Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Sicherheitsrisiko Mensch

IT-Sicherheitsexperte Dirk Schrader ist zusammen mit dem Bayerischen Rundfunk und der US-Investigativplattform ProPublica auf Millionen ungesicherter Patientendaten gestoßen. Zu dem skandalösen Fund und den nötigen Konsequenzen äußert sich Karsten Glied, Geschäftsführer der Techniklotsen GmbH.

„50 betroffene Länder, international 16 Millionen ungeschützte Datensätze und über 13.000 frei verfügbare deutsche Patienteninformationen – bittere Bilanz einer einzigen Recherche. Mehr als die Hälfte dieser ungesicherten Datensätze enthielten medizinische Bilder wie MRT- und Röntgenaufnahmen, teils sogar in Verbindung mit Namensangaben, Geburtsdaten und Untersuchungsterminen. Das Gros der betroffenen Patienten stammt aus den USA – in diesen Fällen haben die zur Untersuchung genutzten Geräte die Bilder zur Archivierung auf spezielle Server geschickt. Offensichtlich waren die Daten aber nicht oder nur unzureichend gesichert, sodass ein fremder Zugriff teilweise sogar fast in Echtzeit möglich war. Nach jetzigem Kenntnisstand sind auch zwei Krankenhäuser in Deutschland betroffen. Zumindest bei den Datensätzen der deutschen Patienten ist das wahrscheinlichste Szenario, dass diese Informationen nicht auf Webservern lagen, sondern auf internen PCs und Servern.

Offensichtlich handelte es sich dabei um derart schlecht eingerichtete, ungeschützte Geräte, dass sowohl aus dem internen Netzwerk als auch aus dem Internet problemlos auf sie zugegriffen werden konnte. Kein Hack war für diese Datenlecks verantwortlich, sondern eine Vielzahl nicht ausreichend gesicherter Rechner. Neben der fehlenden oder falsch konfigurierten Firewall scheint nicht einmal ein Passwortschutz auf den PCs beziehungsweise Servern gewesen zu sein. Kaum vorstellbar, was passiert, wenn Arbeitgeber, Versicherungskonzerne oder Banken Zugang zu diesen hochsensiblen Daten erhielten: Die Folgen wären fatal. Hätte es jemand mit krimineller Energie auf diese Informationen abgesehen, so wäre es ein Leichtes gewesen, sie für illegale Zwecke zu nutzen. Scheinbar kennt die Unbedarftheit beim Thema IT-Sicherheit immer noch keine Grenzen. Wann landet die Thematik endlich ganz oben auf der Agenda?

Entscheider sollten tatkräftig in geeignete Maßnahmen investieren oder professionelle Unterstützung in Form von Managed Services zu kaufen. Regelmäßige Sicherheitsaudits der IT-Struktur – als Mittel zur Risiko- und Schwachstellenanalyse – dienen dazu, Fehler und wunde Punkte im System zu finden, um etwaige Bedrohungen und Angriffsszenarien abzuwenden. Darüber hinaus gilt es aber auch, die Mitarbeiter nicht aus den Augen zu verlieren. Denn im Tagesgeschäft sind sie gefordert, etwa Spam-Mails zu erkennen oder geeignete Passwörter auszuwählen und entsprechend regelmäßig zu ändern. Investitionen in Sicherheit müssen daher auch immer die Aus- und Weiterbildung der Mitarbeiter beinhalten. Wer keine Security Awareness trainiert, der muss verstärkt mit dem ‚Sicherheitsrisiko Mensch‘ rechnen. Noch immer herrschen beim Thema IT-Sicherheit Naivität und Unsicherheit – was nicht sichtbar ist, gerät schnell in Vergessenheit.

Mithilfe regelmäßiger Trainings lässt sich das Bewusstsein für die Gefahren schärfen und langfristig verankern. Mitarbeitern und Führungskräften muss bewusst werden, welche Auswirkungen Nachlässigkeiten in diesem sensiblen Bereich haben können und was jeder Einzelne vorbeugend für mehr Sicherheit tun kann. Nur so lässt sich ein ganzheitliches Sicherheitsniveau in der jeweiligen Einrichtung erreichen. Meist ist es jedoch so: Viele kennen wahrscheinlich die gängigen Security-Regelungen, empfinden aber einige davon als zu aufwendig, um sie in ihren Arbeitsalltag einzubinden. Hier müssen insbesondere Einrichtungen und Unternehmen der Gesundheits- und Sozialbranche Verantwortung übernehmen und alle Beteiligten entsprechend regelmäßig schulen – das Thema muss in allen Köpfen präsent sein und aktiv in die täglichen Arbeitsprozesse eingebunden werden. Denn wenn nicht bald ein generelles Umdenken in der Branche stattfindet, werden sich die Meldungen zu Datenschutzskandalen häufen. In den Fokus aller Überlegungen zur Sicherheitslage gehört daher immer der Mensch – besonders als potenzieller Risikofaktor.“

Karsten Glied, Geschäftsführer
Karsten Glied
Geschäftsführer, Techniklotsen GmbH
Karsten Glied ist Geschäftsführer der Techniklotsen GmbH, die sich auf maßgeschneiderte IT- und Technik-Lösungen für die Sozial- und Gesundheitswirtschaft spezialisiert hat. Als studierter Diplom-Betriebswirt entwickelte er schon lange vor dem Megatrend „Digitalisierung“ Strategien für eine bessere Verzahnung von IT mit den fachlichen und wirtschaftlichen Anforderungen eines Unternehmens. Zudem tritt er als Vortragender auf internationalen Konferenzen auf und referiert rund um die Themen Digitalisierung und „IT Business Alignment“. (Bildquelle: Techniklotsen GmbH)
GRID LIST
Pishing

Die Entscheidung zwischen technischen oder organisatorischen Lösungen

Die Kombination macht‘s: Welche Maßnahmen wirklich gegen Phishing helfen. Denn:…
Tb W190 H80 Crop Int 9b015b24c2811e65f1a8f3a34499a66b

Schwachstellen kennen ist nur die halbe Miete

Zumindest nach außen hin sagen viele Unternehmen, dass der Schwerpunkt ihrer…
Tb W190 H80 Crop Int 391a76a85a3fec197190e2d4a9ad5432

Neue NIST-Richtlinien zur Zero-Trust-Architektur

Vor wenigen Wochen veröffentlichte das National Institute for Standards and Technology…
Psychologie Kopf

Psychologie trifft IT-Sicherheit

Psychologische Erkenntnisse aus den Kognitionswissenschaften lassen sich auf den…
Budgethilfe

Kostenfreies Tool für IT-Security Budget-Check

Bei jeweils mehr als der Hälfte der mittelständischen (65 Prozent) und großer (68…
Marriott Hotel

Ein Jahr nach dem Marriott-Breach

Ein Jahr danach: Die Lehren aus dem Marriott-Breach. Ein Experten-Kommentar von Klaus…