Anzeige

Sicherheitsrisiko Mensch

IT-Sicherheitsexperte Dirk Schrader ist zusammen mit dem Bayerischen Rundfunk und der US-Investigativplattform ProPublica auf Millionen ungesicherter Patientendaten gestoßen. Zu dem skandalösen Fund und den nötigen Konsequenzen äußert sich Karsten Glied, Geschäftsführer der Techniklotsen GmbH.

„50 betroffene Länder, international 16 Millionen ungeschützte Datensätze und über 13.000 frei verfügbare deutsche Patienteninformationen – bittere Bilanz einer einzigen Recherche. Mehr als die Hälfte dieser ungesicherten Datensätze enthielten medizinische Bilder wie MRT- und Röntgenaufnahmen, teils sogar in Verbindung mit Namensangaben, Geburtsdaten und Untersuchungsterminen. Das Gros der betroffenen Patienten stammt aus den USA – in diesen Fällen haben die zur Untersuchung genutzten Geräte die Bilder zur Archivierung auf spezielle Server geschickt. Offensichtlich waren die Daten aber nicht oder nur unzureichend gesichert, sodass ein fremder Zugriff teilweise sogar fast in Echtzeit möglich war. Nach jetzigem Kenntnisstand sind auch zwei Krankenhäuser in Deutschland betroffen. Zumindest bei den Datensätzen der deutschen Patienten ist das wahrscheinlichste Szenario, dass diese Informationen nicht auf Webservern lagen, sondern auf internen PCs und Servern.

Offensichtlich handelte es sich dabei um derart schlecht eingerichtete, ungeschützte Geräte, dass sowohl aus dem internen Netzwerk als auch aus dem Internet problemlos auf sie zugegriffen werden konnte. Kein Hack war für diese Datenlecks verantwortlich, sondern eine Vielzahl nicht ausreichend gesicherter Rechner. Neben der fehlenden oder falsch konfigurierten Firewall scheint nicht einmal ein Passwortschutz auf den PCs beziehungsweise Servern gewesen zu sein. Kaum vorstellbar, was passiert, wenn Arbeitgeber, Versicherungskonzerne oder Banken Zugang zu diesen hochsensiblen Daten erhielten: Die Folgen wären fatal. Hätte es jemand mit krimineller Energie auf diese Informationen abgesehen, so wäre es ein Leichtes gewesen, sie für illegale Zwecke zu nutzen. Scheinbar kennt die Unbedarftheit beim Thema IT-Sicherheit immer noch keine Grenzen. Wann landet die Thematik endlich ganz oben auf der Agenda?

Entscheider sollten tatkräftig in geeignete Maßnahmen investieren oder professionelle Unterstützung in Form von Managed Services zu kaufen. Regelmäßige Sicherheitsaudits der IT-Struktur – als Mittel zur Risiko- und Schwachstellenanalyse – dienen dazu, Fehler und wunde Punkte im System zu finden, um etwaige Bedrohungen und Angriffsszenarien abzuwenden. Darüber hinaus gilt es aber auch, die Mitarbeiter nicht aus den Augen zu verlieren. Denn im Tagesgeschäft sind sie gefordert, etwa Spam-Mails zu erkennen oder geeignete Passwörter auszuwählen und entsprechend regelmäßig zu ändern. Investitionen in Sicherheit müssen daher auch immer die Aus- und Weiterbildung der Mitarbeiter beinhalten. Wer keine Security Awareness trainiert, der muss verstärkt mit dem ‚Sicherheitsrisiko Mensch‘ rechnen. Noch immer herrschen beim Thema IT-Sicherheit Naivität und Unsicherheit – was nicht sichtbar ist, gerät schnell in Vergessenheit.

Mithilfe regelmäßiger Trainings lässt sich das Bewusstsein für die Gefahren schärfen und langfristig verankern. Mitarbeitern und Führungskräften muss bewusst werden, welche Auswirkungen Nachlässigkeiten in diesem sensiblen Bereich haben können und was jeder Einzelne vorbeugend für mehr Sicherheit tun kann. Nur so lässt sich ein ganzheitliches Sicherheitsniveau in der jeweiligen Einrichtung erreichen. Meist ist es jedoch so: Viele kennen wahrscheinlich die gängigen Security-Regelungen, empfinden aber einige davon als zu aufwendig, um sie in ihren Arbeitsalltag einzubinden. Hier müssen insbesondere Einrichtungen und Unternehmen der Gesundheits- und Sozialbranche Verantwortung übernehmen und alle Beteiligten entsprechend regelmäßig schulen – das Thema muss in allen Köpfen präsent sein und aktiv in die täglichen Arbeitsprozesse eingebunden werden. Denn wenn nicht bald ein generelles Umdenken in der Branche stattfindet, werden sich die Meldungen zu Datenschutzskandalen häufen. In den Fokus aller Überlegungen zur Sicherheitslage gehört daher immer der Mensch – besonders als potenzieller Risikofaktor.“

Karsten Glied, Geschäftsführer
Karsten Glied
Geschäftsführer, Techniklotsen GmbH
Karsten Glied ist Geschäftsführer der Techniklotsen GmbH, die sich auf maßgeschneiderte IT- und Technik-Lösungen für die Sozial- und Gesundheitswirtschaft spezialisiert hat. Als studierter Diplom-Betriebswirt entwickelte er schon lange vor dem Megatrend „Digitalisierung“ Strategien für eine bessere Verzahnung von IT mit den fachlichen und wirtschaftlichen Anforderungen eines Unternehmens. Zudem tritt er als Vortragender auf internationalen Konferenzen auf und referiert rund um die Themen Digitalisierung und „IT Business Alignment“. (Bildquelle: Techniklotsen GmbH)

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!