News DICOM: Patientendaten landen millionenfach ungeschützt im Netz

Rainbowprincess schrieb:
Noch nie gabs so viele IT Experten auf dieser Welt und dennoch werden bis heute so empfindliche Systeme immer wieder gänzlich von sicherheitsüberpürfungen und Standards ausgenommen. Es ist mir unbegreiflich. Oder haben die BWLer nun gänzlich jegliche Befehlsgewalt übernommen und sind auch in der Lage sicherheitsrelevante Dinge wegzurationalisieren?
Tatsächlich ist das oft der Fall. Ich arbeite in der "Finanz IT" / "Global Controlling"... Wenn es System gibt, die Wartung und Upgrades brauchen, kann da keiner seine Short- oder Longterm Incentives drauf aufbauen, das wäre ja langweilig.

Bei uns konnte quasi im 2-4 Jahres Rythmus jeder "Manager" mal 150-500T€ in irgendwelche tollen neuen Reportingsystemen verballern, irgendwas halbgares auf nem iPad oder so - dafür gab es dann einen Finance Award und ne fette Bonuszahlung. Die Arbeit hatten andere und der nächste Chef musste zusehen, wie er den Scherbenhaufen möglichst unauffällig entsorgen konnte :D

Wenn ich aber mal nach lächerlichen 50T€ für unser Identy- und Accessmanagement frage - dann interessiert das keine Sau. Das ist dann der Teil im Job, wo ich Cheffe immer wieder nerve und sage: "Ihr wißt ja, wenn ein Audit gemacht wird, könnte es brenzlig werden - ist nicht mein Stuhl ;)"
 
  • Gefällt mir
Reaktionen: AB´solut SiD, tritratrullala und sader1994
Hoffentlich gibt es eine ordentliche Entschädigung für die Geschädigten.
 
  • Gefällt mir
Reaktionen: tritratrullala
das Problem an diesen Daten ist schwerwiegend, dadurch kann man einen Mitarbeiter bei schlechter Gesundheitsprognose einfach Kündigen. Vorrausgesetzt ein Betriebliches EIngliederungsmanagement ist dem vorrrausgegangen. Und das kann man durch solche Daten ableiten.
 
_anonymous0815_ schrieb:
Aber die Firma verspricht die Daten für 30 Jahre digital lesbar vorzuhalten
Halt blöd, wenn die 5 Jahre nach dem Versprechen insolvent ist und abgewickelt wird. Versprechen sind absolut nichts wert.
 
Das ist aber kein stichhaltiges Argument wenn ich ehrlich bin.

Ein unbefristeter Arbeitsvertrag könnte theoretisch bis zum Renteneintritt gültig sein.

Eine Garantie könnte lebenslang gültig sein.

Auf CB wird aller paar Monate Werbung für lebenslang gültigen Cloudspeicher gemacht, der genau ein Mal gekauft wird.

Ein Meteorit könnte sämtliches Leben auf der Erde auslöschen.

Aliens könnten zu uns Kontakt aufnehmen und uns unterjochen.

Es könnte ein neuer Weltkrieg ausbrechen.

Man könnte auf Eis ausrutschen und nicht mehr aufwachen.

Ich will das eigentlich gar nicht ins Lächerliche ziehen, prinzipiell hast Du recht, aber andererseits sind das alles normale Geschäftsrisiken. Auf eine Insolvenz folgt ja auch nicht immer die sofortige Schließung, sondern meistens die Rettung. Und wenn es staatlicher Natur ist, was ich mir bei, ich nenne das Unternehmen jetzt einfach mal, FastLTA auch vorstellen könnte. Da es in meinen Augen zur kritischen Infrastruktur zählt.
 
  • Gefällt mir
Reaktionen: knoxxi
_anonymous0815_ schrieb:
Schon klar, das war aber nicht die Frage, die Bilder sind ja entweder archiviert in einer digitalen Patientenakte oder in einem Radiologieprogramm. Liegen die auf einem FTP, einem Samba Drive oder einem Webserver.
Deine Frage war:
_anonymous0815_ schrieb:
Hab ichs überlesen oder ist bekannt, zu welcher Software die Bilder gehören?
SMB, FTP(S), HTTP(S), NFS, sind Protokolle und keine Software.
Ich habe deine Frage beantwortet. Wenn das nicht deine Frage war, solltest du sie ordentlich formulieren.
Da es aus dem Artikel nicht hervorgeht, würde ich mutmaßen, die DICOM-Dateien liegen auf einem (frei zugänglichen) FTP, oder HTTP so wie es für Unis und Unikliniken üblich ist. Das reicht ja schon aus, um als Cloud zu gelten. Und weil da DICOM-Dateien liegen, redet man eben von DICOM-Server.
 
Zuletzt bearbeitet:
In naher zukunft wird der Tranfer der Daten per KIM abgewickelt. So wird zumindest sichergestellt, dass die Daten verschlüsselt nur an Teilnhemner des KIM Netzwerkes gelangen können.
Was dann natürlich der einzelne Empfänger damit macht, steht auf einem anderen Blatt.
Und ich persönlich finde auch die ePA sinnvoll, wir haben eine sehr hohe Mortalitätsrate in D auf grund falscher Medikation. Ein opt out halte ich für definitiv den falschen Weg, den dann macht das ganze System keinen Sinn.
Was aber definitiv auch gewährleistet sein muss ist der Datenschutz... Schwierig wird es halt, wenn ein neues Medikament erprobt werden soll, man aber nicht weiß, wer an der betreffenden Krnakheit erkrankt ist. Man könnte so halt zielgerichteter an testpersonen kommen.
Zweischneidige Geschichte...
 
Sierra1505 schrieb:
Wusste gar nicht das IT-Security und deren Nichtbeachtung/Probleme ein inhärentes kapitalistisches Problem sind.
wurde auch nicht erwähnt - Fakt ist aber, dass Sicherheits-Fixes, clean-code, Architekturanpassungen, etc. keinen Mehrwert dem Kunden bringen, damit "unnötig" Geld kosten und deswegen nicht gemacht werden.
Und wenn etwas kein Geld bringt aber Geld kostet, dann ist das in einer kapitalistischen Welt böse.

Die DSGVO ist ein guter Start, aber leider so wässrig, danks Lobbyismus. Wer so fahrlässig arbeitet, sollte ein Berufsverbot bekommen. Und das fängt ganz oben beim CEO an. Vielleicht würde sich dann mal was tun.
Leider kann man ja nicht einfach Strafanzeige stellen und die Polizei ermittelt. Da kommen erst irgendwelche Datenfuzzis dazwischen, die vielleicht, aber nur vielleicht, anfangen zu ermitteln. Muss gerade an den Hessischen Datenschutzbeauftragten denken, der sich einfach geweigert hat gegen die Schufa zu ermitteln, haha! Und solche Helden sollen dann irgendwas bewirken? Da erreicht eine Tomate mehr.
Und auch die erhalten keine Strafe, wenn paar Gerichte über denen (BGH etc.) sagt, der Kläger hatte Recht und der Datenfuzzi hätte arbeiten müssen.
Man muss also selbst, zivilrechtlich, gegen solche Firmen vorgehen. Das zahlt keine Rechtsschutzversicherung und wenn man es selbst bezahlt, dann viel Spass mit dem Prozessrisiko und den unverschämt hohen Kosten. Das System ist einfach kaputt.
 
  • Gefällt mir
Reaktionen: TK-Shockwave
Dr. MaRV schrieb:
Ich habe deine Frage beantwortet. Wenn das nicht deine Frage war, solltest du sie ordentlich formulieren.
Ja, da gebe ich Dir recht. Denn das war auf die Schnelle von unterwegs geschrieben.

Nun, wie schon danach gesagt, das RIS und die ePA das/ die ich kenne, die verwenden zwar ebenso DICOM, aber hatten MAXIMAL abgsicherte Schnittstellen zum KIS für die (Benutzerrolle der) Ärzte und Pfleger, die geschriebenen Files wurden lokal per SMB oder NFS auf das Langzeitarchiv weggesichert, die Files dort sind prinzipiell erst mal besonders vor Manipulation geschützt.

Und daher eben die initiale Frage, die hätte auch lauten können/ müssen: "Ist bekannt, welche Firma hier Mist gebaut hat?" - Und nein, in meinen Augen ist das dann nicht schwammig formuliert, da ich einige Krankenhäuser und Kunden kennengelernt habe, die nicht mal so einfach eine eigene KIS, RIS und ePA-Umgebung/ Lösung hochziehen, sondern einkaufen. Und das passiert WELTWEIT, nicht nur hier in D(A,CH).
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Rawday
Das Grundproblem ist dabei wohl die Tatsache, dass DICOM ursprünglich nur für isolierte Netzwerke entwickelt wurde, heute aber oftmals über moderne Cloud-Umgebungen
Erinneret mich irgendwie an meine Sig, wieso nur:confused_alt:
 
Interessiert doch fast niemanden. Die Leute schmeissen ihre Daten für ein paar Cent zum Fenster heraus (Bequemlichkeit bzw. zum Teil auch fehlende Bildung in dieser Hinsicht). Medizinische Daten sind nochmal kritischer. Naja, „it is what it is“ offensichtlich. Da helfen nur drakonische Strafen, damit auch andere nicht so schlampig mit den Daten umgehen.
 
Termy schrieb:
Da kommt doch so richtig Vorfreude auf die ePA auf, vor allem da immer noch keine Opt-Out-Möglichkeit geschaffen wurde :freak:
Bei der ePA wird jeder Datensatz mit einem eigenen Schlüsselpaar verschlüsselt, dazu die Datenträger noch einmal unterschiedlich und natürlich alle Übertragungswege.
 
Atnam schrieb:
Ein zukünftiger Arbeitgeber könnte sich z.B. Zugriff zu deinen Patiendaten verschaffen und dich auf Basis dieser einfach aussortieren wenn er etwas findet das ihm nicht gefällt
Das ist vollkommen unwahrscheinlich. Zumindest bei seriösen Arbeitgebern und ich sage mal "normalen" Jobs. Und wenn ein Job Gesundheitsdaten erforderlich macht "besucht"man in der Regel zunächst die Hausarztpraxis und nicht irgendwelche geklauten oder offengelegte Daten im Internet. Und diese Daten gibt es quasi von jedem in irgendeiner Weise. Doch den Leuten passiert in der Regel nichts gefährliches. Die meisten haben eh keine Ahnung über geleakte Daten und leben ruhig ihr Leben weiter.
 
Solche Sachen werden erst aufhören, wenn es klare Verantwortlichkeiten gibt und die dann auch zur Verantwortung gezogen werden. Sowas wie Datenbverlust insbesondere von sensiblen Daten müssen so richtig wehtun. So sehr, das man sich 10 Mal überlegt was man digitalisiert und wenn man es denn macht, dann die krasseste Security implementiert, die man kriegen kann.

Und insbesondere bei Gesundheitsdaten kann es ja sozusagen lebensentscheidend sein. Weil Du dann vielleicht nicht den Job bekommst, den Du haben willst. Oder den dringend benötigten Kredit. Oder oder oder.
Und bei genentisch bedingten Krankheiten sind von Gesundheitsdatenleaks sogar noch Deine Kinder betroffen.

FR3DI schrieb:
Selbst "Offline" ist keinerlei Garantie für nichts.
Stimmt. Auch da sind die Zustände teilweise recht schlimm und es gibt Nachholbedarf. Trotzdem ist das Digitale noch mal ne neue Qualität. Weil man viel mehr Daten mit einmal abgrasen kann, die gleich schon maschinenlesbar sind und man auch nicht unbedingt merkt, das Daten "wegkommen" (in ne Arztpraxis einbrechen und Akten raustragen das fällt dann doch irgendwie auf).
 
Rainbowprincess schrieb:
Noch nie gabs so viele IT Experten auf dieser Welt und dennoch werden bis heute so empfindliche Systeme immer wieder gänzlich von sicherheitsüberpürfungen und Standards ausgenommen. Es ist mir unbegreiflich. Oder haben die BWLer nun gänzlich jegliche Befehlsgewalt übernommen und sind auch in der Lage sicherheitsrelevante Dinge wegzurationalisieren?
Was sich heute alles Experte schimpft.... jemand der mal was installiert hat?
 
  • Gefällt mir
Reaktionen: CastorTransport
Zurück
Oben