Schlagwort-Archive: Patientendaten

Digitale Bankrotterklärung: Das Gesundheitssystem in Deutschland sei auf Cyberangriffe nicht vorbereitet, erklärt ein Vertreter der Siemens-Betriebskrankenkasse (SBK)

Quelle: Ärztenachrichtendienst (ÄND) 

Das Gesundheitssystem sei nicht auf Betriebsunterbrechungen infolge von Cyberangriffen vorbereitet, beklagte Christian Ullrich, IT-Bereichsleiter der SBK Siemens-Betriebskrankenkasse (SBK), bei einer Veranstaltung zum Thema Cybersicherheit im Gesundheitswesen.“

Herr Ullrich muss es wissen. Denn die SBK war eine der Krankenkassen, die Anfang 2023 von Angriffen auf Bitmarck betroffen waren, den IT-Dienstleister eine große Zahl gesetzlicher Krankenkassen. Cyber-Security-Experten meldeten, dass dabei Daten abgeflossen und bereits im Darknet aufgetaucht seien. In einem Beitrag vom 23.01.2023 auf heise.de wurde berichtet: „Der bösartige Akteur, der die Daten im digitalen Untergrund zum Verkauf anbietet, behauptet, dass er etwa Zugriff auf Passwort-Hashes, persönliche Kundeninformationen, VIP-Kundeninformationen und persönliche Daten von Führungspersonal sowie Nutzer- und Angestellten-Informationen habe. Den Unternehmensangaben nach jongliert Bitmarck mit den Daten von 30.000 Angestellten der gesetzlichen Krankenversicherungen – und denen von 25 Millionen Versicherten. In einem Untergrund-Forum bietet der Einbrecher die Datenbank an. Sie soll mehr als eine Million Datensätze umfassen, und im 350 MByte großen Paket seien Dateien im .csv-, .html-, .pdf-, .img- und .xlsx-Format enthalten.“

Beachtenswert ist der Duktus in der Aussage des Vertreters der SBK: Er sagt lt. ÄND nicht aus, dass das deutsche Gesundheitssystem auf Betriebsunterbrechungen infolge von Cyberangriffen schlecht vorbereitet sei. Nein, seine Aussage ist eindeutig: „Das Gesundheitssystem sei nicht auf Betriebsunterbrechungen infolge von Cyberangriffen vorbereitet“.,

Und diesem System sollen alle gesetzlich krankenversicherten Menschen in Deutschland ab Beginn des Jahres 2025 mit den Mitteln gelinden Zwangs (eine sehr milde Bewertung der Wirkungen der opt-out-Patientenakte) ihre Gesundheits-, Behandlungs- und genetischen Daten anvertrauen? Danke, Nein!

Dubidoc: Daten von 960.000 Menschen durch Sicherheitslücke offen im Netz

Dubidoc ist eine Software, die das in Essen ansässige Unternehmen Takuta GmbH Ärzt*innen mit eigener Praxis zur Verwaltung von Patient*innen-Terminen anbietet.

Der Chaos Computer Club (CCC) hat am 16.02.2024 eine massive Sicherheitslücke aufgedeckt, durch die Daten von 960.000 Menschen offen im Netz einsehbar waren. Unter anderem waren auch Informationen zu 3,3 Millionen Behandlungs-Terminen abrufbar. Unter den offen zugänglichen Daten waren Namen, Geburtsdaten, Telefonnummern und e-Mailadressen zu finden, aber auch Informationen zu den behandelnden Ärzt*innen und zu Termindetails. Dubidoc: Daten von 960.000 Menschen durch Sicherheitslücke offen im Netz weiterlesen

Frankreich: 33 Mio. Mitglieder von Krankenkassen von Hackerangriff betroffen

Die französische Datenschutz-Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) führt Untersuchungen zum Datenverstoß durch, der die Betreiber Viamedis und Almerys betraf, zwei Betreiber, die die Drittzahlerabwicklung für zahlreiche Zusatzkrankenversicherungen und Krankenkassen“ in Frankreich übernehmen. Das geht aus einer Stellungnahme von CNIL vom 07.02. 2024 hervor. Darin wird u. a. mitgeteilt:

Insgesamt sind von diesem Datenleck mehr als 33 Millionen Personen betroffen. Bei den betroffenen Daten handelt es sich bei den Versicherten und ihren Familien um den Familienstand, das Geburtsdatum und die Sozialversicherungsnummer, den Namen des Krankenversicherers sowie die Garantien des abgeschlossenen Vertrags.“ Frankreich: 33 Mio. Mitglieder von Krankenkassen von Hackerangriff betroffen weiterlesen

Hackerangriff in den Bezirkskliniken Mittelfranken – personenbezogene Daten „abgezogen“

Unbekannte haben sich Zugang zu den Systemen der IT-Infrastruktur der Bezirkskliniken Mittelfranken verschafft und gezielt Daten verschlüsselt. Wie schnell die Systeme nach der Cyberattacke wiederhergestellt werden können, ist derzeit noch nicht absehbar. Aus Sicherheitsgründen wurden alle Systeme vom Netz getrennt.“ Das geht aus einer Mitteilung vom 28.01.2024 auf der Homepage der Kliniken hervor. „Zum vollständigen Ausmaß des Schadens können zum jetzigen Zeitpunkt noch keine abschließenden Angaben gemacht werden. Fest steht jedoch, dass Daten von den Hackern abgezogen wurden, darunter auch personenbezogene und unternehmensinterne Informationen…“ Hackerangriff in den Bezirkskliniken Mittelfranken – personenbezogene Daten „abgezogen“ weiterlesen

Hessen: Landesregierung will privaten Unternehmen erweiterte Zugänge zu Gesundheits-, Behandlungs- und genetischen Daten schaffen

Prof. Dr. Kristina Sinemus, hessische Ministerin für Digitale Strategie und Entwicklung, hat eine Studie „Gesundheitsdaten – Herausforderungen, Lösungsansätze und Maßnahmen des Landes Hessen“ veröffentlicht. Gemeinsam mit dem alten (und vermutlich auch neuen) hessischen Ministerpräsidenten Boris Rhein (CDU) erklärt sie im Vorwort: „Um das volle Potenzial der Digitalisierung im Gesundheitswesen zu entfalten, ist es entscheidend, Gesundheitsdaten zielgerichtet und im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu erheben und zu nutzen. Denn nur so können wir medizinische Leistungen und wissenschaftliche Forschungen gezielt optimieren und den Gesundheitsstandort Hessen stärken. Des zukunftsweisenden Themas der Gesundheitsdaten hat sich die Hessische Landesregierung angenommen und in diesem Zusammenhang gemeinsam mit der Initiative Gesundheitsindustrie Hessen (IGH) das vorliegende Positionspapier erarbeitet…“

Laut ihrer Selbstdarstellung ist die Initiative Gesundheitsindustrie Hessen ein Zusammenschluss der „Landesregierung mit den Unternehmen der hessischen Gesundheitsindustrie, dem Landesbezirk Hessen-Thüringen der Industriegewerkschaft Bergbau, Chemie und Energie (IGBCE) sowie Vertretern aus Wissenschaft und Forschung“, die das Ziel hat „zukunftsfähige Konzepte und Ideen für einen weiterhin prosperierenden Gesundheitsindustriestandort Hessen“ zu erarbeiten. Sie ist also eine Initiative, deren Ziel nicht die Gesundheits-, sondern die Wirtschaftsförderung ist. Hessen: Landesregierung will privaten Unternehmen erweiterte Zugänge zu Gesundheits-, Behandlungs- und genetischen Daten schaffen weiterlesen

Das E-Rezept wird zum 1. Januar 2024 in Deutschland verpflichtend eingeführt…

und Bundesgesundheitsminister Karl Lauterbach (SPD) macht in einer neuen Folge seiner (steuerfinanzierten) Videoclips  unter dem Namen #KarlText Reklame dafür.

Quelle: Twitter-Account des Bundesgesundheitsministeriums

Ist das E-Rezept denn sicher? Das E-Rezept wird zum 1. Januar 2024 in Deutschland verpflichtend eingeführt… weiterlesen

Patientendaten sind auf vielen DICOM-Servern ungeschützt.

Nach 2019[1] und 2021[2] sind erneut schwerwiegende Mängel in der Datensicherheit beim Umgang mit digitalen medizinischen Untersuchungsergebissen aufgedeckt worden. Wie die Bochumer Cybersecurity Firma Aplite in einer Präsentation auf der ‘BlackHat Europe 2023’ mitgeteilt hat, sind weltweit 3,806 DICOM-Server im Internet zugänglich. Auf knapp ein Drittel dieser Server – nämlich auf 1159 DICOM-Servern – liegen die Gesundheitsdaten von ca. 59 Millionen Patienten ungeschützt im Internet [3].

Patientendaten sind auf vielen DICOM-Servern ungeschützt. weiterlesen

Dänemark: Schwere Mängel im der Sicherheit von Gesundheits- und Behandlungsdaten festgestellt

Die nationale dänische Datenschutzaufsichtsbehörde Datatilsynet erhielt eine Beschwerde, wonach ausnahmslos alle Mitarbeiter*innen in Einrichtungen des regionalen Gesundheitswesens der Region Seeland über die Startseite der nationalen Gesundheitsplattform sundhed.dk Zugang zu Patientenlisten aller Krankenhäuser der Region Seeland hatten. Im Ergebnis ihrer Untersuchung der Beschwerde rügte Datatilsynet die Regionalverwaltung für diese Vorgehensweise. Den mehr als 16.000 Mitarbeiter*innen war es möglich, Zugang zu den Patient*innenendaten aller Krankenhäuser der Region Seeland zu erhalten und diese auszulesen, auch wenn kein substanziellen Zusammenhang zwischen ihren Aufgaben und den erlangten Informationen bestand. Das geht aus einer Stellungnahme hervor, die Datatilsynet am 13.09.2023 veröffentlichte.

Sundhet.dk ist nicht nur die staatliche Krankenversicherung aller Menschen, die sich dauerhaft in Dänemark aufhalten. Es ist auch eine nationale Datenplattform, in der die Gesundheits- und Behandlungsdaten aller Menschen in Dänemark erfasst werden. Dänemark: Schwere Mängel im der Sicherheit von Gesundheits- und Behandlungsdaten festgestellt weiterlesen

Entwurf des Gesundheitsdatennutzungsgesetzes: Datenschutzaufsichtsbehörden des Bundes und der Länder üben Kritik und sehen Anpassungsbedarf

In einer gemeinsamen Stellungnahme vom 14.08.2023 zum Referentenentwurf des Bundesgesundheitsministeriums (BMG) für ein Gesundheitsdatennutzungsgesetz (GDNG-E) fordert die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) das Bundesgesundheitsministerium dazu auf, mehrere datenschutzrechtliche Aspekte im Gesetzesentwurf zu ändern. Gefordert wird insbesondere eine Beschränkung auf Zwecke, die in einem erheblichen öffentlichen Interesse liegen. Darüber hinaus hält es die Datenschutzkonferenz für erforderlich, dass sich die Gesetzesbegründung intensiver mit den datenschutzrechtlichen Anforderungen an die Verarbeitung von Gesundheitsdaten auseinandersetzt. Entwurf des Gesundheitsdatennutzungsgesetzes: Datenschutzaufsichtsbehörden des Bundes und der Länder üben Kritik und sehen Anpassungsbedarf weiterlesen

Riesige Datenpanne bei der Gematik GmbH: 116.466 elektronische Arbeitsunfähigkeitsbescheinigungen (eAU) an falschen Empfänger verschickt

Über 10 Monate hinweg wurden elektronische Arbeitsunfähigkeitsbeschreibungen (eAU) an den falschen Empfänger verschickt: Statt der AOK Niedersachsen erhielt eine Arztpraxis die Dokumente der Versicherten. Das geht aus einer Stellungnahme der Gematik vom 04.07.2023 hervor.

Innerhalb des von der gematik bereitgestellten Programms „Kommunikation im Medizinwesen“ (KIM) sei es zu einer Fehlleitung von Nachrichten gekommen: 116.466 Nachrichten (weit überwiegend eAU-Bescheinigungen) wurden zwischen September 2022 und Juni 2023 nicht an die AOK Niedersachsen, sondern an eine Arztpraxis versandt.

In der Gematik fiel der Fehler nicht auf. Und in der Arztpraxis bemerkte man das hohe Aufkommen an E-Mails erst, als sich das Systemverhalten veränderte und die Praxis ihren Systemanbieter Medatixx um Aufklärung bat.


Eine – unvollständige – Übersicht über Datenpannen und Datenlecks im Gesundheitswesen in Deutschland finden Sie hier