Bei Hackerangriff, OP verschoben – Wie sicher sind Krankenhäuser und Patientendaten wirklich? Teil 1

In den letzten Monaten schafften es Krankenhäuser zunehmend mit Datenschutz- und Sicherheitsvorfällen Schlagzeilen zu machen. Ein Beispiel sind Verschlüsselungstrojaner. Wie zuletzt in einem Krankenhaus in Los Angeles hatten auch die...
Carl Groves
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Wie sicher sind Krankenhäuser und Patientendaten?

In den letzten Monaten schafften es Krankenhäuser zunehmend mit Datenschutz- und Sicherheitsvorfällen Schlagzeilen zu machen. Ein Beispiel sind Verschlüsselungstrojaner. Wie zuletzt in einem Krankenhaus in Los Angeles hatten auch die Mitarbeiter im Lukaskrankenhaus in Neuss auf ihren Rechnern eine Schadsoftware entdeckt. Sie soll über eine E-Mail mit dem Betreff „Rechnung“ ins Netzwerk gelangt sein. Der Virus war zunächst nicht ganz einfach in den Griff zu bekommen, weil er etwa stündlich seinen Code änderte. Da das System komplett heruntergefahren werden musste, waren die Mitarbeiter fast eine Woche lang gezwungen über Stift, Fax und Papier zu kommunizieren. Zusätzlich konnten etwa 15 Prozent aller Operationen in der 540-Betten-Klinik nicht stattfinden. Die Versorgung der Patienten sei aber nicht gefährdet gewesen, bestätigte die Klinik-Sprecherin.

Kurz danach erwischte es laut Aussagen des LKA ein weiteres Krankenhaus im nordrhein-westfälischen Arnsberg. In beiden Fällen handelte es sich wie man jetzt weiß allerdings nicht um gezielte Attacken, sondern um die Folgen einer breiter gestreuten Erpressungskampagne (Ransomware). Auch in diesem Fall hatte es die Malware über einen verseuchten Anhang ins Innere des Systems geschafft.

Neu ist das nicht und spektakuläre Szenarien sind inzwischen nicht nur vorstellbar, sondern real. 2012 in einem Krankenhaus in Linz: Zwei schwer verletzte Patienten hatten sich im Internet die Codes für ihre selbst bedienbaren Schmerzmittelpumpen besorgt und eine Überdosis verabreicht. Im selben Jahr hatte übrigens der Hacker Barnaby Jack auf der Münchner IT-Defense demonstriert wie sich die Fernsteuerung einer Insulinpumpe manipulieren lässt.

Vertraulich und verletzlich: Beispiel Patientendaten

Ein Beispiel für besonders sensible Daten sind Gesundheitsdaten wie beispielsweise digitale Patienteninformationen. Neben den eigentlichen medizinischen Datenverwaltungssystemen kommen noch die Netzwerke, Server und Speicher dazu, die Gesundheitsdienstleister und deren Partner berücksichtigen müssen. Die Kommunikation über mobile Endgeräte, die elektronische Kommunikation mit Patienten und ausgesprochen heterogene Umgebungen erschweren einen richtlinienkonformen Datenzugriff und Datenschutz.

HIPAA hier?

Der Health Insurance Portability and Accountability Act (kurz: HIPAA) ist wie die deutschen Äquivalente und Regelungen des Bundesdaten-schutzgesetzes (BDSG) relativ abstrakt formuliert, bezieht sich aber auf konkret auf einzelne Bereiche im Gesundheitswesen zum Beispiel auf den Umgang mit elektronischen Patientendaten.
Besonders interessant ist in diesem Zusammenhang die 2013 eingeführte „Omnibus Rule“. Sie bindet auch Drittunternehmen, wie beispielsweise die Anbieter von Cloud-Lösungen an HIPAA, falls sie an irgendeiner Stelle mit Gesundheitsdaten in Berührung kommen.

Neben dem BDSG bilden unterschiedliche Gesetzestexte die Sicherheitsforderungen für Patientendaten ab, darunter auch ländergetriebene wie das Gesundheitsdatenschutzgesetz in Nordrhein-Westfalen. Die Fülle ist für einzelne Akteure oftmals kaum mehr zu durchschauen. HIPAA ist in den USA – und im Gegensatz zum deutschen Modell – für sämtliche Einrichtungen gültig, die mit Patientendaten in Berührung kommen. Dies und die strikten Regeln machen HIPAA auch hierzulande interessant, wenn es um Datenzugriff und Compliance-Management geht.

PHI-Daten: Datenschutzverstöße im Gesundheitswesen

Verizons Data Breach Investigation Report 2015

Ende des letzten Jahres veröffentlichte Verizon einen neuen DBIR, der sich insbesondere mit den gefährdeten Daten im Gesundheitswesen beschäftigt. Der Report konzentriert sich auf die sogenannte „Protected Health Information“ (PHI), was in den Regularien von HIPAA den PII-Informationen entspricht, also den persönlichen Daten, die sich eindeutig auf eine Person zurückführen lassen. Da HIPAA vergleichsweise abstrakt formuliert ist, hat das bei der konkreten Umsetzung bereits zu Problemen geführt. Deshalb haben sich US-Behörden unter anderem dazu entschieden eine Liste mit 18 solcher Merkmale zu veröffentlichen.

Dazu gehören IP-Adressen, biometrische Daten, Daten zur Gesichtserkennung und sämtliche medizinischen Daten.

Auch die neue EU-Datenschutzgrundverordnung berücksichtigt solche Daten und legt ihren besonderen Schutz fest. Unter anderem dadurch, dass Unternehmen und Institutionen immer dann einen Datenschutzbeauftragten brauchen, wenn die „umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen“ oder die „umfangreiche Verarbeitung besonderer Kategorien von Daten“ – die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, biometrische Daten, Informationen über Gesundheit, Sexualleben und sexuelle Ausrichtung betreffen – zur Kerntätigkeit eines Unternehmens gehört“. Dies besagt Artikel 35. Und: Institutionen im Gesundheitswesen fallen unter das IT-Sicherheitsgesetz für kritische Infrastrukturen, das im Juni 2015 verabschiedet wurde.

Gefährdungspotenziale nicht nur bei medizinischen Berichten

Doch zurück zur Analyse von Verizon. Der erste interessante Punkt der Analyse: Es gibt Unmengen von PHI-Daten, die seit 1994 offengelegt wurden. Und zwar selbst dann, wenn die entsprechende Institution oder das entsprechende Unternehmen zu den „covered entities“ gehörte. Also den Organisationen, die laut HIPAA für die Diskretion, Integrität und Verfügbarkeit aller elektronisch geschützten Gesundheitsinformationen, die sie erstellen, erhalten, verwalten oder übertragen, zu sorgen haben. HIPAA-Richtlinen gelten direkt nur für Institutionen des Gesundheitswesens und deren Geschäftspartner. PHI-Daten werden aber praktisch überall gesammelt. Jedes Unternehmen, das irgendwelche medizinischen Daten erhebt und speichert, speichert damit auch PHI-Informationen beispielsweise im Rahmen von Plänen zur Gesundheitsvorsorge oder im Rahmen von Versicherungen.

Dazu kommt, dass Anbieter und staatliche Institutionen bestimmte medizinische Daten ganz legal verkaufen können.

Im zweiten Teil dieses Beitrags beschäftigten wir uns mit den verschiedenen Arten von Datenschutzverstößen, deren Ursachen und wie man Abhilfe schaffen kann.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

der-ponemon-„privacy-und-security-of-healthcare-data-report“:-5-erschreckende-resultate
Der Ponemon „Privacy und Security of Healthcare Data Report“: 5 erschreckende Resultate
Es ist noch nicht allzu lange her, da haben wir uns an dieser Stelle damit beschäftigt wie es um die Sicherheit von Krankenhäusern und Patientendaten bestellt ist. Datenschutzvorfälle und Sicherheitsverstöße...
bei-hackerangriff,-op-verschoben-–-wie-sicher-sind-krankenhäuser-und-patientendaten-wirklich?-teil-2
Bei Hackerangriff, OP verschoben – Wie sicher sind Krankenhäuser und Patientendaten wirklich? Teil 2
Im ersten Teil dieses Beitrags haben wir uns damit beschäftigt, wie sicher eigentlich Patientendaten sind, wenn man die jüngsten Datenschutzverstöße Revue passieren lässt. Ende des letzten Jahres veröffentlichte Verizon einen...
penetrationstests,-teil-4:-die-seitwärtsbewegung
Penetrationstests, Teil 4: Die Seitwärtsbewegung
Wenn Penetrationstester ins System gelangt sind kann man sich ihre Aktivitäten ein bisschen vorstellen wie die einer Armee oder Rebellengruppe, die ein besetztes Land plündert. Man schmarotzt sich durch das...
automatisiertes-posture-management:-beheben-sie-cloud-sicherheitsrisiken-mit-nur-einem-klick
Automatisiertes Posture Management: Beheben Sie Cloud-Sicherheitsrisiken mit nur einem Klick
Varonis führt automatisiertes Posture Management ein, um Cloud-Sicherheitsrisiken mühelos mit nur einem Klick zu beheben