Im September 2019 erschütterte eine schwere digitale Sicherheitspanne die Öffentlichkeit: Allein in Deutschland waren plötzlich mindestens 13 000 Sätze vertraulicher Patientendaten frei im Internet verfügbar. Weltweit waren es Millionen. Sie stammen von nicht ausreichend gesicherten Servern: Röntgenbilder, Namen, Geburtsdaten, Details über zuständige Ärzte und deren Behandlung – alles war im World-Wide-Web frei zugänglich.
Das Datenleck kann für Betroffene schwere Konsequenzen haben. Daraus wies der Informatiker Ulrich Kelber, Bundesdatenschutzbeauftragter, zu Recht hin. Pascal Reinheimer, Chef des im Raum Darmstadt aktiven Computer-Dienstleisters reinheimer systemloesungen: „Wenn Ihre Gesundheitsdaten offen im Netz liegen, kann es sein, dass Sie beispielsweise einen beantragten Unternehmenskredit aus gesundheitlichen Gründen nicht erhalten.“ Der EDV-Experte aus dem Raum Frankfurt/Darmstadt fühlt sich durch Äußerungen von Arne Schönbohm, Chef des Bundesamtes für Sicherheit in der Informationstechnik, BSI, bestätigt. Dieser hatte zum Gesundheitsdaten-Leck ausgeführt, „dass IT-Sicherheit immer noch nicht den Stellenwert“ einnehme, „den sie verdient“. Seine Behörde teilte zum aktuellen Gesundheits-Datenskandal mit: „Nach Einschätzung des BSI sind die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden.“ Quelle.
Erste Erkenntnisse verweisen auf veraltete Technik, fehlende Software-Updates und Nachlässigkeiten beim Passwortschutz von Servern. Quelle. In einem Fall ermittelten recherchierende Journalisten, dass „spezielle CDs“ auf einem Webserver abgespeichert wurden und von dort im Netz landeten. In einem anderen Fall hatte eine Uniklinik Patientendaten auf einem mit dem Internet verbundenen Computer gespeichert, die nach Anonymisierung für Forschungszwecke verwendet werden sollten. Von hier aus gelangten sie offenbar ins öffentliche Netz.
Der Darmstädter Informatiker Pascal Reinheimer: „Leichtfertiger Umgang mit Daten kann in ungesicherten IT-Netzwerken schwerwiegende Folgen haben, auch wenn sie hier nur für sehr kurze Zeit abgelegt sind. Das belegt dieser Skandal einmal mehr.“
Ebenfalls sehr sensibel sind Geschäftsgeheimnisse von Unternehmen und Kanzleien, zum Beispiel Produktentwicklungen, Finanz- oder Mandantendaten. Dies gilt umso mehr, als Hacker-Banden teilweise mit geheimdienstlichen Mitteln und möglicher staatlicher Unterstützung aktiv danach suchen.
„Angreifer können erheblichen Schaden anrichten, wenn sie es schaffen, in Server einzudringen, um dort Daten abzugreifen (Angriff auf die Vertraulichkeit), Daten zu manipulieren (Angriff auf die Integrität) oder die Verfügbarkeit von Servern zu stören“, warnt das Bundesamt für Sicherheit in der Informationstechnik, BSI.
Die amtlichen IT-Experten haben einen Liste zertifizierter Produkte für das Gesundheitswesen ins Netz gestellt.
Benutzerverwaltung: Diese muss zentral bei einem Systemadministrator liegen und von ihm oder ihr verwaltet und überwacht werden. Wer keine vom Administrator genehmigte Berechtigung hat, dem wird der Zugriff auf Daten von diesem Server verweigert. IT-Experte Pascal Reinheimer: „Der EDV-Admin kann und sollte Zugriffrechte beim Ausscheiden eines Mitarbeitenden aus dem Unternehmen auch umgehend löschen. In Fällen vom Missbrauchsverdacht kann er Nutzerrechte löschen. Er kann auch Zugriffsrechte einschränken, wenn der Mitarbeiter diese für seine veränderte Funktion im Unternehmens- oder Praxisnetzwerk nicht mehr benötigt. Zudem kann der Systembetreuer einmal vergebene Passwörter verändern und neue vergeben, wenn Nutzer diese vergessen haben. In jedem Fall ist durch eine fachlich fundierte Server-Betreuung sichergestellt, dass kryptische Passwörter vergeben werden, und keine Passphrasen, die jeder Wörterbuchangriff von Hackern in Minutenschnelle knackt.“ Mehr zum Thema „Sichere Passwörter“.
Festplattenverschlüsselung: Fachleute sprechen hier auch von FDE. Diese Abkürzung steht für „Full Disk Encryption“. Die Inhalte einen Datenspeichers sind dann nur mit einem speziellen Passwort oder einer speziellen Hardware zugänglich. Pascal Reinheimer: „Lösungen dafür bieten sowohl die Hersteller von Betriebssystemen wie auch externe Anbieter. Mehr über die Festplattenverschlüsselung beim vom rund um Frankfurt und Darmstadt aktiven Systemhaus reinheimer systemloesungen bevorzugten Betriebssystem Windows 10 erfahren Sie hier.
Firewall: Natürlich müssen Viren- und Trojanerschutz auf dem jeweils aktuellsten Stand sein. Hier erfahren Sie mehr über sichere und zuverlässige Anti-Virus, Backup und Firewall Lösungen für Ihr IT-System.
Integritätsprüfung: Diese „erkennt inhaltliche Änderungen der Konfigurationsdateien und auch Änderungen an den Zugriffsberechtigungen dieser Dateien“, so das BSI. Das EDV-Unternehmen reinheimer systemloesungen informiert gern über die erforderlichen Software-Tools für eine sichere Systemkonfiguration.
Patch- und Änderungsmanagement: Ausschließlich geschulte Systemadministratoren sollten Sicherheitsupdates und fehlerbereinigte Software aufspielen. Das sorgt für ein stabiles System und vermeidet klaffende Schwachstellen.
Zentrales Geräte- und Netzwerkmanagement: Pascal Reinheimer, Experte für Systemarchitekturen: „Alle dienstlich genutzten Server und Endgeräte im IT-Netzwerk einer Praxis oder Kanzlei, in einer Klinik oder einem Unternehmen, das mit vertraulichen Daten arbeitet, sind ausschließlich durch dafür geschulte und verantwortliche Mitarbeiter zu konfigurieren und zu verwalten.“ Das bedeutet auch, dass vertrauliche Daten wie im vorliegenden Gesundheitsdaten-Skandal nur auf Geräten landen, die nicht ungeschützt ans Internet angebunden sind. Das ist auch unter Aspekten der DSGVO wichtiger denn je.
Sie haben Fragen dazu, wie Ihre IT-Landschaft sicher konfiguriert werden kann?
