France
Suchen

Varonis Bei Hackerangriff OP verschoben – wie sicher sind Patientendaten?

Autor / Redakteur: David Lin / Kathrin Schäfer

In den letzten Monaten schafften es Krankenhäuser zunehmend mit Datenschutz- und Sicherheitsvorfällen Schlagzeilen zu machen. Risikofaktoren sind medizinische Datenverwaltungssysteme, Netzwerke, Server und Speicher, aber auch die Kommunikation über mobile Endgeräte.

Firmen zum Thema

Während mobile Endgeräte wie Tablets in medizinischen Einrichtungen gerade erst im Kommen sind, gehören EDV-Systeme zur Datenverwaltung mittlerweile zum Standard. Doch der Schutz und die Sicherheit dieser Daten lassen häufig noch zu wünschen übrig.
Während mobile Endgeräte wie Tablets in medizinischen Einrichtungen gerade erst im Kommen sind, gehören EDV-Systeme zur Datenverwaltung mittlerweile zum Standard. Doch der Schutz und die Sicherheit dieser Daten lassen häufig noch zu wünschen übrig.
(Bild: © vege - Fotolia [M]-Kübert)

Beispiel Verschlüsselungstrojaner: Wie zuletzt in einem Krankenhaus in Los Angeles haben vor Kurzem auch die Mitarbeiter im Lukaskrankenhaus in Neuss auf ihren Rechnern eine Schadsoftware entdeckt. Sie soll über eine E-Mail mit dem Betreff „Rechnung“ ins Netzwerk gelangt sein. Der Virus war zunächst nicht ganz einfach in den Griff zu bekommen, weil er etwa stündlich seinen Code änderte. Da das System komplett heruntergefahren werden musste, waren die Mitarbeiter fast eine Woche lang gezwungen, über Stift, Fax und Papier zu kommunizieren. Zusätzlich konnten etwa 15 Prozent aller Operationen in der 540-Betten-Klinik nicht stattfinden. Die Versorgung der Patienten sei aber nicht gefährdet gewesen, bestätigte die Klinik-Sprecherin.

Kurz danach erwischte es laut Aussagen des LKA ein weiteres Krankenhaus im nordrhein-westfälischen Arnsberg. In beiden Fällen handelte es sich, wie man jetzt weiß, allerdings nicht um gezielte Attacken, sondern um die Folgen einer breiter gestreuten Erpressungskampagne (Ransomware). Auch in diesem Fall hatte es die Malware über einen verseuchten Anhang ins Innere des Systems geschafft. Neu ist das nicht, und spektakuläre Szenarien sind inzwischen nicht nur vorstellbar, sondern durchaus real.

Ein Beispiel für besonders sensible Daten sind Gesundheitsdaten wie beispielsweise digitale Patienteninformationen. Neben den eigentlichen medizinischen Datenverwaltungssystemen kommen noch die Netzwerke, Server und Speicher dazu, die Gesundheitsdienstleister und deren Partner berücksichtigen müssen. Die Kommunikation über mobile Endgeräte, die elektronische Kommunikation mit Patienten und ausgesprochen heterogene Umgebungen erschweren einen richtlinienkonformen Datenzugriff und Datenschutz.

PHI-Daten: Datenschutzverstöße im Gesundheitswesen

Ende des letzten Jahres veröffentlichte Verizon einen neuen Bericht, der sich insbesondere mit den gefährdeten Daten im Gesundheitswesen beschäftigt. Der Report konzentriert sich auf die sogenannte „Protected Health Information“ (PHI), also die persönlichen Daten, die sich eindeutig auf eine Person zurückführen lassen. Dazu gehören IP-Adressen, biometrische Daten, Daten zur Gesichtserkennung und sämtliche medizinischen Daten. Der erste interessante Punkt der Analyse: Es gibt Unmengen von PHI-Daten, die seit 1994 offengelegt wurden. Und zwar selbst dann, wenn die entsprechende Institution oder das entsprechende Unternehmen zu den „covered entities“ gehörte. Also den Organisationen, die laut HIPAA für die Diskretion, Integrität und Verfügbarkeit aller elektronisch geschützten Gesundheitsinformationen, die sie erstellen, erhalten, verwalten oder übertragen, zu sorgen haben.

Zum Hintergrund: Der Health Insurance Portability and Accountability Act, kurz HIPAA, ist das Äquivalent zum deutschen Bundesdatenschutzgesetz (BDSG). HIPAA-Richtlinien gelten direkt nur für Institutionen des Gesundheitswesens und deren Geschäftspartner. PHI-Daten werden aber praktisch überall gesammelt. Jedes Unternehmen, das irgendwelche medizinischen Daten erhebt und speichert, speichert damit auch PHI-Informationen, beispielsweise im Rahmen von Plänen zur Gesundheitsvorsorge oder im Rahmen von Versicherungen. Dazu kommt, dass Anbieter und staatliche Institutionen bestimmte medizinische Daten ganz legal verkaufen können.

Der Autor: David Lin verantwortet bei Varonis den Bereich Enterprise Sales für die DACH-Region. Varonis hat sich auf Data-Governance- Lösungen für unstrukturierte Daten spezialisiert. Dabei sind die Analyse des Benutzerverhaltens und das Zugriffs-/Berechtigungsmanagement zentrale Bausteine, um beispielsweise Insider-Bedrohungen und Ransomware wie Crypto-Locker zu erkennen.

(ID:44049628)