teufelernie
Commander
- Registriert
- Sep. 2004
- Beiträge
- 2.400
lordfritte schrieb:
Immerhin hat man jetzt ne Klagegrundlage. Was juristisch teuer wird kann dann auf einmal für (weniger Geld) abgesichert werden..
-
Es gelten die Sonderregeln des Forums Politik und Gesellschaft.
News Datenschutz: 16 Millionen Datensätze von Patienten im Netz
- Ersteller SVΞN
- Erstellt am
- Zur News: Datenschutz: 16 Millionen Datensätze von Patienten im Netz
Immerhin hat man jetzt ne Klagegrundlage. Was juristisch teuer wird kann dann auf einmal für (weniger Geld) abgesichert werden..
DaVinz
Ensign
- Registriert
- März 2012
- Beiträge
- 156
EduardLaser schrieb:
Falsch! Gesundheitsdaten gehören zu den besonders schützenswerten Daten, sie stehen also noch über den Kundendaten. Es ist aber schön das in deinem Unternehmen anscheinend ein Bewusstsein für den Datenschutz da ist. :-)
"Art. 9 – EU-DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten"
Es ist einfach ein Trauerspiel wie leichtfertig damit umgegeangen wird.
SavageSkull
Fleet Admiral
- Registriert
- Mai 2010
- Beiträge
- 14.427
man darf einem Arzt nicht vorwerfen, dass er keinen IT Beruf gelernt hat. Hier gehören eindeutige Vorgaben für IT-fremde formuliert. Die DSGVO ist ein Krampf für Leute die mit der Thematik nichts zu tun hatten.Petja schrieb:
teufelernie
Commander
- Registriert
- Sep. 2004
- Beiträge
- 2.400
Conqi schrieb:
Und wie war das? 8/10 Sicherheitslücken sind kopierter Code.
Häufig hirnlos etwas von Stackoverflow kopiert, statt sich in die Logik zu denken und dabei direkt noch ein Sicherheitsproblem zu bemerken um den Code geringfügig zu modifizieren oder einfach nur die Idee des Codes zu adaptieren.
kryzs
Lt. Commander
- Registriert
- Apr. 2012
- Beiträge
- 1.637
„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient.
BSI-Präsident Arne Schönbohm„
Guten Morgen, willkommen im Neuland.
BSI-Präsident Arne Schönbohm„
Guten Morgen, willkommen im Neuland.
Zuletzt bearbeitet:
(^^)
QwayZee
Lt. Commander
- Registriert
- Juni 2014
- Beiträge
- 1.198
Ich habe schon etliche Praxen beraten. Geld ist da, das Verständnis jedoch nicht. IT und vor allem die IT-Sicherheit stehen an allerletzter Stelle. Der Porsche vom Arzt dafür an mindestens zweiter... Da helfen selbst Schulungen nicht. Die Mitarbeiter sind genauso eine Gefahr, nicht nur die Hardware/Software.Sephe schrieb:
Forum-Fraggle
Commodore
- Registriert
- Okt. 2006
- Beiträge
- 4.281
Vielleicht sollte mal überlegt werden, das die Krankenkassen o.ä. für eine zentrale IT Verwaltung verantwortlich sein sollten, die genau für die IT mit Patientendaten veramtwortlich ist im,Sinne von Softwarewartung.
Und etwas anderes wird auch schön gezeigt: einmal gecloud ist schon halb geklaut (Dank an den Erstschreiber dieses Satzes, kenne die Quelle leider nicht mehr)
Und etwas anderes wird auch schön gezeigt: einmal gecloud ist schon halb geklaut (Dank an den Erstschreiber dieses Satzes, kenne die Quelle leider nicht mehr)
Auch wenn ich Dir vom Prinzip zustimme: Bislang habe ich noch keine Praxis erlebt, bei der der Computer zugänglich (räumlich) und/oder unbeaufsichtigt war. Natürlich kann ichcvon meinen Erfahrungen aber nicht auf alle schließen.projectneo schrieb:Das ist einfach, hinter den Softwarelösungen für niedergelassene Ärzte stecken oft kleine Softwareklitschen mit 5-50 Mitarbeitern. Da wird wirklich nur das nötigste gemacht und teilweise ist das Wissen nicht vorhanden in der Entwicklung. Auf der anderen Seite sind die Ärzte extrem geizig (bei allem) bei IT Ausgaben und da wird auch nur das Nötigste investiert. In den eingesetzten Softwaren sind eigentlich IMMER Standardkennwörter hinterlegt für den Admin Zugriff, die entweder direkt in der Software Hard-Codiert sind oder durch den ausführenden Dienstleister für alle Arztpraxen gleich sind. So kann ein Dienstleister locker 200-500 Arztpraxen betreuen und bei allen ist das Adminkennwort gleich. Mich wundert das überhaupt nicht, auch aus dem Grund weil Ärzte nicht haftbar gemacht werden, weil es sind ja Ärzte ... Mich wundert eignetlich nur, dass es so wenige Daten sind und dass es erst jetzt auffällt. Nagut, vielleicht hat man noch nicht weiter gesucht
Problematisch ist auch, dass die PCs in den Arztpraxen in der Regel immer ungeschützt sind, sprich nicht mit einem Passwort versehen oder wenn doch, der pC nie gesperrt wird.
Wenn man im Behandlungszimmer auf den Arzt wartet kann man eigentlich in jeder Praxis gemütlich an den PC gehen und im "Name" Feld nach Namen suchen ... das ist so gruselig muss ich sagen.
Bei meiner aktuellen Hausärztin führte es dazu, daß im Bereich des Eingangs niemand mehr sitzen darf. Hatte aber auch was Gutes, das Zeitmanagement wurse dort besser.SavageSkull schrieb:
EduardLaser
Banned
- Registriert
- Juli 2016
- Beiträge
- 535
Es wäre immerhin ein erster Schritt diese überhaupt zu schützen 😂wern001 schrieb:
Wenn diese Patientendaten so sensibele wäre würde es wohl einen besseren Schutz wie für die Kundendaten geben.( Das ist ein Scherz und Patientendaten sind gerade in der heutigen noch besser zu schützen)
wern001
Admiral
- Registriert
- Mai 2017
- Beiträge
- 7.452
QwayZee schrieb:
Das Problem bei so Praxen ist das man die selbst für die Erklärung der Datensicherung unterschreiben lassen muss das man das gemacht hat.
Das Problem ist aber auch die Software die oft keinerlei Schutz bietet. z.B. eigene HTTP-Server wo man ohne Probleme per Browser den Inhalt von Ordner anschauen kann. Da bietet der MS-IIS sogar besseren schutz in der Grundkonfiguration
Wie kann man nur so schlampig arbeiten. Kohle für Luxusgüter ist vorhanden aber sensible Daten werden kostengünstig und unsicher gespeichert. Wieso wird nur ein Politiker ermahnt? Wir haben doch die tolle Verordnung die jeder Patient unterschreiben muss. Also bitte jetzt auch jeden betroffenen Patienten informieren und die behandelnden Ärzte abmahnen. Mir ist es scheiß egal ob ein Arzt sich mit der IT auskennt oder nicht. Es ist seine Pflicht sensible Daten zu schützen. Wenn er nicht weiß wie das geht, muss halt ein IT Spezialist dies übernehmen. Dieser trägt dann auch die Verantwortung wenn etwas falsch umgesetzt wurde.
M
Musashi
Gast
Ach was glaubt ihr, wie es bei Kassensystemen im Supermarkt aussieht, die Rechner dort haben total veraltete Hardware und laufen noch mit uralten Linux Systemen. Besonders bei Supermärkten die schon seit 30 Jahren existieren, da wird nie aufgerüstet und Upgegradet.
Warum soll es in einer Praxis anders aussehen.
Warum soll es in einer Praxis anders aussehen.
der Unzensierte
Vice Admiral
- Registriert
- Juni 2009
- Beiträge
- 6.991
Da ändert sich nur was wenn es in der Kasse weh tut, aber so richtig. Jetzt 50.000€ Bußgeld für jeden bekannten Fall, zu zahlen an den betroffenen Patienten - oder die lernen es nie. Aber die "Götter in Weiß" kommen auch hier garantiert wieder ungeschoren davon. Hoffentlich haben wenigstens einige der Betroffenen so ein richtig dickes Portemonnaie und verklagen diese Banausen bis in die letzte Instanz.
TheBeastMaster
Lieutenant
- Registriert
- Juli 2008
- Beiträge
- 824
Ich arbdite nun seit rund 15 Jahren im medizinischen IT bereich. Sowohl im Krankenhaus als auch im Praxisumfeld. Mich überrascht eigentlich nur das bisher noch nicht viel mehr passiert ist. Die Gründe dafür sind oft Bequemlichkeit gewürzt mit Unkenntnis und Geiz. Eine Prise Überheblichkeit rundet das ganze noch ab und als Nachtisch kommen noch Mängel seitens der Medizinprodukt Hersteller dazu. Geräte mit undokumentierten und ungesicherten Schnittstellen sind da absolut üblich.
In Praxen sogar noch schlimmer, da wird einfach Stumpf alles an eine Fritzbox gehängt, der Arzt will ja Internet. Damit er im Alltag nicht gestört wird, laufen die Anwender mit Adminrechten rum. Auch auf Hinweis bezüglich der Sicherheit wird das explizit so gewünscht.
Hardcoded Passwörter sind da die Regel. Beispiel? JMed. User: Administrator Password: masterkey. Im dead fucking serious. Auch hier werden meist 2 Versionen gepflegt. Eine für die Zertifizierung für die KV, eine für Production bei den Ärzten. Warum? Aussage der Entwickler: Weil die Vorgaben nicht den Wünschen der Ärzte entsprechen.
Wer meint im Krankenhaus wäre das besser? LOL.
Beispiel Braun Pumpenstationen. Die hängen meist in Intensiv Stationen und versorgen Patienten mit benötigten Medikamenten. Credentials fur die Statusanzeige? User: status passwort: status. Credentials für Configuration? User: config password:config. Eine Aufforderung bei der Einrichtung das Passwort zu ändern? Fehlanzeige.
Wissen von IT Basics bei Medizintechnikern ist ebenfalls nicht gegeben. Was ist DHCP, wie funktioniert IP, was ist ein Socket? Keine Ahnung... Dementsprechend werden diese Geräte angeschlossen und konfiguriert.
Es ist unglaublich wie fahrlässig in der Medizin mit Daten umgegangen werden. Jeder Versuch eines fähigen Admins da Veränderungen zu bewirken Scheitert an: Wollen wir nicht, zu kompliziert, zu unbequem oder an "das war schon immer so"
Mich macht es wütend und traurig zugleich wie auch die Behörden "Kontrollen" durchführen. Papier ist geduldig und in der Medizin ist Papier im Wachkoma.
In Praxen sogar noch schlimmer, da wird einfach Stumpf alles an eine Fritzbox gehängt, der Arzt will ja Internet. Damit er im Alltag nicht gestört wird, laufen die Anwender mit Adminrechten rum. Auch auf Hinweis bezüglich der Sicherheit wird das explizit so gewünscht.
Hardcoded Passwörter sind da die Regel. Beispiel? JMed. User: Administrator Password: masterkey. Im dead fucking serious. Auch hier werden meist 2 Versionen gepflegt. Eine für die Zertifizierung für die KV, eine für Production bei den Ärzten. Warum? Aussage der Entwickler: Weil die Vorgaben nicht den Wünschen der Ärzte entsprechen.
Wer meint im Krankenhaus wäre das besser? LOL.
Beispiel Braun Pumpenstationen. Die hängen meist in Intensiv Stationen und versorgen Patienten mit benötigten Medikamenten. Credentials fur die Statusanzeige? User: status passwort: status. Credentials für Configuration? User: config password:config. Eine Aufforderung bei der Einrichtung das Passwort zu ändern? Fehlanzeige.
Wissen von IT Basics bei Medizintechnikern ist ebenfalls nicht gegeben. Was ist DHCP, wie funktioniert IP, was ist ein Socket? Keine Ahnung... Dementsprechend werden diese Geräte angeschlossen und konfiguriert.
Es ist unglaublich wie fahrlässig in der Medizin mit Daten umgegangen werden. Jeder Versuch eines fähigen Admins da Veränderungen zu bewirken Scheitert an: Wollen wir nicht, zu kompliziert, zu unbequem oder an "das war schon immer so"
Mich macht es wütend und traurig zugleich wie auch die Behörden "Kontrollen" durchführen. Papier ist geduldig und in der Medizin ist Papier im Wachkoma.
wahli
Admiral
- Registriert
- Feb. 2010
- Beiträge
- 9.366
Bei meinen Projekten gibt es auch im laufenden Betrieb jedes Jahr Sicherheitschecks von einer unabhängigen externen Firma. Und raus kommt da ein Ergebnisprotokoll inkl. Kategorisierung der Sicherheitslücken. Die schwerwiegensten Lücken müssen dann innerhalb einer definierten Zeit (ca. zwei Wochen) gefixt werden, sonst schaltet meine Firma die Applikation ab.
Aber bei Patientendaten ist das alles nicht so wichtig und es wird auch nichts abgeschalten
Aber bei Patientendaten ist das alles nicht so wichtig und es wird auch nichts abgeschalten
Coenzym
Lieutenant
- Registriert
- Jan. 2014
- Beiträge
- 536
projectneo schrieb:Das ist einfach, hinter den Softwarelösungen für niedergelassene Ärzte stecken oft kleine Softwareklitschen mit 5-50 Mitarbeitern. Da wird wirklich nur das nötigste gemacht und teilweise ist das Wissen nicht vorhanden in der Entwicklung. Auf der anderen Seite sind die Ärzte extrem geizig (bei allem) bei IT Ausgaben und da wird auch nur das Nötigste investiert. In den eingesetzten Softwaren sind eigentlich IMMER Standardkennwörter hinterlegt für den Admin Zugriff, die entweder direkt in der Software Hard-Codiert sind oder durch den ausführenden Dienstleister für alle Arztpraxen gleich sind. So kann ein Dienstleister locker 200-500 Arztpraxen betreuen und bei allen ist das Adminkennwort gleich. Mich wundert das überhaupt nicht, auch aus dem Grund weil Ärzte nicht haftbar gemacht werden, weil es sind ja Ärzte ... Mich wundert eignetlich nur, dass es so wenige Daten sind und dass es erst jetzt auffällt. Nagut, vielleicht hat man noch nicht weiter gesucht
Problematisch ist auch, dass die PCs in den Arztpraxen in der Regel immer ungeschützt sind, sprich nicht mit einem Passwort versehen oder wenn doch, der pC nie gesperrt wird.
Wenn man im Behandlungszimmer auf den Arzt wartet kann man eigentlich in jeder Praxis gemütlich an den PC gehen und im "Name" Feld nach Namen suchen ... das ist so gruselig muss ich sagen.
Das mit der Software stimmt, der ist Rest ist Quatsch, zumindest nach meinen Erfahrungen. In den Praxen die ich kenne wird das IT System sehr gut kontrolliert/upgedatet/gesperrt und es wird viel Geld in den IT Support/Backup/Security gesteckt. Also allgemeingültig ist deine Erfahrungen nicht.
Uhm, Gegenfrage: Wie genau stellst du dir das anders vor? Du hast pro Bett mehrere dieser Pumpen und die werden je nachdem wo sie benötigt werden von Platz zu Platz gegeben. Du kannst unmöglich jeder dieser Pumpen ein individuelles Passwort geben.TheBeastMaster schrieb:
Das selbe Passwort für jede Pumpe pro Station wäre möglich, da muss dann trotzdem irgendwo ne Passwortliste abliegen. So wars zumindest vor 9-10 Jahren so, als ich Zivi auf ner Intensiv gemacht habe.
Ähnliche Themen
