News Datenschutz: 16 Millionen Datensätze von Patienten im Netz

SVΞN

Redakteur a.D.
Registriert
Juni 2007
Beiträge
22.987
  • Gefällt mir
Reaktionen: ZeroCoolRiddler und DJMadMax
Appell an die zuständigen Softwareentwickler:

Aber auch in Deutschland sieht es nicht viel besser aus. Wie das Bayerische Landesamt für Datenschutz bestätigt, war ein Computer in einer Arztpraxis falsch konfiguriert gewesen, weshalb die Daten von 7.200 Patienten ohne Passwortschutz im Netz abrufbar waren.

Warum ist DAS bitte überhaupt möglich?
 
  • Gefällt mir
Reaktionen: CMDCake, OTC-Trader, Triky313 und 14 andere
Schon sehr traurig genau sowas will ich als Patient auf jeden Fall lesen, unglaublich sowas aber überraschen tut es mich nicht mehr ..
 
mögliche Ursachen: Zeitdruck, Kostendruck, Dummheit, Ignoranz
 
  • Gefällt mir
Reaktionen: cryoman, CMDCake, rolandm1 und 5 andere
Sephe schrieb:
...
Warum ist DAS bitte überhaupt möglich?

Ich war mal in einer Praxis. Die Computer liefen nicht rund, stürtzten ab. Ich dann: "Vllt sollte man mal einen IT Menschen kommen lassen!" Antwort: "Dann können wir aber nicht an den Rechnern arbeiten"
 
  • Gefällt mir
Reaktionen: cryoman, CMDCake, OTC-Trader und 11 andere
Petja schrieb:
mögliche Ursachen: Zeitdruck, Kostendruck, Dummheit, Ignoranz

Ignoranz trifft es ganz gut, denn Fehler können passieren, aber es wird seit 2016 auf das Problem hingewiesen. Da hätte reagiert werden müssen.

Der BR hat Patienten Zuhause mit ihren Röntgenbildern konfrontiert. Solch sensiblen Daten dürfen einfach nicht an die Öffentlichkeit gelangen.
 
  • Gefällt mir
Reaktionen: DJMadMax, CMDCake, rolandm1 und 6 andere
Das ist einfach, hinter den Softwarelösungen für niedergelassene Ärzte stecken oft kleine Softwareklitschen mit 5-50 Mitarbeitern. Da wird wirklich nur das nötigste gemacht und teilweise ist das Wissen nicht vorhanden in der Entwicklung. Auf der anderen Seite sind die Ärzte extrem geizig (bei allem) bei IT Ausgaben und da wird auch nur das Nötigste investiert. In den eingesetzten Softwaren sind eigentlich IMMER Standardkennwörter hinterlegt für den Admin Zugriff, die entweder direkt in der Software Hard-Codiert sind oder durch den ausführenden Dienstleister für alle Arztpraxen gleich sind. So kann ein Dienstleister locker 200-500 Arztpraxen betreuen und bei allen ist das Adminkennwort gleich. Mich wundert das überhaupt nicht, auch aus dem Grund weil Ärzte nicht haftbar gemacht werden, weil es sind ja Ärzte ... Mich wundert eignetlich nur, dass es so wenige Daten sind und dass es erst jetzt auffällt. Nagut, vielleicht hat man noch nicht weiter gesucht ;)
Problematisch ist auch, dass die PCs in den Arztpraxen in der Regel immer ungeschützt sind, sprich nicht mit einem Passwort versehen oder wenn doch, der pC nie gesperrt wird.
Wenn man im Behandlungszimmer auf den Arzt wartet kann man eigentlich in jeder Praxis gemütlich an den PC gehen und im "Name" Feld nach Namen suchen ... das ist so gruselig muss ich sagen.
 
  • Gefällt mir
Reaktionen: CMDCake, Freak_On_Silicon, Fernando Vidal und 10 andere
Sephe schrieb:
Warum ist DAS bitte überhaupt möglich?
Weil es zumeist Bananensoftware aus den 90ern ist.

Bei sowas müsste eig 2 Factor und Password Generation Pflicht sein. Zb mit dem Ausweis der zugreifenden Personen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Goldi708 und iron-man
andi_sco schrieb:
Ich war mal in einer Praxis. Die Computer liefen nicht rund, stürtzten ab. Ich dann: "Vllt sollte man mal einen IT Menschen kommen lassen!" Antwort: "Dann können wir aber nicht an den Rechnern arbeiten"

Wenn man zuverlässig und mit vollster Sicherheit haben will, muss man halt die IT mit sich bringen und es korrigieren. Da müssen die halt in den sauren Apfel beißen.
 
Da kommen sehr viele Faktoren zusammen, einige wurden schon aufgezählt. Hauptsächlich liegt das aber an veralterter Software (tatsächlich aus den 90ern). Kein IT-Konzept in den Praxen und das vor allem erst die Computer da waren und dann mal eben schnell das Internet drangestöpselt wurde ohne sich dabei Gedanken zu machen zum Thema IT-Sicherheit.

Technologisch hängt die gesamte Medizininformatik eh ein Jahrzehnt zurück, wenn nicht gar mehr.

Überraschen tut es mich nicht das sowas passiert, gruselig ist es allerdings schon...
 
  • Gefällt mir
Reaktionen: Schmarall
Das ist überall diesen DSGVO Wisch unterschreiben muss/musste hat es ja voll gebracht, Danke dafür.
 
  • Gefällt mir
Reaktionen: cryoman, DarkerThanBlack, indy1138 und 4 andere
projectneo schrieb:
Das ist einfach, hinter den Softwarelösungen für niedergelassene Ärzte stecken oft kleine Softwareklitschen mit 5-50 Mitarbeitern. Da wird wirklich nur das nötigste gemacht und teilweise ist das Wissen nicht vorhanden in der Entwicklung.
Und hinter der IT in der Praxis eine Person, die das nebenbei in der Freizeit macht. Ich sage dazu nichts mehr. Der Moment, wenn ich so etwas herausfinde war mein letzter Besuch bei solchen Läden.
Es wird vorne und hinten an der IT gegeizt, aber Hauptsache der dritte Porsche steht in der Garage.
 
  • Gefällt mir
Reaktionen: schkai, CMDCake, coral81 und 2 andere
Patientendaten sollten wie Kundendaten behandelt werden.

Würden wir bei uns in Unternehmen so agieren hätten wir schnell eine saftige Strafe am Hals.
 
  • Gefällt mir
Reaktionen: Thorbsanne, cryoman, Informant777 und eine weitere Person
Och macht ja nix, gibt ja nix zu verbergen.
Fleißig weiter alles auf Whatsapp, Facebook, Instagram,... teilen

:skull_alt::affe:
 
  • Gefällt mir
Reaktionen: Ice_Dundee
Sephe schrieb:
Appell an die zuständigen Softwareentwickler:



Warum ist DAS bitte überhaupt möglich?

Haha. „Devops“ macht’s möglich.
Man nehme irgendwelche Leute (zumeist Entwickler) mit geringer bis hoher Teilexpertise, werfe die in irgend nen Topf und hinein, und heraus kommt das agil gebaute Produkt.

Früher, als ich noch jung war :D , also etwa vor noch ca sieben Jahren gab es Produkteams aus Entwicklern und Sysadmins, die sich gegenseitig hinterfragt haben, Und meist auch ein mindestens Ansatzweise brauchbares Sicherheitskonzept hatten.

Jetzt gibt es nur noch automatisierte Testjobs und Funktionsprüfungen, sowie sinnfreie sog. compliance Audits von Betreibern irgendwelcher Scan-blackboxes wo kaum einer eine Ahnung hat, was die überhaupt machen.
Woher sollen auch Entwicklungsfokussierte Coderhorden, die in den wenigsten Fällen Betriebserfahrung haben oder bekommen so etwas wissen?

Bei Zertifizierungen wird dann GEFRAGT: haben Sie den BIOS Support für USB maß Storage /Legacy auch deaktiviert, damit niemand mit physischem Zugang Daten abgreifen/kompromittieren kann?
Antwort: natürlich! Leider werden derlei regelmäßige Lügen nahezu nie überprüft und irgend eine ISO für Datensicherheit ist in meinen Augen keinen Cent wert.

Hier ein Link dazu inkl sublink zu Heise:
https://blog.fefe.de/?ts=a5e7cf68

/signed
 
  • Gefällt mir
Reaktionen: Fritzler, Schmarall, Kalsarikännit und eine weitere Person
Und die Verantwortlichen: "Shit happens"
 
  • Gefällt mir
Reaktionen: Informant777, Kuomo, RollingMadnesS und eine weitere Person
Auch Politiker aller anderen großen Parteien meldeten sich zu Wort und mahnten Bundesgesundheitsminister Jens Spahn dazu, die Warnsignale nicht zu ignorieren.

Dann ist das Problem ja jetzt behoben. Hurrah! Niemand braucht härtere Gesetze und Auflagen für IT-Sicherheit und Codequalität. Lieber weiter Ranzsoftware einkaufen und hinterher mahnend den Finger erheben. Es ist absurd, was für ein Qualitätsstandard im Bereich Software akzeptiert wird während praktisch nichts in der realen Welt ohne Standards und Prüfungen auf den deutschen Markt kommt. Aber dann wäre das ja nicht mehr so schön billig.
 
  • Gefällt mir
Reaktionen: S4lv4t0r
Zurück
Oben