Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Bei Hackerangriff, OP verschoben – Wie sicher sind Krankenhäuser und Patientendaten wirklich? Teil 1

In den letzten Monaten schafften es Krankenhäuser zunehmend mit Datenschutz- und Sicherheitsvorfällen Schlagzeilen zu machen. Ein Beispiel sind Verschlüsselungstrojaner. Wie zuletzt in einem Krankenhaus in Los Angeles hatten auch die...
Carl Groves
3 minute gelesen
Veröffentlicht 14. März 2016
Letzte aktualisierung 29. Oktober 2021

Wie sicher sind Krankenhäuser und Patientendaten?

In den letzten Monaten schafften es Krankenhäuser zunehmend mit Datenschutz- und Sicherheitsvorfällen Schlagzeilen zu machen. Ein Beispiel sind Verschlüsselungstrojaner. Wie zuletzt in einem Krankenhaus in Los Angeles hatten auch die Mitarbeiter im Lukaskrankenhaus in Neuss auf ihren Rechnern eine Schadsoftware entdeckt. Sie soll über eine E-Mail mit dem Betreff „Rechnung“ ins Netzwerk gelangt sein. Der Virus war zunächst nicht ganz einfach in den Griff zu bekommen, weil er etwa stündlich seinen Code änderte. Da das System komplett heruntergefahren werden musste, waren die Mitarbeiter fast eine Woche lang gezwungen über Stift, Fax und Papier zu kommunizieren. Zusätzlich konnten etwa 15 Prozent aller Operationen in der 540-Betten-Klinik nicht stattfinden. Die Versorgung der Patienten sei aber nicht gefährdet gewesen, bestätigte die Klinik-Sprecherin.

Kurz danach erwischte es laut Aussagen des LKA ein weiteres Krankenhaus im nordrhein-westfälischen Arnsberg. In beiden Fällen handelte es sich wie man jetzt weiß allerdings nicht um gezielte Attacken, sondern um die Folgen einer breiter gestreuten Erpressungskampagne (Ransomware). Auch in diesem Fall hatte es die Malware über einen verseuchten Anhang ins Innere des Systems geschafft.

Neu ist das nicht und spektakuläre Szenarien sind inzwischen nicht nur vorstellbar, sondern real. 2012 in einem Krankenhaus in Linz: Zwei schwer verletzte Patienten hatten sich im Internet die Codes für ihre selbst bedienbaren Schmerzmittelpumpen besorgt und eine Überdosis verabreicht. Im selben Jahr hatte übrigens der Hacker Barnaby Jack auf der Münchner IT-Defense demonstriert wie sich die Fernsteuerung einer Insulinpumpe manipulieren lässt.

Vertraulich und verletzlich: Beispiel Patientendaten

Ein Beispiel für besonders sensible Daten sind Gesundheitsdaten wie beispielsweise digitale Patienteninformationen. Neben den eigentlichen medizinischen Datenverwaltungssystemen kommen noch die Netzwerke, Server und Speicher dazu, die Gesundheitsdienstleister und deren Partner berücksichtigen müssen. Die Kommunikation über mobile Endgeräte, die elektronische Kommunikation mit Patienten und ausgesprochen heterogene Umgebungen erschweren einen richtlinienkonformen Datenzugriff und Datenschutz.

HIPAA hier?

Der Health Insurance Portability and Accountability Act (kurz: HIPAA) ist wie die deutschen Äquivalente und Regelungen des Bundesdaten-schutzgesetzes (BDSG) relativ abstrakt formuliert, bezieht sich aber auf konkret auf einzelne Bereiche im Gesundheitswesen zum Beispiel auf den Umgang mit elektronischen Patientendaten.
Besonders interessant ist in diesem Zusammenhang die 2013 eingeführte „Omnibus Rule“. Sie bindet auch Drittunternehmen, wie beispielsweise die Anbieter von Cloud-Lösungen an HIPAA, falls sie an irgendeiner Stelle mit Gesundheitsdaten in Berührung kommen.

Neben dem BDSG bilden unterschiedliche Gesetzestexte die Sicherheitsforderungen für Patientendaten ab, darunter auch ländergetriebene wie das Gesundheitsdatenschutzgesetz in Nordrhein-Westfalen. Die Fülle ist für einzelne Akteure oftmals kaum mehr zu durchschauen. HIPAA ist in den USA – und im Gegensatz zum deutschen Modell – für sämtliche Einrichtungen gültig, die mit Patientendaten in Berührung kommen. Dies und die strikten Regeln machen HIPAA auch hierzulande interessant, wenn es um Datenzugriff und Compliance-Management geht.

PHI-Daten: Datenschutzverstöße im Gesundheitswesen

Verizons Data Breach Investigation Report 2015

Ende des letzten Jahres veröffentlichte Verizon einen neuen DBIR, der sich insbesondere mit den gefährdeten Daten im Gesundheitswesen beschäftigt. Der Report konzentriert sich auf die sogenannte „Protected Health Information“ (PHI), was in den Regularien von HIPAA den PII-Informationen entspricht, also den persönlichen Daten, die sich eindeutig auf eine Person zurückführen lassen. Da HIPAA vergleichsweise abstrakt formuliert ist, hat das bei der konkreten Umsetzung bereits zu Problemen geführt. Deshalb haben sich US-Behörden unter anderem dazu entschieden eine Liste mit 18 solcher Merkmale zu veröffentlichen.

Dazu gehören IP-Adressen, biometrische Daten, Daten zur Gesichtserkennung und sämtliche medizinischen Daten.

Auch die neue EU-Datenschutzgrundverordnung berücksichtigt solche Daten und legt ihren besonderen Schutz fest. Unter anderem dadurch, dass Unternehmen und Institutionen immer dann einen Datenschutzbeauftragten brauchen, wenn die „umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen“ oder die „umfangreiche Verarbeitung besonderer Kategorien von Daten“ – die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, biometrische Daten, Informationen über Gesundheit, Sexualleben und sexuelle Ausrichtung betreffen – zur Kerntätigkeit eines Unternehmens gehört“. Dies besagt Artikel 35. Und: Institutionen im Gesundheitswesen fallen unter das IT-Sicherheitsgesetz für kritische Infrastrukturen, das im Juni 2015 verabschiedet wurde.

Gefährdungspotenziale nicht nur bei medizinischen Berichten

Doch zurück zur Analyse von Verizon. Der erste interessante Punkt der Analyse: Es gibt Unmengen von PHI-Daten, die seit 1994 offengelegt wurden. Und zwar selbst dann, wenn die entsprechende Institution oder das entsprechende Unternehmen zu den „covered entities“ gehörte. Also den Organisationen, die laut HIPAA für die Diskretion, Integrität und Verfügbarkeit aller elektronisch geschützten Gesundheitsinformationen, die sie erstellen, erhalten, verwalten oder übertragen, zu sorgen haben. HIPAA-Richtlinen gelten direkt nur für Institutionen des Gesundheitswesens und deren Geschäftspartner. PHI-Daten werden aber praktisch überall gesammelt. Jedes Unternehmen, das irgendwelche medizinischen Daten erhebt und speichert, speichert damit auch PHI-Informationen beispielsweise im Rahmen von Plänen zur Gesundheitsvorsorge oder im Rahmen von Versicherungen.

Dazu kommt, dass Anbieter und staatliche Institutionen bestimmte medizinische Daten ganz legal verkaufen können.

Im zweiten Teil dieses Beitrags beschäftigten wir uns mit den verschiedenen Arten von Datenschutzverstößen, deren Ursachen und wie man Abhilfe schaffen kann.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?