Bei Schließung von Krankenhäusern sind in den letzten Jahren mehrmals Gesundheits- und Behandlungsdaten von Patient*innen wg. Mißachtung einschlägiger Schutzvorkehrungen unbefugten Dritten bekannt geworden. Einige Beispiele: Den Schutz von Patient*innendaten bei Schließung von Krankenhäusern verbessern, fordert die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weiterlesen
Schlagwort-Archive: Datenpanne
Erfolgreicher Cyberangriff auf Kliniken und anderere Sozialeinrichtungen in Bayern
Die Katholische Jugendfürsorge der Diözese Augsburg (KJF) , ein führender Anbieter von Gesundheits-, Sozial- und Bildungsdienstleistungen in Bayern, warnt nach einem professionellen Cyberangriff vor möglichen Identitätsdiebstahl und Datenmissbrauch.
Ein kürzlich erfolgter Hackerangriff hat die KFJ schwer getroffen. Der Angriff, der Mitte April entdeckt wurde, richtete sich gegen IT-Infrastrukturen in mehr als 80 sozialen Einrichtungen, darunter insgesamt neun Kliniken in mehreren Städten Bayerns. In einer Stellungnahme der KJF wird u. a. mitgeteilt: Erfolgreicher Cyberangriff auf Kliniken und anderere Sozialeinrichtungen in Bayern weiterlesen
Digitale Bankrotterklärung: Das Gesundheitssystem in Deutschland sei auf Cyberangriffe nicht vorbereitet, erklärt ein Vertreter der Siemens-Betriebskrankenkasse (SBK)
Quelle: Ärztenachrichtendienst (ÄND)
„Das Gesundheitssystem sei nicht auf Betriebsunterbrechungen infolge von Cyberangriffen vorbereitet, beklagte Christian Ullrich, IT-Bereichsleiter der SBK Siemens-Betriebskrankenkasse (SBK), bei einer Veranstaltung zum Thema Cybersicherheit im Gesundheitswesen.“
Herr Ullrich muss es wissen. Denn die SBK war eine der Krankenkassen, die Anfang 2023 von Angriffen auf Bitmarck betroffen waren, den IT-Dienstleister eine große Zahl gesetzlicher Krankenkassen. Cyber-Security-Experten meldeten, dass dabei Daten abgeflossen und bereits im Darknet aufgetaucht seien. In einem Beitrag vom 23.01.2023 auf heise.de wurde berichtet: „Der bösartige Akteur, der die Daten im digitalen Untergrund zum Verkauf anbietet, behauptet, dass er etwa Zugriff auf Passwort-Hashes, persönliche Kundeninformationen, VIP-Kundeninformationen und persönliche Daten von Führungspersonal sowie Nutzer- und Angestellten-Informationen habe. Den Unternehmensangaben nach jongliert Bitmarck mit den Daten von 30.000 Angestellten der gesetzlichen Krankenversicherungen – und denen von 25 Millionen Versicherten. In einem Untergrund-Forum bietet der Einbrecher die Datenbank an. Sie soll mehr als eine Million Datensätze umfassen, und im 350 MByte großen Paket seien Dateien im .csv-, .html-, .pdf-, .img- und .xlsx-Format enthalten.“
Beachtenswert ist der Duktus in der Aussage des Vertreters der SBK: Er sagt lt. ÄND nicht aus, dass das deutsche Gesundheitssystem auf Betriebsunterbrechungen infolge von Cyberangriffen schlecht vorbereitet sei. Nein, seine Aussage ist eindeutig: „Das Gesundheitssystem sei nicht auf Betriebsunterbrechungen infolge von Cyberangriffen vorbereitet“.,
Und diesem System sollen alle gesetzlich krankenversicherten Menschen in Deutschland ab Beginn des Jahres 2025 mit den Mitteln gelinden Zwangs (eine sehr milde Bewertung der Wirkungen der opt-out-Patientenakte) ihre Gesundheits-, Behandlungs- und genetischen Daten anvertrauen? Danke, Nein!
Dubidoc: Daten von 960.000 Menschen durch Sicherheitslücke offen im Netz
Dubidoc ist eine Software, die das in Essen ansässige Unternehmen Takuta GmbH Ärzt*innen mit eigener Praxis zur Verwaltung von Patient*innen-Terminen anbietet.
Der Chaos Computer Club (CCC) hat am 16.02.2024 eine massive Sicherheitslücke aufgedeckt, durch die Daten von 960.000 Menschen offen im Netz einsehbar waren. Unter anderem waren auch Informationen zu 3,3 Millionen Behandlungs-Terminen abrufbar. Unter den offen zugänglichen Daten waren Namen, Geburtsdaten, Telefonnummern und e-Mailadressen zu finden, aber auch Informationen zu den behandelnden Ärzt*innen und zu Termindetails. Dubidoc: Daten von 960.000 Menschen durch Sicherheitslücke offen im Netz weiterlesen
Patientendaten sind auf vielen DICOM-Servern ungeschützt.
Nach 2019[1] und 2021[2] sind erneut schwerwiegende Mängel in der Datensicherheit beim Umgang mit digitalen medizinischen Untersuchungsergebissen aufgedeckt worden. Wie die Bochumer Cybersecurity Firma Aplite in einer Präsentation auf der ‘BlackHat Europe 2023’ mitgeteilt hat, sind weltweit 3,806 DICOM-Server im Internet zugänglich. Auf knapp ein Drittel dieser Server – nämlich auf 1159 DICOM-Servern – liegen die Gesundheitsdaten von ca. 59 Millionen Patienten ungeschützt im Internet [3].
Patientendaten sind auf vielen DICOM-Servern ungeschützt. weiterlesen
Hackerangriff auf das Klinikum Esslingen
Am 28.11.2023 drangen unbekannte Hacker in die IT-Systeme des städtischen Krankenhauses in Esslingen (Baden-Württemberg) ein – mit spürbaren Folgen. Sie richteten dort gezielt Schaden im Bereich einiger Server an. Hiervon sind in erster Linie die bildverarbeitenden Systeme in der Radiologie betroffen. Auch in Mitleidenschaft gezogen wurde die Bildgebung im Bereich Ultraschall- und Endoskopie. Im Bereich der Verwaltung wurden zudem unternehmensinterne Daten gelöscht. Die Patientendaten im Krankenhausinformationssystem seien nicht betroffen. Der Krankenhausbetrieb laufe daher weiter, auch wenn es durch den anhaltenden Ausfall bei den bildgebenden Systemen zu spürbaren Behinderungen in den Abläufen komme. Hackerangriff auf das Klinikum Esslingen weiterlesen
Gesundheitsdaten von 4 Mio. Menschen in den USA geleakt – Probleme durch Programme von IBM (USA) entstanden
Mehr als 4 Mio. Menschen in USA, vor allem aus dem Bundesstaat Colorado, wurden von den zuständigen Behörden darüber informiert, dass Unbefugte am 28.05.2023 Zugang zur Verarbeitung ihrer Gesundheits-, Versicherten-, Anschriften-, Bank und weiteren Daten hatten und diese kopierten. Ursache war nach bisherigen Berichten vermutlich eine Sicherheitslücke in Programmen, die von IBM (USA) bereitgestellt wurden. Das vor Ort erscheinende Internet-Magazin KOAA News5 (übersetzt mit www.DeepL.com/Translator berichtet am 12.08.2023: Gesundheitsdaten von 4 Mio. Menschen in den USA geleakt – Probleme durch Programme von IBM (USA) entstanden weiterlesen
Riesige Datenpanne bei der Gematik GmbH: 116.466 elektronische Arbeitsunfähigkeitsbescheinigungen (eAU) an falschen Empfänger verschickt
Über 10 Monate hinweg wurden elektronische Arbeitsunfähigkeitsbeschreibungen (eAU) an den falschen Empfänger verschickt: Statt der AOK Niedersachsen erhielt eine Arztpraxis die Dokumente der Versicherten. Das geht aus einer Stellungnahme der Gematik vom 04.07.2023 hervor.
Innerhalb des von der gematik bereitgestellten Programms „Kommunikation im Medizinwesen“ (KIM) sei es zu einer Fehlleitung von Nachrichten gekommen: 116.466 Nachrichten (weit überwiegend eAU-Bescheinigungen) wurden zwischen September 2022 und Juni 2023 nicht an die AOK Niedersachsen, sondern an eine Arztpraxis versandt.
In der Gematik fiel der Fehler nicht auf. Und in der Arztpraxis bemerkte man das hohe Aufkommen an E-Mails erst, als sich das Systemverhalten veränderte und die Praxis ihren Systemanbieter Medatixx um Aufklärung bat.
Eine – unvollständige – Übersicht über Datenpannen und Datenlecks im Gesundheitswesen in Deutschland finden Sie hier.
Gesundheits- und Behandlungsdaten zunehmend bedroht durch Cyberattacken
Im Gesundheitswesen in Europa steigt die Bedrohung durch Hackerangriffe und andere kriminelle und/oder sicherheitsrelevante Vorfälle. Darauf weist die Agentur der Europäischen Union für Cybersicherheit (ENISA) in ihren ersten Bericht zu Cyberbedrohungen im Gesundheitssektor hin, der am 05.07.2023 – leider nur in englischer Sprache – veröffentlicht wurde.
Ausgewertet wurden 215 gemeldete Vorfälle in den Ländern der EU sowie in Großbritannien, Norwegen und der Schweiz aus dem Zeitraum Januar 2021 bis März 2023. Von den 215 Fällen waren 208 Cyberattacken, dazu kommen fünf Berichte zu gefundenen Schwachstellen und zwei Warnungen zu potenziellen Aktivitäten mit Auswirkungen auf den Gesundheitssektor. Hauptangriffsziele waren Krankenhäuser, gefolgt von Gesundheitsbehörden und -organisationen, die pharmazeutische Industrie, Gesundheitsforschung und Gesundheitsdienstleister. 23 der ausgewerteten Vorfälle wurden in Deutschland gemeldet. Gesundheits- und Behandlungsdaten zunehmend bedroht durch Cyberattacken weiterlesen
Klinikverbund Gesundheit Nord (Geno) in Bremen: Hacker erbeuten mehrere zehntausend Patientendaten
Der Klinikverbund Gesundheit Nord (Geno) in Bremen ist Opfer einer großangelegten Hackerattacke geworden. Vom 10.-23.05.2023 war das Unternehmen mit 5 Standorten in Bremen deshalb offline. Wie das Regionalmagazin buten un binnen von Radio Bremen am 01.06.2023 berichtet, sollen die Kriminellen dabei an bis zu 100.000 Dateien von Patienten gelangt sein. Geradezu zynisch wirkt in diesem Zusammenhang die Erklärung der Klinikleitung auf ihrer Homepage: “Wir bedauern sehr, dass es zu dieser Situation gekommen ist. Datenschutz ist für uns ein hohes Gut, und wir nehmen das Thema IT-Sicherheit sehr ernst. Leider konnten wir diese Cyber-Attacke trotz aller Sicherheitsmaßnahmen nicht verhindern. Ihre Geschäftsführung der Gesundheit Nord”
Von den Servern der Bremer Kliniken seien Daten in einem erheblichen Umfang kopiert worden, sagte Geno-Pressesprecherin Karen Matiszik. Hauptsächlich Daten aus dem Klinikum Bremen-Ost – und zwar aus allen Bereichen. Diese Daten betreffen sowohl Patient*innen als auch Beschäftigte des Bremer Klinikverbundes. Darunter sind zum Beispiel Stammdaten, Befunde, Sitzungsprotokolle oder Urlaubspläne, so die Geno-Sprecherin.
Die Klinikleitung von Geno erklärt lt. Buten und binnen dazu: Die bisherigen Untersuchungen hätten ergeben, dass der Angriff “zunächst auf dem Endgerät eines externen IT-Dienstleisters stattgefunden hat, durch den die Täter sich Zugangsdaten zu unseren Systemen verschafft haben”. Durch den Diebstahl bestehe die Gefahr, dass “die abgeflossenen Daten durch unbefugte Dritte genutzt werden”. Das heiße, “dass jemand diese Daten nutzen könnte, um Ihnen zu schaden, beispielsweise um Sie zu diskriminieren, Ihren Ruf zu schädigen oder Sie finanziell zu schädigen.” All diese Szenarien müssten nicht eintreten, “in jedem Fall bedeutet es den Verlust der Kontrolle über Ihre personenbezogenen Daten und den Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen”, schreibt die Geschäftsführung weiter. Auch auf den “schlimmsten Fall” sollten sich Patientinnen und Patienten einrichten. Der “schlimmste Fall” könne bedeuten, “dass Ihnen dadurch wirtschaftliche oder gesellschaftliche Nachteile” entstehen “oder dass jemand versucht, mit Ihren Daten zu betrügen, in dem er beispielsweise sogenanntes Phishing betreibt, also Ihre E-Mail-Daten missbräuchlich nutzt”.
Eine Übersicht über Hackerangriff, Datenpannen und Datenlecks in Einrichtungen und Organisationen des deutschen Gesundheitswesens finden Sie hier.