Das meldet BBC news am 26.03.2020. Damit werden zwei große Datenkraken (Amazon und Microsoft) und ein Unternehmen, das Polizei und Geheimdiensten Schnüffelsoftware verkauft (Palantir), in die Lage versetzt, Zugriff auf Gesundheitsdaten in Großbritannien zu erlangen. Hier ein Auszug aus diesem Bericht:
„Die über den Telefondienst 111 des NHS gesammelten Daten sollen mit anderen Quellen gemischt werden, um vorauszusagen, wo Beatmungsgeräte, Krankenhausbetten und medizinisches Personal am meisten benötigt werden… Drei US-Technologieunternehmen unterstützen diese Bemühungen – Amazon, Microsoft und Palantir – sowie die in London ansässige KI der Fakultät. Es wird erwartet, dass der Plan von Gesundheitsminister Matt Hancock unterzeichnet wird… Das Projekt wird wahrscheinlich zu Bedenken hinsichtlich der Privatsphäre führen. Der NHS will jedoch sicherstellen, dass alle betroffenen Daten anonymisiert wurden, damit persönliche Daten nicht auf eine Person zurückgeführt werden können. Und wenn die Krise vorbei ist, wird er sich verpflichten, alle Aufzeichnungen zu vernichten…Großbritannien: Amazon, Microsoft und Palantir sollen den Nationalen Gesundheitsdienst (NHS) bei der Bewältigung der Corona-Pandemie unterstützen weiterlesen →
Es ist noch keine zwei Monate her, als der Chaos Computer Club während seines 36. Kongresses (36C3) Ende Dezember 2019 in Leipzig verkündete: „Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen… CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können…“ Dokumentiert und präsentiert wurde dies vom CCC-Sicherheitsexprten Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim 36C3.
Angesichts neuer Sicherheitslücken in deutschen Arztpraxen fordert die Kassenzahnärztliche Vereinigung Bayerns (KZVB), die elektronische Patientenakte (ePA) nicht wie geplant zum 01.01.2021 einzuführen. In einer Pressemitteilung vom 13.02.2020 erklärt die KZVB: „…Mithilfe einer speziellen, aber offen im Netz verfügbaren Suchmaschine können Sicherheitslücken von ans Internet angebundenen Praxisrechnern ohne großen Aufwand entdeckt werden. Für Profis seien die Passwörter der Praxen leicht zu knacken. Der Handel mit Patientendaten sei längst zu einem lukrativen Markt geworden. Bis zu 2000 Euro würden für eine Patientenakte angeboten. ‚Dieses Beispiel zeigt, dass die IT-Infrastruktur in vielen deutschen Arzt- und Zahnarztpraxen noch nicht ausreichend gegen Hackerangriffe geschützt ist. Das wird auch am 1. Januar 2021 nicht der Fall sein. Es ist deshalb nicht zu verantworten, die Daten von über 70 Millionen gesetzlich versicherten Patienten ab diesem Zeitpunkt zentral zu speichern. Etwas Besseres kann der Hacker-Branche gar nicht passieren‘, so Dr. Manfred Kinner, der innerhalb des Vorstands der KZVB für den Bereich Telematik zuständig ist… ‚Die TI ist im Moment so löchrig wie ein Schweizer Käse. Die Praxen brauchen mehr Zeit, um ihre IT an den Stand der Technik anzupassen. Hier muss der Grundsatz ‚Sicherheit vor Schnelligkeit‘ gelten. Die ePA hat im zahnärztlichen Bereich zudem kaum Vorteile und birgt viele Risiken in sich. Der ehrgeizige Bundesgesundheitsminister Jens Spahn sollte endlich einsehen, dass sein Prestigeprojekt technisch unausgereift ist und die Notbremse ziehen‘, so Kinner.“
Das israelische IT-Sicherheitsunternehmens vpnmentorüberprüft das Internet regelmäßig und systematisch nach offenen Servern und nicht abgesicherten Datenbanken. In einem am 14.02.2020 auf der Homepage des Unternehmens veröffentlichten Bericht wird mitgeteilt, dass ein Sicherheitsteam am 24.01.2020 in der Amazon AWS-Cloud eine ungesicherte Datenbank fand. In der Datenbank waren um die 900.000 Dateien einsehbar, die offenbar aus Patientenakten stammten.
„… entdeckte das Forschungsteam von vpnMentor vor kurzem eine beschädigte Datenbank des plastisch-chirurgischen Technologieunternehmens NextMotion. NextMotion stellt Kliniken, die in der Dermatologie, der kosmetischen und der plastischen Chirurgie arbeiten, digitale Foto- und Videogeräte für ihre Patienten zur Verfügung. Die kompromittierte Datenbank enthielt 100.000 Profilbilder von Patienten, die über die proprietäre Software von NextMotion hochgeladen wurden. Diese waren hochempfindlich, einschließlich Bilder von Gesichtern und bestimmten Körperbereichen der Patienten, die behandelt wurden… NextMotion mit Sitz in Frankreich wurde 2015 von einem Team von plastischen Chirurgen gegründet…Frankreich: Offene Datenbank mit intimen Patient*innendaten – 100.000 Profilbilder, fast 900.000 Dateien weiterlesen →
Daten zu mehr als hunderttausend Einsatzfahrten des DRK in Brandenburg sind offenbar jahrelang leicht zugänglich gewesen, darunter auch sensible Gesundheitsinformationen von Patienten.
In zwei Pressemitteilungen des DRK Landesverbands Brandenburg vom 04.02.2020 und vom 05.02.2020 wird das große Ausmaß dieses Datenlecks deutlich: „Von der Sicherheitslücke betroffen waren die Webseiten des DRK-Kreisverbands Märkisch-Oder-Havel-Spree, des Kreisverbands Niederbarnim und des Kreisverbands Uckermark-West/Oberbarnim sowie ein vom DRK-Landesverband Brandenburg betriebenes Erste-Hilfe-Portal. Nach unserer derzeitigen Kenntnis war es Angreifern potenziell möglich, über die Webseite des Kreisverbands Märkisch-Oder-Havel-Spree 111.262 Einsatzdaten von Krankentransporten einzusehen. Über das Erste-Hilfe-Portal des Landesverbands waren zudem personenbezogene Daten von Kursteilnehmern einsehbar. Entgegen vorheriger Annahmen war es zudem unter Umständen möglich, weiterführende Daten aus der Datenbank des DRK-Kreisverbands Märkisch-Oder-Havel-Spree einzusehen, die auch Informationen zu Zielorten des Krankentransports sowie mittelbar zu eventuellen Infektionen und Behandlungen (etwa Dialyse oder Chemotherapie) der beförderten Personen enthielten.“Datenleck beim Deutschen Roten Kreuz (DRK) in Brandenburg – mehr als 30.000 Patient*innen betroffen weiterlesen →
Der Referentenentwurf des Bundesministeriums für Gesundheit für ein “Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutzgesetz – PDSG)” wird seit 48 Stunden in den Medien besprochen und von einschlägigen Lobbyisten aus der IT-Gesundheitsindustrie über der grünen Klee gelobt. Sie sind von Bundesgesundheitsminister Jens Spahn (CDU) informiert worden. Die davon betroffenen, das gemeine Volk – immerhin 70 Mio. gesetzlich versicherte Menschen in Deutschland – wurden vom Minister nicht über seine Pläne unterrichtet.
Aber inzwischen ist der Gesetzentwurf für alle interessierten Menschen zugänglich: Hier.
Lesen Sie selbst, was Jens Spahn mit Ihnen und Ihren Gesundheits- und Behandlungsdaten vorhat!
Bilden Sie sich eine eigene Meinung!
Und geben Sie diese kund! – z. B. durch einen Kommentar auf dieser Homepage.
Aus dem Auguste-Viktoria-Klinikum in Berlin-Schöneberg „ist bei einem Einbruch am 19./20. November 2019 aus einem verschlossenen Dienstraum der Klinik für Urologie… eine externe Festplatte gestohlen worden.“ Diese seinach Mitteilung des Vivantes-Krankenhaus-Konzerns vom am 27.01.2020 „mit einem Passwort gegen unberechtigten Zugriff geschützt…“Auf der gestohlenen Festplatte befanden sich „Sicherungskopien… die rund 18.000 Datensätze von Patientinnen und Patienten betreffen… Bei den Daten handelt es sich meist um Identitätsdaten (Name, Adresse, Geburtsdatum), zum Teil auch um Informationen zu Diagnose und/oder Krankheitsbild.“
Ob das Passwort „123456“ lautete oder doch etwas schwieriger zu knacken ist, teilte Vivantes nicht mit.
Ein weiteres Beispiel dafür, dass große Datenkonglomerate unterschiedlichsten Bedrohungen (hier: Diebstahl durch externe und/oder Binnen-Täter*innen) ausgesetzt sind.
Unter dieser Überschrift begründet Dr. med. Ewald Proll, Arzt für Psychiatrie / Psychotherapie aus Wuppertal auf seiner Homepage polemisch, gründlich und gut, warum er sich weigert, seine Praxis an die Telematik-Infrastruktur der gematik anzuschließen.Einige Auszüge:
„TI heißt ‚Telematik-Infrastruktur‘. Auf der Homepage der gematik steht: … ‚Die Telematikinfrastruktur vernetzt alle Akteure und Institutionen des Gesundheitswesens miteinander und ermöglicht dadurch einen organisationsübergreifenden Datenaustausch innerhalb des Gesundheitswesens.‘ Klingt verlockend. Vorläufig schließe ích meine Praxis trotzdem nicht an dieses System an – auch wenn wenn ich damit gegen das Gesetz verstoße. Dafür werde ich nach §291 SGB 5 Abs. 2b mit Honorarabzug bestraft: ich kann nämlich ohne Anschluss keinen Versichertenstammdatenabgleich machen.
Wilfried Deiß, Facharzt für Innere Medizin und Hausarzt in Siegen, seit vielen Jahren engagiert in der Auseinandersetzung um die Digitalisierung im Gesundheitswesen, hat sich im Januar 2020 mit einer Stellungnahme zum Thema Telematik-Infrastruktur und Nurtzung einer elektronischen Patientenakte an die Patient*innen in seiner Praxis gewandt und diese Information auch auf seiner Homepage für alle interessierten Versicherten veröffentlicht. Nachstehend einige Auszüge:
„Mittlerweile hat fast jeder gesetzlich versicherte Patient die eGK=Elektronische Gesundheitskarte. Aber nur eine Minderheit weiß: die eGK ist nicht nur die Bestätigung für die bestehende Krankenversicherung, sondern vor allem der SCHLÜSSEL zum DERZEIT WELTWEIT GRÖSSTEN IT-VERNETZUNGSPROJEKT WELTWEIT. Das Netzwerkprojekt heisst TELEMATIK-INFRASTRUKTUR. Diesen Begriff kennt kaum ein Patient, obwohl jeder betroffen ist. Dieses Projekt dient nicht nur der ‚Verbesserung der Kommunikation‘, sondern vor allem der dauerhaften Speicherung von Patientendaten und zur Weiterverarbeitung und Verwendung dieser Daten. Diese „Daten“ sind anders als alle anderen: es handelt sich nämlich um IHRE PERSÖNLICHE KRANKENAKTE, die bisher nur bei Ärzten gespeichert und unter dem Schutz des ARZTGEHEIMNISSES AUFBEWAHRT wird…“