH

DRACOON ist Marktführer im Bereich Enterprise Filesharing im deutschsprachigen Raum und zählt zu den am stärksten wachsenden SaaS-Unternehmen in Deutschland. Die hochsichere, plattformunabhängige Software ist als Cloud-, Hybrid- und On-Premises-Version erhältlich und wurde von unabhängigen Top-Analysten wie ISG als „Leader“ bezeichnet. Verschiedene Zertifikate wie ISO 27001 und ULD bescheinigen DRACOON höchste Sicherheitsstandards. Außerdem ist DRACOON der erste deutsche Software-Hersteller, der nach EuroPriSe GDPR/EU-DSGVO ready zertifiziert ist. Die universelle API bietet breite Anwendungsfelder von Datenaustausch und Workflow-Integrationen, über sichere E-Mail-Kommunikation bis hin zur vollständigen Modernisierung des File-Services.

Diese Unternehmen vertrauen DRACOON:
KfW, Rossmann, Helios Kliniken, Rödl & Partner, Deutsche Telekom, Hutchison, British Telecom, Bechtle u.v.m.

Weitere Informationen finden Sie im Netz unter www.dracoon.de

Firmenkontakt und Herausgeber der Meldung:

Dracoon GmbH
Galgenbergstrasse 2a
93053 Regensburg
Telefon: +49 (941) 78385-0
Telefax: +49 (941) 78385-150
http://www.dracoon.de

Ansprechpartner:
Eva Janik
Manager Content / PR
Telefon: +49 (941) 78385-634
E-Mail: e.janik@dracoon.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel