In den letzten Monaten schafften es Krankenhäuser zunehmend mit Datenschutz- und Sicherheitsvorfällen Schlagzeilen zu machen. Ein Beispiel sind Verschlüsselungstrojaner. Wie zuletzt in einem Krankenhaus in Los Angeles hatten auch die Mitarbeiter im Lukaskrankenhaus in Neuss auf ihren Rechnern eine Schadsoftware entdeckt. Sie soll über eine E-Mail mit dem Betreff „Rechnung“ ins Netzwerk gelangt sein. Der Virus war zunächst nicht ganz einfach in den Griff zu bekommen, weil er etwa stündlich seinen Code änderte. Da das System komplett heruntergefahren werden musste, waren die Mitarbeiter fast eine Woche lang gezwungen über Stift, Fax und Papier zu kommunizieren. Zusätzlich konnten etwa 15 Prozent aller Operationen in der 540-Betten-Klinik nicht stattfinden. Die Versorgung der Patienten sei aber nicht gefährdet gewesen, bestätigte die Klinik-Sprecherin.
Kurz danach erwischte es laut Aussagen des LKA ein weiteres Krankenhaus im nordrhein-westfälischen Arnsberg. In beiden Fällen handelte es sich wie man jetzt weiß allerdings nicht um gezielte Attacken, sondern um die Folgen einer breiter gestreuten Erpressungskampagne (Ransomware). Auch in diesem Fall hatte es die Malware über einen verseuchten Anhang ins Innere des Systems geschafft.
Neu ist das nicht und spektakuläre Szenarien sind inzwischen nicht nur vorstellbar, sondern real. 2012 in einem Krankenhaus in Linz: Zwei schwer verletzte Patienten hatten sich im Internet die Codes für ihre selbst bedienbaren Schmerzmittelpumpen besorgt und eine Überdosis verabreicht. Im selben Jahr hatte übrigens der Hacker Barnaby Jack auf der Münchner IT-Defense demonstriert wie sich die Fernsteuerung einer Insulinpumpe manipulieren lässt.
Ein Beispiel für besonders sensible Daten sind Gesundheitsdaten wie beispielsweise digitale Patienteninformationen. Neben den eigentlichen medizinischen Datenverwaltungssystemen kommen noch die Netzwerke, Server und Speicher dazu, die Gesundheitsdienstleister und deren Partner berücksichtigen müssen. Die Kommunikation über mobile Endgeräte, die elektronische Kommunikation mit Patienten und ausgesprochen heterogene Umgebungen erschweren einen richtlinienkonformen Datenzugriff und Datenschutz.
Der Health Insurance Portability and Accountability Act (kurz: HIPAA) ist wie die deutschen Äquivalente und Regelungen des Bundesdaten-schutzgesetzes (BDSG) relativ abstrakt formuliert, bezieht sich aber auf konkret auf einzelne Bereiche im Gesundheitswesen zum Beispiel auf den Umgang mit elektronischen Patientendaten.
Besonders interessant ist in diesem Zusammenhang die 2013 eingeführte „Omnibus Rule“. Sie bindet auch Drittunternehmen, wie beispielsweise die Anbieter von Cloud-Lösungen an HIPAA, falls sie an irgendeiner Stelle mit Gesundheitsdaten in Berührung kommen.
Neben dem BDSG bilden unterschiedliche Gesetzestexte die Sicherheitsforderungen für Patientendaten ab, darunter auch ländergetriebene wie das Gesundheitsdatenschutzgesetz in Nordrhein-Westfalen. Die Fülle ist für einzelne Akteure oftmals kaum mehr zu durchschauen. HIPAA ist in den USA – und im Gegensatz zum deutschen Modell – für sämtliche Einrichtungen gültig, die mit Patientendaten in Berührung kommen. Dies und die strikten Regeln machen HIPAA auch hierzulande interessant, wenn es um Datenzugriff und Compliance-Management geht.
Verizons Data Breach Investigation Report 2015
Ende des letzten Jahres veröffentlichte Verizon einen neuen DBIR, der sich insbesondere mit den gefährdeten Daten im Gesundheitswesen beschäftigt. Der Report konzentriert sich auf die sogenannte „Protected Health Information“ (PHI), was in den Regularien von HIPAA den PII-Informationen entspricht, also den persönlichen Daten, die sich eindeutig auf eine Person zurückführen lassen. Da HIPAA vergleichsweise abstrakt formuliert ist, hat das bei der konkreten Umsetzung bereits zu Problemen geführt. Deshalb haben sich US-Behörden unter anderem dazu entschieden eine Liste mit 18 solcher Merkmale zu veröffentlichen.
Dazu gehören IP-Adressen, biometrische Daten, Daten zur Gesichtserkennung und sämtliche medizinischen Daten.
Auch die neue EU-Datenschutzgrundverordnung berücksichtigt solche Daten und legt ihren besonderen Schutz fest. Unter anderem dadurch, dass Unternehmen und Institutionen immer dann einen Datenschutzbeauftragten brauchen, wenn die „umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen“ oder die „umfangreiche Verarbeitung besonderer Kategorien von Daten“ – die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, biometrische Daten, Informationen über Gesundheit, Sexualleben und sexuelle Ausrichtung betreffen – zur Kerntätigkeit eines Unternehmens gehört“. Dies besagt Artikel 35. Und: Institutionen im Gesundheitswesen fallen unter das IT-Sicherheitsgesetz für kritische Infrastrukturen, das im Juni 2015 verabschiedet wurde.
Doch zurück zur Analyse von Verizon. Der erste interessante Punkt der Analyse: Es gibt Unmengen von PHI-Daten, die seit 1994 offengelegt wurden. Und zwar selbst dann, wenn die entsprechende Institution oder das entsprechende Unternehmen zu den „covered entities“ gehörte. Also den Organisationen, die laut HIPAA für die Diskretion, Integrität und Verfügbarkeit aller elektronisch geschützten Gesundheitsinformationen, die sie erstellen, erhalten, verwalten oder übertragen, zu sorgen haben. HIPAA-Richtlinen gelten direkt nur für Institutionen des Gesundheitswesens und deren Geschäftspartner. PHI-Daten werden aber praktisch überall gesammelt. Jedes Unternehmen, das irgendwelche medizinischen Daten erhebt und speichert, speichert damit auch PHI-Informationen beispielsweise im Rahmen von Plänen zur Gesundheitsvorsorge oder im Rahmen von Versicherungen.
Dazu kommt, dass Anbieter und staatliche Institutionen bestimmte medizinische Daten ganz legal verkaufen können.
Im zweiten Teil dieses Beitrags beschäftigten wir uns mit den verschiedenen Arten von Datenschutzverstößen, deren Ursachen und wie man Abhilfe schaffen kann.