Thought Leadership
IT-Sicherheitsexperte Dirk Schrader ist zusammen mit dem Bayerischen Rundfunk und der US-Investigativplattform ProPublica auf Millionen ungesicherter Patientendaten gestoßen. Zu dem skandalösen Fund und den nötigen Konsequenzen äußert sich Karsten Glied, Geschäftsführer der Techniklotsen GmbH.
„50 betroffene Länder, international 16 Millionen ungeschützte Datensätze und über 13.000 frei verfügbare deutsche Patienteninformationen – bittere Bilanz einer einzigen Recherche. Mehr als die Hälfte dieser ungesicherten Datensätze enthielten medizinische Bilder wie MRT- und Röntgenaufnahmen, teils sogar in Verbindung mit Namensangaben, Geburtsdaten und Untersuchungsterminen. Das Gros der betroffenen Patienten stammt aus den USA – in diesen Fällen haben die zur Untersuchung genutzten Geräte die Bilder zur Archivierung auf spezielle Server geschickt. Offensichtlich waren die Daten aber nicht oder nur unzureichend gesichert, sodass ein fremder Zugriff teilweise sogar fast in Echtzeit möglich war. Nach jetzigem Kenntnisstand sind auch zwei Krankenhäuser in Deutschland betroffen. Zumindest bei den Datensätzen der deutschen Patienten ist das wahrscheinlichste Szenario, dass diese Informationen nicht auf Webservern lagen, sondern auf internen PCs und Servern.
Offensichtlich handelte es sich dabei um derart schlecht eingerichtete, ungeschützte Geräte, dass sowohl aus dem internen Netzwerk als auch aus dem Internet problemlos auf sie zugegriffen werden konnte. Kein Hack war für diese Datenlecks verantwortlich, sondern eine Vielzahl nicht ausreichend gesicherter Rechner. Neben der fehlenden oder falsch konfigurierten Firewall scheint nicht einmal ein Passwortschutz auf den PCs beziehungsweise Servern gewesen zu sein. Kaum vorstellbar, was passiert, wenn Arbeitgeber, Versicherungskonzerne oder Banken Zugang zu diesen hochsensiblen Daten erhielten: Die Folgen wären fatal. Hätte es jemand mit krimineller Energie auf diese Informationen abgesehen, so wäre es ein Leichtes gewesen, sie für illegale Zwecke zu nutzen. Scheinbar kennt die Unbedarftheit beim Thema IT-Sicherheit immer noch keine Grenzen. Wann landet die Thematik endlich ganz oben auf der Agenda?
Entscheider sollten tatkräftig in geeignete Maßnahmen investieren oder professionelle Unterstützung in Form von Managed Services zu kaufen. Regelmäßige Sicherheitsaudits der IT-Struktur – als Mittel zur Risiko- und Schwachstellenanalyse – dienen dazu, Fehler und wunde Punkte im System zu finden, um etwaige Bedrohungen und Angriffsszenarien abzuwenden. Darüber hinaus gilt es aber auch, die Mitarbeiter nicht aus den Augen zu verlieren. Denn im Tagesgeschäft sind sie gefordert, etwa Spam-Mails zu erkennen oder geeignete Passwörter auszuwählen und entsprechend regelmäßig zu ändern. Investitionen in Sicherheit müssen daher auch immer die Aus- und Weiterbildung der Mitarbeiter beinhalten. Wer keine Security Awareness trainiert, der muss verstärkt mit dem ‚Sicherheitsrisiko Mensch‘ rechnen. Noch immer herrschen beim Thema IT-Sicherheit Naivität und Unsicherheit – was nicht sichtbar ist, gerät schnell in Vergessenheit.
Mithilfe regelmäßiger Trainings lässt sich das Bewusstsein für die Gefahren schärfen und langfristig verankern. Mitarbeitern und Führungskräften muss bewusst werden, welche Auswirkungen Nachlässigkeiten in diesem sensiblen Bereich haben können und was jeder Einzelne vorbeugend für mehr Sicherheit tun kann. Nur so lässt sich ein ganzheitliches Sicherheitsniveau in der jeweiligen Einrichtung erreichen. Meist ist es jedoch so: Viele kennen wahrscheinlich die gängigen Security-Regelungen, empfinden aber einige davon als zu aufwendig, um sie in ihren Arbeitsalltag einzubinden. Hier müssen insbesondere Einrichtungen und Unternehmen der Gesundheits- und Sozialbranche Verantwortung übernehmen und alle Beteiligten entsprechend regelmäßig schulen – das Thema muss in allen Köpfen präsent sein und aktiv in die täglichen Arbeitsprozesse eingebunden werden. Denn wenn nicht bald ein generelles Umdenken in der Branche stattfindet, werden sich die Meldungen zu Datenschutzskandalen häufen. In den Fokus aller Überlegungen zur Sicherheitslage gehört daher immer der Mensch – besonders als potenzieller Risikofaktor.“
