News Datenschutz: 16 Millionen Datensätze von Patienten im Netz

[ichkriegediekri]

Naja ist bestimmt nicht überall so schlimm
Ich kenne welche die ne ordentliche UTM Firewall ohne Freigabe aber mit VPNs haben.
Dann ne endpoint security mit FW, Device Control auf jedem PC und eine Internet Zugriffskontrolle per UTM und nochmal in der Endpoint security.
Nur bei den Windows Logins muss ich den Vorrednern recht geben, das ist aber bei einem extra Login bei der Praxis software relativ.

Ergänzung (18. September 2019)

Was ich aber bei dem Pacs Leak nicht ganz verstehe:
Wenn man per DICOM ein PACS a fragt kriegt man oft alleine über den richtigen Port zumindest die Patientenliste bzw eine Abfrage hin.
Für den Transfer von Bilddaten müssen beide Systeme ja die jeweiligen Ports, IPs und AETs hinterlegt haben - da frage ich mich schon wie ein PACS konfiguriert/programmiert ist damit einfach mal so an einen unbekannten Client Bilder Versand werden. Das ist schon krass

 

[DaVinz]

@ichkriegediekri

Das Problem ist das die meisten ITler sich mit dem DICOM-Standard nicht auseinandersetzen und auch nicht auskennen wollen. Das gilt auch für die PACS-Entwickler. Dazu kommt noch die Interpretation des DICOM-Standards inklusive Abgrenzung zum Konkurrenten. Zugegeben, der DICOM-Standard ist schon schwere Kost, aber das kann keine Ausrede sein das nicht ordentlich umzusetzen.

Am Ende vom Lied ist es dann die Kombination von unterschiedlichen Implementierung der Hersteller + Software + IT in der Praxis/Klinik dazu führt das dann sinngemäß "Accept all" eingeschaltet wird, damit die Ärzte und MTRAs arbeiten können. Wie ich bereits sagte: Ein Trauerspiel!

IT-Sicherheit in der Medizinbranche nach dem Prinzip: 🙈🙉🙊

 

[flexo1]

Ich frage mich, wieso werden keine Namen/Firmen genannt? Warum wird alles immer nur umschrieben mit "Betreiber". Wieso wird die Prozesskette und die Hierarchie nicht benannt?
Erst und nur dann kann ich als Patient und noch viel wichtiger wir als Gesellschaft Druck ausüben, uns informieren, einfach tätig werden.

 

[Yuuri]

Das ist alles kein Hexenwerk oder neuste Technologie. Man muss es nur implementieren und umsetzen.

Das kostet alles nur und bringt einem keinen Vorteil, sondern ggf. sogar Nachteile, weil man ja nun ein weiteres Gerät mit sich "herumschleppen" muss. Ist doch immer der Grund warum an der Sicherheit gespart wird. Zu oft hört man dann auch gerne mal "wir bringen jetzt erstmal ne gangbare Version zum Laufen und kümmern uns dann später um die Sicherheit". Tja, nur wird dieses ominöse "Später" nie eintreffen und zweitens kann man "Sicherheit" nicht einfach mal dran stöpseln.

Ist doch immer und überall der selbe Mist...

Jeder halbwegs fähige IT-ler in der Politik hätte da schon längst Bußgeldkataloge auf den Weg gebracht für fehlende/laxe Sicherheit bei solch kritischen Systemen. Aber nuja...

Schlimmer wirds dann nur, wenn auch Kraftwerke und Co. "einfach" hackbar werden. Da ist die Kacke dann richtig am Dampfen...

Aber wie gesagt: Zu teuer, bringt nix, hat eh keinen Vorteil... Mehr als die Hände zu verschränken kann man da nicht mehr.

Es müssten einfach mal richtige Hacks durchgeführt werden, die Länder wochenlang in die Steinzeit zurück versetzen, da Strom- und Wasserversorgung ausgefallen sind. Vielleicht geht dann mal jemandem ein Licht auf, dass man nicht an Sicherheit in kritischen Systemen sparen kann. Anders lernt es die Menschheit nicht...

 

[Gamefaq]

Mich wundert eignetlich nur, dass es so wenige Daten sind und dass es erst jetzt auffällt. Nagut, vielleicht hat man noch nicht weiter gesucht

Hier geht's ja "nur" um die stationären großen Geräte wie MRT, CTG und Röntgen Geräten. Wie es bei den ganzen privaten Praxen die keine Ärzte direkt sind sondern sich nur auf die Erstellung der Ergebnisse nach Überweisung zb. für das Röntgen spezialisiert haben sowie die ganzen Privaten Ärzte (Zahnärzte können praktisch alle auch Röntgen) hat man noch nicht geprüft. Ich bezweifle aber dass es dort anders ist...bzw. wie generell die IT-Sicherheit bei den privaten ist.

 

[DrillSgtErnst]

Leute ich verspreche euch, dass das nur ein Bruchteil ist.
Setzt euch mal mehr mit der TI auseinander.
https://www.happycomputer.eu/index.php/telematik-infrastruktur/
Hier ist eine Menge Kram zusammengetragen, was die TI so für Probleme hat, und da mich alle für einen Spinner und einen Digitalisierungsgegner halten. Lasst euch gesagt sein, dass ich bereits Daten aus der Ti ausgeschleust und in Klartext umgewandelt habe. Seit 6 Monaten kläre ich Ärzte, Interessenverbände, gematik, Bundesgesundheitsministerium, Presse, Bundesdatenschutzbeauftragte.... über dieses Thema auf.

Glaubt es, glaubt es nicht, es ist mir recht egal. Seit 6 Monaten wissen alle öffentlichen Stellen dazu Bescheid, Rückmeldung seitens Regierung/Datenschutzbeauftragter/gematik liegen noch nicht vor.
Im Gegenteil der Bundesdatenschutzbeauftragte war zwar einmal zu besuch, um die Probleme live und in Farbe zu sehen, weigert sich aber bisher vehement meiner Sache ein Aktenzeichen zu geben.

 

[CrunchTheNumber]

DAS wäre einmal ein Präzendenzfall für die DSGVO, der wichtig wäre:

Eventuell eine dicke Geldbuße für die Verantwortlichen und Schadensersatz (der ja auch für immaterielle Schäden möglich sein soll) für die Betroffenen.

ABER: Im industriefreundlichen Deutschland ist das extrem unwahrscheinlich. Da wird eher der Kegelverein von nebenan wegen der DSGVO abgemahnt und mit einer Geldbuße belegt. SO läuft das hier, falls es einige noch nicht gemerkt haben sollten!

Gruß,
CTN

 

[SVΞN]

Artikel-Update: Deutsche Server wurden vom Netz genommen
Wie der Bayrische Rundfunk in einem zweiten Artikel berichtet, wurden die deutschen PACS-Server mittlerweile vom Netz genommen und sind offline. Das Problem ist damit aber noch lange nicht behoben, wie Dirk Schrader, Experte für Informationssicherheit der Firma Greenbone Networks, erklärte.

Sicherheitsrisiko liegt (auch) in der Hand der Patienten
Das Problem bestehe vor allem im Austausch der Patientendaten. Am Ende vieler radiologischen Untersuchungen bekommen die Patienten ihre Aufnahmen auf einem Datenträger wie einer CD, DVD oder einem USB-Stick ausgehändigt, um diese bei einer Überweisung zum nächsten behandelnden Arzt mitnehmen zu können. Die Aufnahmen werden auch in der Praxis der weiterbehandelnden Arztes auf einen PACS-Server hochgeladen, erneut mit dem Risiko, ungeschützt im Internet zu landen.

Bundesgesundheitsminister appelliert an die Gesundheitsbranche
Mittlerweile hat sich auch Bundesgesundheitsminister Jens Spahn von der CDU zu den Recherchen, wonach Millionen hochsensibler Daten im Internet zugänglich gewesen sind, offiziell geäußert und appelliert dabei an die Gesundheitsbranche, den Gesundheitsdaten von Patienten „höchsten Schutz zu garantieren“.

Die gesetzliche Anforderung ist da sehr sehr klar: Für jeden, der Gesundheitsdaten, der individuelle Patientendaten in Deutschland speichert, ob auf dem PC in der Praxis, ob auf dem Server, muss zu jedem Zeitpunkt höchsten Datenschutz garantieren können. Und das war hier eben nicht der Fall.

 

[Taron]

Hurra, moderne Technik.
Da hilft auch Daten"schutz" nicht mehr.

 

[Corros1on]

Soviel zur ärztlichen Schweigepflicht.

Wieso wundert mich diese Meldung überhaupt nicht mehr?

 

[Moep89]

Dafür müssten eigtl. Köpfe rollen. Und zwar ohne jegliche Gnade. Wenn die Praxis die Server nicht sauber konfiguriert hat oder das nicht in Auftrag gegeben hat, dann muss der Inhaber dafür zahlen. Und zwar so viel, dass es weh tut. So weh, dass der Porsche, der Pool und die Haushälterin gekündigt bzw. veräußert werden müssen. Falls der Arzt einen Vertrag mit einem Anbieter der Server hat, der ihm eine Datenschutzkonforme Speicherung der Daten zugesagt hatte, dann muss die Strafe den Anbieter treffen.
Aber am Ende wird genau gar nichts passieren. Wir haben ja eh zu wenig Ärzte und Milliardenstrafen (die hier locker angemessen wären) würden ja tausende Praxen zum Schließen zwingen. Also sagt Herr Spahn: "Dudu, da passt ihr demnächst aber mal besser auf" und die Sache ist erledigt.
Aber wehe du als einfacher Privatmensch verletzt eine Regel, fährst ein bisschen zu schnell oder lässt deinen Ausweis ablaufen. Bei solch hochkritischen und Weltbedrohenden Verstößen folgt die Strafe auf den Fuß und ist nur schwer zu umgehen. Aber wir Bürger sind ja auch nicht systemrelevant.

 

[Zer0DEV]

Sicherheitsrisiko liegt (auch) in der Hand der Patienten

Selten so gelacht...

Was soll der Patient denn bitte schön sonst machen, als den Datenträger dem weiterbehandelnden Arzt zu geben, wenn doch das milliardenschwere Projekt "Gesundheitskarte" so kläglich gescheitert ist??
In dem Zuge kann man dem weiterbehandelnden Arzt bestimmt auch ein mit Schadsoftware bestückten Datenträger geben, den der dann auch noch anschließen wird.

Der Patient ist doch der Dumme, weil bei den Ärzten keine Einheitlichkeit was IT betrifft vorhanden ist und eine große Anzahl an Ärzten die Untersuchungsergebnisse, trotz Überweisung des Hausarztes, nicht an die zentrale Stelle (den Hausarzt) übermittelt.

 

[SVΞN]

Selten so gelacht...

Das ist ein Wortspiel und beinhaltet eine ordentliche Portion Ironie. „Liegt in der Hand der Patienten (...)“, weil diese ja einen Datenträger ausgehändigt bekommen.

Mir war nicht klar, dass man Ironie so deutlich als solche benennen muss.

 

[Zer0DEV]

Das ist ein Wortspiel und beinhaltet eine ordentliche Portion Ironie. „Liegt in der Hand der Patienten (...)“, weil diese ja einen Datenträger ausgehändigt bekommen.

Mir war nicht klar, dass man Ironie so deutlich als solche benennen muss.

Das man Ironie in einem News-Artikel, der ein "ernsthaftes Thema" betrifft, integriert kannte ich bis dato nicht.
In einem persönlichen Kommentar ist das dann was anderes. Aber gut, was dazu gelernt.

 

[FGA]

Nice

 

[Drakrochma]

Es müssten einfach mal richtige Hacks durchgeführt werden, die Länder wochenlang in die Steinzeit zurück versetzen, da Strom- und Wasserversorgung ausgefallen sind. Vielleicht geht dann mal jemandem ein Licht auf, dass man nicht an Sicherheit in kritischen Systemen sparen kann. Anders lernt es die Menschheit nicht...

Das würde ich mir auch wünschen.
Es muss erst einmal richtig krachen, bevor was passiert.
Und die Wahlergebnisse der AFD sind scheinbar noch nicht hoch genug um unsere abgehobene Führungsriege wach zu rütteln.
Vielleicht muss es echt erst Verluste geben...

Jeder kleine Geschäftsführer kennt konventionalstrafen, nur unsere Kleingeister da oben haben Angst dann plötzlich ohne Schmiergeld da zu stehen...

 

[maxpayne80]

joa, leider sind derartige nachrichten ja inzwischen nix neues mehr, 16 mio ja noch fast als "peanuts" zu bezeichnen.

so wie hier offenbar software entwickelt und infrastruktur gehandhabt wird kann man nur dazu raten, so wenige dienste wie irgendmöglich mit seinen daten zu füttern.

leider hat man bei einigen dingen keinen einfluss mehr drauf, bei allem anderen spielt dann wieder die weit verbreitete grenzenlose naivität und unkenntnis der menschen eine große rolle.

also ... im dem sinne ... "von der cloud nichts neues"

 

[Corros1on]

Dafür müssten eigtl. Köpfe rollen. Und zwar ohne jegliche Gnade.

Leider werden die Zuständigen nur Wegbefördert und bis auf leere Worthülsen wird auch wenig oder gar nix passieren. Am Ende sind die Patienten doppelt die Leidtragenden an der ganzen Sache.

 

[Marflowah]

EIn Hoch auf die alten Ärzte in ihren kleinen Praxen, die sich bis zuletzt irgendwie und halbwegs gegen die Zwangsdigitalisierung weigern konnten und erst seit kurzem zwangsdigitalisiert wurden: Von ihren Patienten dürften wohl am wenigsten Daten offen irgendwo herumschwirren.

 

[DrillSgtErnst]

EIn Hoch auf die alten Ärzte in ihren kleinen Praxen, die sich bis zuletzt irgendwie und halbwegs gegen die Zwangsdigitalisierung weigern konnten und erst seit kurzem zwangsdigitalisiert wurden: Von ihren Patienten dürften wohl am wenigsten Daten offen irgendwo herumschwirren.

Hier muss ich widersprechen. DIese Ärzte nutzen das Internet nicht. Der TI Zwangsanschluss wird von "geschulten Technikern" vorgenommen. Leider muss ich die alten Ärzte in Schutz nehmen, die davon ausgehen, dass eine 2500€ Firewall und ein 900€/Std Techniker seinen Job exzellent macht.

EDIT: Quelle wegen der Preise
"Ich bestelle hiermit verbindlich bei der CGM Deutschland AG, Geschäftsbereich Telematikinfrastruktur, zu oben aufgeführten Bedingungen, das CGMPaket Telematikinfrastruktur für eine Hauptbetriebsstätte zum Aktionspreis € 2.880,–** bzw. optional inkl. medizinischer Anwendungen zum Preis von € 3.280,–. Zusätzlich bestelle ich das Service-Paket Betrieb zum monatlichen Preis von € 82,67 bei 24 Monaten Mindestvertragslaufzeit sowie die o. g. Anzahl zusätzlicher Kartenterminals."CGM TI

EDIT zum EDIT: Die 900€ Stundenlohn, weil ein Techniker den parallelen Anschluss in 30 Minuten in die Ecke rotzt und die Erstattungspauschale (wie auf dem Bild zu sehen) 533€ beträgt. Also 1066€ die Stunde, großzügig auf 900€ abgerundet