Awareness

Krankenakten – digital, praktisch, geklaut? Es geht sicherer!

Aktualisiert am

Im Juli diesen Jahres wurde ein Netzwerk angegriffen, welches die Krankenakten von elf Krankenhäusern und vier Altenpflegeeinrichtungen aus Rheinland-Pfalz und dem Saarland organisiert. Auch im medizinischen Bereich ist es eine Herausforderung die Integrität, Verfügbarkeit und Vertraulichkeit von Daten sicher zu stellen.

Hacking-Angriff auf Krankenhäuser – keine Seltenheit!

Häufig werden sensible Daten nicht nur gestohlen – die Organisationen selber werden mit Ihnen erpresst. Das Geschäftsmodell, die Daten zu verschlüsseln und diese erst nach einer Lösegeldzahlung wieder verfügbar zu machen, erfreut sich größter Beliebtheit. Umgangsprachlich ist dann von einer Ransomware-Attacke die Rede. Das Netzwerk, welches durch eine Sicherheitslücke gehackt wurde, konnte zu großen Teilen verschlüsselt werden, nachdem die Daten geklaut wurden. Ob die Angreifer Lösegeld verlangt haben ist nicht öffentlich bekannt.

Institutionen die mit sensiblen, personenbezogenen und besonders schützenswerten Daten arbeiten, sind lukrativ für Angreifer. Das liegt daran, dass diese Daten besonders wertvoll auf dem Schwarzmarkt sind. Ein Großteil der erfassten, gespeicherten und verarbeiteten Gesundheitsdaten lassen sich schlichtweg nicht ändern. Eine chronische Krankheit bleibt genau so wie der Fingerabdruck. Eine Kreditkarte oder Passwörter können verändert und gesperrt werden.

Die Sicherheit meiner Krankenakten – auch persönlich von Interesse!

Über die Sicherheit der eigenen Krankendaten berichteten wir bereits ausführlich Anfang diesen Jahres. Die sensiblen Daten die von großen Krankenhäusern oder von einer kleineren Praxis verarbeitet werden, sollten grundsätzlich geschützt sein. Jedoch fällt es kleinere Institutionen häufig schwer die IT-Sicherheit auf dem aktuellen Stand zu halten. Das Kapital, das den verschiedenen Insitutionen für die Datensicherheit zusteht, hängt davon ab wie viele vollstationäre Fälle in einem Jahr behandelt werden.

Ab 30.000 Fällen wird es relevant für Krankenhäuser –  ab dieser Anzahl gilt eine Institution als kritische Infrastruktur (KRITIS). Da diese Anzahl lediglich 6% aller Krankenhäuser in Deutschland erreichen, stehen 94% der anderen Institutionen weniger Geld zur Verfügung um die Datensicherheit auf dem aktuellsten Stand zu halten. Das ist ein riesiges Problem.

Die Lösung für die zu niedrige IT-Sicherheit für Krankenhäuser!

Die einfachste Lösung wäre es die Marke herabzusetzen, sodass ein höherer Prozentsatz als kritische Infrastruktur eingestuft wird. Eine weitere Möglichkeit stellt die Entfernung der Marke dar. So würde jede Institution die mit sensiblen Krankendaten arbeitet als eine kritische Infrastruktur eingestuft. Genau diesen Ansatz verfolgt der Marburger Bund:

„Es spielt keine Rolle, in welchem Krankenhaus Patienten behandelt werden – ihre hochsensiblen krankheitsbezogenen Daten sind überall gleichermaßen gut vor Fremdzugriffen zu schützen“, fordert Rudolf Henke, 1. Vorsitzender des Marburger Bundes, angesichts der jüngsten Hacker-Angriffe auf Kliniken in Rheinland-Pfalz und im Saarland. Da diese Möglichkeit deutlich mehr Geld in Anspruch nehmen würde, konnte sich bis zu dem heutigen Zeitpunkt nicht geeinigt werden, wie die IT-Sicherheit in Krankenhäusern erhöht werden kann.

Foto des Autors

Jan Hörnemann

Ich bin Jan Hörnemann, TeleTrust Information Security Professional (T.I.S.P.) und seit 2016 leidenschaftlich in der Welt der Informationssicherheit unterwegs. Mein Master of Science in Internet-Sicherheit hat mir ein fundiertes Verständnis für verschiedene Aspekte dieser Branche vermittelt, das ich in meiner laufenden Promotion kontinuierlich ausbaue. In der AWARE7 bin ich Chief Operating Officer und Prokurist, gleichzeitig koordiniere ich die Abteilungen "Informationssicherheit" und "Offensive Services" und sorge dafür, dass alle Projekte reibungslos ablaufen.