News Datenschutz: 16 Millionen Datensätze von Patienten im Netz

[chardy]

Ich denke mal, es ist nicht nur fehlendes Bewusstsein der Angestellten oder Praxisinhaber für die Problematik bei sensiblen Daten, es kommt sicher auch eine Mischung aus Zeitnot, Ahnungslosigkeit vieler ITler und unverschämten Kosten für externe IT-Dienstleister dazu.

Ich erlebe ständig in meiner Abteilung (keine Arztpraxis), was für ein Horror IT im Allgemeinen und externe IT im Speziellen sind. Da werden mitten in der Prime Time Updates aufgespielt, danach laufen erstmal stundenlang 3/4 der Rechner nicht. Da wird für eine simple Fernwartung, die nichtmal 3 Minuten dauert, eine Rechnung über 150 € ausgestellt. Da werden auf Anraten des IT-Dienstleisters nach ausführlicher Beratung Rechner für CAD angeschafft, die nicht mal ansatzweise die nötige Leistung bringen, so dass wir Tag für Tag 2-3 Stunden nur auf die Sanduhr starren. Und wehe uns, wenn da mal an der Software Änderungen durchgeführt werden müssen - für 1 Woche Arbeit eines IT-"Fachmanns" mal eben eine 5-stellige Rechnung.

Wir haben in den letzten Jahren mehrfach den IT-Dienstleister gewechselt, weil die nicht mal ansatzweise das gebracht haben, was sie uns vollmundig versprochen haben. Weil selbst kleinste Probleme zu riesigen Dramen mit unmöglichen Kosten aufgebauscht werden. Ich denke mal, mit diesen oder ähnlichen Problemen haben gerade kleine Betriebe wie auch Arztpraxen sehr zu kämpfen.

Seit einem halben Jahr haben wir jetzt schlussendlich einen fähigen Mann selber fest eingestellt, der sich um unsere IT kümmert. Und siehe da - kaum noch Störungen, es läuft einfach. Der bekommt ein sehr gutes Gehalt und ist immer noch deutlich günstiger als die externen ITler vorher. Das kann sich eine Praxis aber nicht leisten, bestenfalls die Gesundheitszentren.

Das nächste Problem kommt dann auf uns zu, wenn der Kollege dann irgendwann doch mal kündigt oder ausfällt, dann geht das ganze Drama von Vorne los. Erfahrungsgemäß wird da kaum etwas korrekt dokumentiert.

 

[5@n!töt3r]

72 Stunden haben die Betreiber ab Meldung Zeit, ansonsten brauchen sie eine gute Begründung. Da der Artikel bei BR schon 24 Stunden alt ist, sollte die Behörde in spätestens 48 Stunden wissen, wer aller betroffen ist.

Ergänzung (18. September 2019)

Du kannst unmöglich jeder dieser Pumpen ein individuelles Passwort geben.

Brauchen sie auch nicht unbedingt. Es wäre schon mal ein wichtiger Schritt ein einheitliches Passwort zu nehmen, welches nicht so leicht zu erraten ist.

 

[projectneo]

Das mit der Software stimmt, der ist Rest ist Quatsch, zumindest nach meinen Erfahrungen. In den Praxen die ich kenne wird das IT System sehr gut kontrolliert/upgedatet/gesperrt und es wird viel Geld in den IT Support/Backup/Security gesteckt. Also allgemeingültig ist deine Erfahrungen nicht.

In 80% der Fälle ist dem so. Ich habe Kontakte zu Dienstleistern in der Branche. Sowohl im Krankenhausumfeld als auch Niedergelassenen Bereich. Dort ist es wie gesagt bei 800 von 1000 Praxen so. Meistens wird es schlimmer je größer die Praxis wird. Ganz kleine Praxen die auch unabhängig sind haben das oft auch so, allerdings ist dort aufgrund der geringen größe zumindest immer jemand da und man kommt nicht einfach ran.
Ich rede hier nicht von dieser typischen persönlichen Erfahrung!

 

[MC´s]

Schöne neue Welt 🤮

 

[Ehrmann2]

Man könnte schreien, aber nicht vor Glück..

Es muss doch möglich sein eine private/public key Verschlüsselung für die Daten zu implementieren, damit nur die Zugriff haben die ICH autorisiere... Das macht dann wieder jeder vor Deutschland. Gleich mal gucken was Estland macht... ^^0

 

[anexX]

Warum ist DAS bitte überhaupt möglich?

Weil Menschen am Werk waren - wo Menschen am Werk sind ist prinzipiell alles möglich.

 

[Taxxor]

Es geht ja auch nicht nur darum, dass jemand an die Daten kommen kann, sondern auch, dass er sie auch bearbeiten kann.
Ich habe letztens mal beiläufig einen Bericht gesehen, wo in MRT Bildern von Patienten z.B. ein Tumor "eigebaut" wurde.

 

[5@n!töt3r]

In at heißt das ganze elga , gibt ein opt out,
Zum glück genutzt

Elga ist kein PACS-Server.

 

[Scrush]

habe 2,5 jahre in einem Krankenhaus gearbeitet

Passwörter = Benutzername

oder Passwörter unter der Tastatur mit "Passwort : "

Ein Buch in der Schublade mit allen Zugängen und Kennwörter der Kollegen auf der Station

Passwort für Windows und KIS identisch.

Dasselbe gilt für die Zugänge ins KIS (Krankenhaus Informastionssystem)

Muss man mehr dazu sagen?

 

[textract]

Sie waren zwar ungeschützt aber es gab ja kein Leak, von daher: Glück gehabt.

Wissen wir das? Dir kann doch niemand mit Sicherheit sagen, dass die nicht auf dem Schmarzmarkt schon gehandelt wurden.

 

[Scrush]

admin Kennwörter werden auch nicht geändert wenn MA das unernehmen verlassen.

kann jederzeit rein und alles lahmlegen^^

 

[dr. lele]

Es wird vorne und hinten an der IT gegeizt, aber Hauptsache der dritte Porsche steht in der Garage.

Zu was für Ärzten gehst du denn bitte? Selbst in Hamburg oder Düsseldorf habe ich seltenst Ärzte mit nem Porsche gesehen.

 

[MilchKuh Trude]

Früher war die Akte aus Papier und unter verschluss. Da musste man physikalisch dran kommen. Heute diskutieren wir darüber, die ganze akte auf die Krankenkassenkarte zu bekommen.

 

[textract]

Ich erlebe ständig in meiner Abteilung (keine Arztpraxis), was für ein Horror IT im Allgemeinen und externe IT im Speziellen sind. Da werden mitten in der Prime Time Updates aufgespielt, danach laufen erstmal stundenlang 3/4 der Rechner nicht. Da wird für eine simple Fernwartung, die nichtmal 3 Minuten dauert, eine Rechnung über 150 € ausgestellt. Da werden auf Anraten des IT-Dienstleisters nach ausführlicher Beratung Rechner für CAD angeschafft, die nicht mal ansatzweise die nötige Leistung bringen, so dass wir Tag für Tag 2-3 Stunden nur auf die Sanduhr starren. Und wehe uns, wenn da mal an der Software Änderungen durchgeführt werden müssen - für 1 Woche Arbeit eines IT-"Fachmanns" mal eben eine 5-stellige Rechnung.

Dann hättet ihr halt aber auch vernünftige SLAs vereinbaren müssen.
Wir haben Kunden, da haben wir lediglich 3 Wartungsfenster im Jahr und es gibt Kunden, die haben auf dringenden Anraten keine SLAs gewollt.

Wenn wir in unserem Team 5.000 physische Maschinen haben und auf jeder laufen 1 bis 10 virtuelle, dann muss man halt schauen, wie man mit seinem Patchmanagement zurecht kommt und wenn keine Einschränkungen in der Wartbarkeit mit den Kunden getroffen wurden, dann werden Systeme, die tagsüber gemacht werden "dürfen", auch tagsüber gemacht.

Wie das mit der Abrechnung ist, kann ich dir natürlich nicht genau sagen, ich weiß nur, dass unsere Kunden mit uns sehr zufrieden sind.

 

[HDopfer]

Wissen wir das? Dir kann doch niemand mit Sicherheit sagen, dass die nicht auf dem Schmarzmarkt schon gehandelt wurden.

Mit 100% kann man das nicht sagen aber die Daten sind auf keiner Plattform aufgetaucht.

 

[VinylUndKoffein]

Das ist ein starkes Stück, zumal zumindest Kliniken auf der KRITIS-Liste stehen. (Wie das bei kleinen Praxen niedergelassener Ärzte ausschaut entzieht sich meiner Kenntnis.)

Bedingt durch Job und Bekanntenkreis gewinne ich immer mal wieder, mal mehr mal weniger tiefe Einblicke in IT-Konzepte und -Strukturen, sofern diese denn vorhanden sind. Und was da in Arztpraxen, Kliniken, Schulen, Unis und vielen Bereichen des ÖD abgeht ist nett gesagt chaotisch: Abteilungsleiter, die in den nächsten Supermarkt fahren und sich aus schierer Not ein x-beliebiges Notebook kaufen, weil das Dienstgerät seit 2 Tagen durch ein fehlgeschlagenes Update im Bootloop hängt, unverschlüsselte "Backups" dienstlicher Geräte auf dem privaten Wohnzimmer-NAS des Admins, komplette Klientendatenbanken im Google Drive weil der Fileserver schon seit Jahren nicht funktioniert, etc. Die Zuständigen kassieren indessen gutes Geld und kriegen im schlimmsten Fall mal eine Verwarnung. Zu groß ist die (mE vollkommen berechtigte) Angst, dass kein Ersatz gefunden wird.

Auch die Politik verfolgt das Ganze so rat- wie tatenlos. Ständig wird der rhetorische Zeigefinger gehoben und mit Buzzwords um sich geworfen und ein für den Normal-User unverständlicher Papiertiger jagt den nächsten.

Wie wäre es denn, für bestimmte Postitionen in der IT mal Pflichtschulungen einzuführen? Jeder Lokführer oder Busfahrer darf ohne Nachweis über das Bestehen bestimmter Schulungen und Prüfungen keinen Meter fahren. Aber Praxisgemeinschaften mit Datensätzen hunderter PatientInnen, die seit Jahrzehnten "Admins" beschäftigen, die irgendwann in den frühen Neunzigern mal "was mit Computern" gelernt haben, sind okay?

 

[Scrush]

Das ist ein starkes Stück, zumal zumindest Kliniken auf der KRITIS-Liste stehen. (Wie das bei kleinen Praxen niedergelassener Ärzte ausschaut entzieht sich meiner Kenntnis.)

Bedingt durch Job und Bekanntenkreis gewinne ich immer mal wieder, mal mehr mal weniger tiefe Einblicke in IT-Konzepte und -Strukturen, sofern diese denn vorhanden sind. Und was da in Arztpraxen, Kliniken, Schulen, Unis und vielen Bereichen des ÖD abgeht ist nett gesagt chaotisch: Abteilungsleiter, die in den nächsten Supermarkt fahren und sich aus schierer Not ein x-beliebiges Notebook kaufen, weil das Dienstgerät seit 2 Tagen durch ein fehlgeschlagenes Update im Bootloop hängt, unverschlüsselte "Backups" dienstlicher Geräte auf dem privaten Wohnzimmer-NAS des Admins, komplette Klientendatenbanken im Google Drive weil der Fileserver schon seit Jahren nicht funktioniert, etc. Die Zuständigen kassieren indessen gutes Geld und kriegen im schlimmsten Fall mal eine Verwarnung. Zu groß ist die (mE vollkommen berechtigte) Angst, dass kein Ersatz gefunden wird.

Auch die Politik verfolgt das Ganze so rat- wie tatenlos. Ständig wird der rhetorische Zeigefinger gehoben und mit Buzzwords um sich geworfen und ein für den Normal-User unverständlicher Papiertiger jagt den nächsten.

Wie wäre es denn, für bestimmte Postitionen in der IT mal Pflichtschulungen einzuführen? Jeder Lokführer oder Busfahrer darf ohne Nachweis über das Bestehen bestimmter Schulungen und Prüfungen keinen Meter fahren. Aber Praxisgemeinschaften mit Datensätzen hunderter PatientInnen, die seit Jahrzehnten "Admins" beschäftigen, die irgendwann in den frühen Neunzigern mal "was mit Computern" gelernt haben, sind okay?

da wo ich war, werden vorschläge diesbezüglich und bezüglich Sicherheitsmaßnahmen nicht umgesetzt weil es der GF nicht möchte. wir haben öfters vorgeschlagen dies und jedes zur Sicherheit zu ändern aber es wurde nicht gemacht

stattdessen werden pro tag hunderte bis tausend essenskarten auf nem drucker gedruckt was ohne ende Geld kostet für Papier und vor allem Toner und verschleiß der Geräte... etc...

viel zu viel aufwand und die umstellung für die Kollegen auf den Stationen wäre so groß dass die Arbeitsleistung darunter leidet

 

[corvus]

Ich kenne von Berufswegen beide Seiten. Praxen, die die IT-Sicherheit sehr ernst nehmen und welche, bei denen "der Chef sich halt" um die IT kümmert. Da stehen dann halt auch mal PCs, die sicht nicht mal selber sperren im Behandlungsraum, wo jeder Patient ran könnte, wenn der Behandler gerade mal nicht da ist. Genauso wie solche, die bewusst professionelle Firewalls (allein wegen Site2Site-Tunneln zu div. Kliniken wg. Befundübermittlung) einsetzen und PCs in den Behandlungszimmern natürlich erst gar nicht ins Internet kommen und auch nirgendwo irgendwelche Standardkennwörter laufen.
Naja und einmal hab ich ein Krankenhaus gesehen, da hatten einige medizinische Geräte nicht mal ein eigenes VLAN sondern lagen mit im Verwaltungsnetz.... da musste dann nix mehr sagen, gerade wenn ich lese, wie oft die Standardkennwörter nutzen.

Am schlimmsten ist tatsächlich aber jedesmal die Software, gerade bei Zahnärzten. Könnte da nicht nur wegen der kaum vorhandenen Sicherheit jedesmal nen Krampf kriegen.
Generell würde ich aber schon sagen, das die Praxen überwiegend eher geizig bei IT-Ausgaben sind.

 

[TheBeastMaster]

Uhm, Gegenfrage: Wie genau stellst du dir das anders vor? Du hast pro Bett mehrere dieser Pumpen und die werden je nachdem wo sie benötigt werden von Platz zu Platz gegeben. Du kannst unmöglich jeder dieser Pumpen ein individuelles Passwort geben.
Das selbe Passwort für jede Pumpe pro Station wäre möglich, da muss dann trotzdem irgendwo ne Passwortliste abliegen. So wars zumindest vor 9-10 Jahren so, als ich Zivi auf ner Intensiv gemacht habe.

Nein, das sind stationäre Pumpen fest einem Bettplatz zugeordnet. Und selbst wenn diese mobil wären, gehört da ein individuelles Passwort drauf. Ganz zu schweigen davon das Username und Passwort nicht gleich sein sollten. Es ist ohne weiteres möglich mit Passwortmanager zu Arbeiten, auf das Webinterface sollen nur Admins/Medizintechnik Zugriff haben. Die übertragung der Daten ins KIS übernimmt ej das PDMS. Ad Authentifierung wäre ebenfalls ein gangbarer Weg.

Das ist alles kein Hexenwerk oder neuste Technologie. Man muss es nur implementieren und umsetzen.

 

[Schmarall]

Uhm, Gegenfrage: Wie genau stellst du dir das anders vor?

Jeder Pfleger/Arzt hat einen RFID-key den er mit sich herumträgt und zur Wartung/Einstellung an das Gerät hält. Fertig.