Mit der Datenschutz-Grundverordnung (DSGVO) ist das Thema Datenschutz noch mehr in den Fokus ger\u00fcckt \u2013 auch bei Privatpersonen: Niemand m\u00f6chte pers\u00f6nliche Daten in den falschen H\u00e4nden sehen. Jedoch zeigt die Vergangenheit, dass gerade in einem \u00e4u\u00dferst sensiblen und wichtigem Sektor gro\u00dfer Nachholbedarf besteht: Beim Datenschutz im Gesundheitswesen. F\u00fcr die digitale Patientenakte sind Schutz und Sicherheit besonders wichtig!<\/p>\n
In drei Beispielen aus der j\u00fcngeren Vergangenheit m\u00f6chten wir Ihnen aufzeigen, dass es nicht gut bestellt ist um den Datenschutz im Gesundheitswesen:<\/p>\n
Vor einigen Monaten wurde bekannt, dass Millionen von Patientendaten \u00f6ffentlich einsehbar waren \u2013 unsichere Server waren der Grund f\u00fcr diesen Super-GAU. Relativ simple Sicherheitsma\u00dfnahmen h\u00e4tten gen\u00fcgt, um dies verhindern zu k\u00f6nnen. Die US-Investigativplattform ProPublica f\u00fchrte zusammen mit Greenbone Networks sowie dem Bayerischen Rundfunk entsprechende Untersuchungen durch und stie\u00dfen dabei auf die Sicherheitslecks.<\/p>\n
Hierzulande waren \u00fcber 13.000 Datens\u00e4tze von Patienten betroffen, rund zur H\u00e4lfte auch mit medizinischen Bildern wie Wirbels\u00e4ulenaufnahmen, Brustkrebsscreenings, MRTs oder R\u00f6ntgenaufnahmen. Die Daten, die auf offen zug\u00e4nglichen Servern auftauchten, stammten von mindestens f\u00fcnf unterschiedlichen Serverstandorten. Neben der Tatsache, dass die Bilder hochaufl\u00f6send waren, waren sie auch mit allerlei personenbezogenen Daten versehen: Vor- und Zuname, Geburtsdatum, Untersuchungstermin sowie Behandlungs- und Arztinformationen waren zu finden.<\/p>\n
Nicht ein gro\u00dfes Datenleck war f\u00fcr diesen Vorfall verantwortlich, sondern zahlreiche ungesch\u00fctzte Server. Weltweit fand Sicherheitsforscher Dirk Schrader, der den BR auf die Problematik aufmerksam machte, mehr als 2.300 Rechner, auf denen diese Datens\u00e4tze offenlagen. Nicht einmal besondere Programmierkenntnisse waren notwendig, um auf die Daten zuzugreifen; in einigen F\u00e4llen gen\u00fcgte ein Standard-Browser und die Information, wonach gesucht werden musste.<\/p>\n
Mit sehr einfachen Sicherheitsma\u00dfnahmen, darunter eine Zugriffskontrolle mit Nutzernamen und sicherem Passwort oder auch die Verschl\u00fcsselung der Daten und Server, w\u00e4re es gelungen, eine Katastrophe diesen Ausma\u00dfes zu vermeiden. Bei den offengelegten Gesundheitsdaten wurden selbst diese leicht umzusetzenden Ma\u00dfnahmen nicht angewendet.<\/p>\n
Im Juli 2019 sorgte ein Cyberangriff daf\u00fcr, dass ein kompletter Verbund an Krankenh\u00e4usern und Altenpflegeeinrichtungen stillgelegt wurden, wir berichteten<\/a>. Mithilfe eines Verschl\u00fcsselungstrojaners (Ransomware) sind Cyberkriminelle in die Netzwerke des DRK Rheinland-Pfalz eingedrungen und haben wichtige Patientendaten verschl\u00fcsselt.<\/p>\n Patientendaten wurden gl\u00fccklicherweise nicht abgegriffen. Dennoch: Der Betrieb war erheblich gest\u00f6rt, die Mitarbeiter mussten zu Papier und Stift greifen. Da wichtige Daten nicht verf\u00fcgbar waren, konnte ein normaler Krankenhaus- oder Pflegeheimalltag kaum mehr stattfinden. Erst Wochen nach dem eigentlichen Vorfall kamen die Rechner nach und nach wieder ins Netzwerk, sodass ein geregelter Betrieb wieder m\u00f6glich wurde.<\/p>\n Brisant zeigten sich auch die Ergebnisse einer Studie zur IT-Sicherheit von \u00c4rzten und Apotheken<\/a> vom Gesamtverband der Deutschen Versicherungswirtschaft. Diese Studie deckte auf, dass vor allem mangelndes Wissen der Mitarbeiter sowie H\u00fcrden in der Umsetzung der IT-Sicherheit Ursachen f\u00fcr Datenskandale sind. Patientendaten werden h\u00e4ufig unverschl\u00fcsselt und damit f\u00fcr jeden einsehbar per E-Mail versendet.<\/p>\n Ein weiterer Faktor: Aufgrund der Unwissenheit \u00f6ffnen Mitarbeiterinnen und Mitarbeiter in Praxen und Apotheken E-Mail-Anh\u00e4nge von zwar unbekannten, jedoch vermeintlich unauff\u00e4lligen Absendern, ohne diese vorher genau zu pr\u00fcfen. Fallen diese Mitarbeiter auf solche Phishing-E-Mails herein, sind Patientendaten in Gefahr. Auch durch die fehlende Verschl\u00fcsselung ist die Gefahr sehr hoch, dass digitale Patientenakten in die H\u00e4nde unbefugter Dritter gelangen.<\/p>\n IT-Sicherheit ist ein riesiges und komplexes Thema, wohl auch deshalb scheuen sich viele, sich n\u00e4her damit auseinanderzusetzen. Die gesetzlichen Vorgaben aus der DSGVO und dem Bundesdatenschutzgesetz k\u00f6nnen hilfreich sein, decken jedoch nicht den kompletten Alltag im Gesundheitswesen ab. F\u00fcr einen effizienten Schutz von Patientendaten und f\u00fcr mehr Datenschutz im Gesundheitswesen sind jedoch keine hoch komplizierten Vorg\u00e4nge notwendig. Fu\u00dft die IT-Sicherheit in Ihrer Praxis oder in Ihrem Krankenhaus auf den folgenden drei Eckpfeilern, gewinnen Sie bereits ein sehr hohes Ma\u00df an Sicherheit:<\/p>\nVerschl\u00fcsselung im Gesundheitswesen mangelhaft<\/h3>\n
Datenschutz im Gesundheitswesen: Verbessern Sie Ihre IT-Sicherheit!<\/h2>\n
\n