Keine Woche ohne Datenpannen in der Healthcare Branche

Keine Woche ohne Datenpannen in der Healthcare Branche

Share

Die Online Ausgabe der “Health IT Security” berichtet, dass es keine Woche ohne Datenpannen in der Gesundheitsbranche gibt. Dieses Mal gingen mittels USB Flash Drive Patientendaten des “Kaiser Foundation Hospital Orange County - Anaheim Medical Center” (Kaiser) verloren.

Ohne Angabe der Anzahl von betroffenen Patienten, veröffentlichte der Generalstaatsanwalt von Kalifornien am 25. November 2013 einen Brief von Kaiser an möglicherweise betroffene Personen. In diesem Schreiben wird erwähnt, dass auf dem USB Datenträger die Patienten-Namen, Krankenakten, -nummern und Geburtsdaten enthalten sind.

Es ist derzeit nicht bekannt, wie der Datenträger verloren gegangen bzw. gestohlen wurde. Ebenfalls ist unklar, ob die Daten sich in verschlüsselter Form auf dem Speichermedium befanden.

Um einen solchen Datenverlust zu verhindern bedarf es einem ganzheitlichen, mehrschichtigen Datensicherheitskonzept. In dem oben beschriebenen Beispiel der Kaiser Foundation ist nicht sicher, ob Daten verschlüsselt wurden. Gerade bei hoch sensiblen Informationen ist es wichtig, dass stets alle Daten automatisiert auf den jeweiligen Schnittstellen wie CD/DVD, Cloud, USB, etc. abgelegt werden. Jeder unverschlüsselte Datentransfer auf externen Datenablagen ist ein Sicherheitsrisiko. Weiter ist bei diesem Datenverlust unklar, wie viele Informationen abgeflossen sind. Daher ist es aus Security-Sicht äußerst wichtig, im Nachhinein über eine Protokollierung des Datentransfers nachvollziehen zu können, welche Daten entwendet wurden. In Deutschland muss aufgrund von Gesetzesvorlagen eine Betriebsratskonformität eingehalten werden, so dass diese Protokollierung nur mittels 4-/6-Augen-Prinzip eingesehen werden kann. Des Weiteren ist zu betrachten, dass unautorisierte Personen die Verwendung von Datenschnittstellen unterbunden oder eingeschränkt werden soll.

Das deutsche Bundesdatenschutzgesetz (BDSG) schreibt vor, wie Daten korrekt zu verarbeiten sind. Diese Anforderungen sehen wie folgt aus:

  • Zugriffskontrollen, die beschränken, wer, wann und unter welchen Umständen Einblick in personenbezogene Daten hat
  • Verschlüsselungslösungen nach dem aktuellen Stand der Technik
  • Protokollierungen, mit deren Hilfe sich im Schadensfall prüfen lässt, von wem, wann und in welchem Umfang auf personenbezogene Informationen zugegriffen wurde
  • ein effektiver Schutz gegen Schadsoftware
  • strenge Kriterien für Cloud-Dienste (Hier sind die Auflagen derart streng, das viele gängige Cloud Services für die Speicherung und Übermittlung personenbezogener Daten gar nicht in Frage kommen.)

Das Magazin Security Insider empfiehlt zur Umsetzung dieser Anforderung die Endpoint Security Lösung namens EgoSecure Endpoint. Im November 2013 gewann die Version EgoSecure Endpoint 5.4 die Wahl zum Produkt des Monats.

Quellen:
http://healthitsecurity.com/2013/11/26/kaiser-permanente-sends-patient-data-breach-notifications/
http://security-sinder.de
http://egosecure.com

EgoSecure GmbH - Head of Professional Services

EgoSecure GmbH

Share

Über den Autor

Avatar

Daniel Döring administrator

Schreibe eine Antwort

Translate »