News Datenschutz: 16 Millionen Datensätze von Patienten im Netz

SVΞN · 18. September 2019

16 Millionen Datensätze, unter anderem von Patienten aus Deutschland, lagen lange Zeit ungeschützt und frei zugänglich auf sogenannten PACS-Servern im Internet. Auch Bilder sollen über Jahre hinweg abrufbar gewesen sein. Dies ergaben Recherchen der US-Journalisten von ProPublica und des Bayerischen Rundfunks.

Zur News: Datenschutz: 16 Millionen Datensätze von Patienten im Netz

Sephe · 18. September 2019

Appell an die zuständigen Softwareentwickler:

Aber auch in Deutschland sieht es nicht viel besser aus. Wie das Bayerische Landesamt für Datenschutz bestätigt, war ein Computer in einer Arztpraxis falsch konfiguriert gewesen, weshalb die Daten von 7.200 Patienten ohne Passwortschutz im Netz abrufbar waren.

Warum ist DAS bitte überhaupt möglich?

haasgo · 18. September 2019

Betreiber : 0 Risiko, wir sparen uns die Mail

drago-museweni · 18. September 2019

Schon sehr traurig genau sowas will ich als Patient auf jeden Fall lesen, unglaublich sowas aber überraschen tut es mich nicht mehr ..

Petja · 18. September 2019

mögliche Ursachen: Zeitdruck, Kostendruck, Dummheit, Ignoranz

andi_sco · 18. September 2019

Sephe schrieb:
...
Warum ist DAS bitte überhaupt möglich?

Ich war mal in einer Praxis. Die Computer liefen nicht rund, stürtzten ab. Ich dann: "Vllt sollte man mal einen IT Menschen kommen lassen!" Antwort: "Dann können wir aber nicht an den Rechnern arbeiten"

SVΞN · 18. September 2019

Petja schrieb:
mögliche Ursachen: Zeitdruck, Kostendruck, Dummheit, Ignoranz

Ignoranz trifft es ganz gut, denn Fehler können passieren, aber es wird seit 2016 auf das Problem hingewiesen. Da hätte reagiert werden müssen.

Der BR hat Patienten Zuhause mit ihren Röntgenbildern konfrontiert. Solch sensiblen Daten dürfen einfach nicht an die Öffentlichkeit gelangen.

Crazy_Bon · 18. September 2019

Da gewinnt der Ausdruck "Der gläserne Patient" wieder mal an Bedeutung.

projectneo · 18. September 2019

Das ist einfach, hinter den Softwarelösungen für niedergelassene Ärzte stecken oft kleine Softwareklitschen mit 5-50 Mitarbeitern. Da wird wirklich nur das nötigste gemacht und teilweise ist das Wissen nicht vorhanden in der Entwicklung. Auf der anderen Seite sind die Ärzte extrem geizig (bei allem) bei IT Ausgaben und da wird auch nur das Nötigste investiert. In den eingesetzten Softwaren sind eigentlich IMMER Standardkennwörter hinterlegt für den Admin Zugriff, die entweder direkt in der Software Hard-Codiert sind oder durch den ausführenden Dienstleister für alle Arztpraxen gleich sind. So kann ein Dienstleister locker 200-500 Arztpraxen betreuen und bei allen ist das Adminkennwort gleich. Mich wundert das überhaupt nicht, auch aus dem Grund weil Ärzte nicht haftbar gemacht werden, weil es sind ja Ärzte ... Mich wundert eignetlich nur, dass es so wenige Daten sind und dass es erst jetzt auffällt. Nagut, vielleicht hat man noch nicht weiter gesucht

Problematisch ist auch, dass die PCs in den Arztpraxen in der Regel immer ungeschützt sind, sprich nicht mit einem Passwort versehen oder wenn doch, der pC nie gesperrt wird.
Wenn man im Behandlungszimmer auf den Arzt wartet kann man eigentlich in jeder Praxis gemütlich an den PC gehen und im "Name" Feld nach Namen suchen ... das ist so gruselig muss ich sagen.

Krautmaster · 18. September 2019

Sephe schrieb:
Warum ist DAS bitte überhaupt möglich?

Weil es zumeist Bananensoftware aus den 90ern ist.

Bei sowas müsste eig 2 Factor und Password Generation Pflicht sein. Zb mit dem Ausweis der zugreifenden Personen.

Rubyurek · 18. September 2019

andi_sco schrieb:
Ich war mal in einer Praxis. Die Computer liefen nicht rund, stürtzten ab. Ich dann: "Vllt sollte man mal einen IT Menschen kommen lassen!" Antwort: "Dann können wir aber nicht an den Rechnern arbeiten"

Wenn man zuverlässig und mit vollster Sicherheit haben will, muss man halt die IT mit sich bringen und es korrigieren. Da müssen die halt in den sauren Apfel beißen.

DaVinz · 18. September 2019

Da kommen sehr viele Faktoren zusammen, einige wurden schon aufgezählt. Hauptsächlich liegt das aber an veralterter Software (tatsächlich aus den 90ern). Kein IT-Konzept in den Praxen und das vor allem erst die Computer da waren und dann mal eben schnell das Internet drangestöpselt wurde ohne sich dabei Gedanken zu machen zum Thema IT-Sicherheit.

Technologisch hängt die gesamte Medizininformatik eh ein Jahrzehnt zurück, wenn nicht gar mehr.

Überraschen tut es mich nicht das sowas passiert, gruselig ist es allerdings schon...

nervenjere · 18. September 2019

In at heißt das ganze elga , gibt ein opt out,
Zum glück genutzt

lordfritte · 18. September 2019

Das ist überall diesen DSGVO Wisch unterschreiben muss/musste hat es ja voll gebracht, Danke dafür.

Phear · 18. September 2019

projectneo schrieb:
Das ist einfach, hinter den Softwarelösungen für niedergelassene Ärzte stecken oft kleine Softwareklitschen mit 5-50 Mitarbeitern. Da wird wirklich nur das nötigste gemacht und teilweise ist das Wissen nicht vorhanden in der Entwicklung.

Und hinter der IT in der Praxis eine Person, die das nebenbei in der Freizeit macht. Ich sage dazu nichts mehr. Der Moment, wenn ich so etwas herausfinde war mein letzter Besuch bei solchen Läden.
Es wird vorne und hinten an der IT gegeizt, aber Hauptsache der dritte Porsche steht in der Garage.

EduardLaser · 18. September 2019

Patientendaten sollten wie Kundendaten behandelt werden.

Würden wir bei uns in Unternehmen so agieren hätten wir schnell eine saftige Strafe am Hals.

guillome · 18. September 2019

Och macht ja nix, gibt ja nix zu verbergen.
Fleißig weiter alles auf Whatsapp, Facebook, Instagram,... teilen

teufelernie · 18. September 2019

Sephe schrieb:
Appell an die zuständigen Softwareentwickler:

Warum ist DAS bitte überhaupt möglich?

Haha. „Devops“ macht’s möglich.
Man nehme irgendwelche Leute (zumeist Entwickler) mit geringer bis hoher Teilexpertise, werfe die in irgend nen Topf und hinein, und heraus kommt das agil gebaute Produkt.

Früher, als ich noch jung war

, also etwa vor noch ca sieben Jahren gab es Produkteams aus Entwicklern und Sysadmins, die sich gegenseitig hinterfragt haben, Und meist auch ein mindestens Ansatzweise brauchbares Sicherheitskonzept hatten.

Jetzt gibt es nur noch automatisierte Testjobs und Funktionsprüfungen, sowie sinnfreie sog. compliance Audits von Betreibern irgendwelcher Scan-blackboxes wo kaum einer eine Ahnung hat, was die überhaupt machen.
Woher sollen auch Entwicklungsfokussierte Coderhorden, die in den wenigsten Fällen Betriebserfahrung haben oder bekommen so etwas wissen?

Bei Zertifizierungen wird dann GEFRAGT: haben Sie den BIOS Support für USB maß Storage /Legacy auch deaktiviert, damit niemand mit physischem Zugang Daten abgreifen/kompromittieren kann?
Antwort: natürlich! Leider werden derlei regelmäßige Lügen nahezu nie überprüft und irgend eine ISO für Datensicherheit ist in meinen Augen keinen Cent wert.

Hier ein Link dazu inkl sublink zu Heise:
https://blog.fefe.de/?ts=a5e7cf68

/signed

Feligs · 18. September 2019

Und die Verantwortlichen: "Shit happens"

Conqi · 18. September 2019

Auch Politiker aller anderen großen Parteien meldeten sich zu Wort und mahnten Bundesgesundheitsminister Jens Spahn dazu, die Warnsignale nicht zu ignorieren.

Dann ist das Problem ja jetzt behoben. Hurrah! Niemand braucht härtere Gesetze und Auflagen für IT-Sicherheit und Codequalität. Lieber weiter Ranzsoftware einkaufen und hinterher mahnend den Finger erheben. Es ist absurd, was für ein Qualitätsstandard im Bereich Software akzeptiert wird während praktisch nichts in der realen Welt ohne Standards und Prüfungen auf den deutschen Markt kommt. Aber dann wäre das ja nicht mehr so schön billig.

News Datenschutz: 16 Millionen Datensätze von Patienten im Netz

Redakteur a.D.

Rear Admiral

haasgo

Gast

Admiral

Ensign

Legends of Tomorrow

Redakteur a.D.

Rear Admiral

Lt. Commander

Fleet Admiral

Commander

Ensign

nervenjere

Gast

Lieutenant

Rear Admiral

Banned

Captain

Commander

Captain

Rear Admiral

Ähnliche Themen

Passend zum Thema