Schlagwort-Archiv healthcare

USA: Ransomware legt Kliniken lahm

Eine Ransomwareattacke auf eine große Spitalskette in den USA fand am Wochenende statt. Noch sind die Rechner offline. Matrix42 schützt mit Secure Unified Endpoint Management vor internen und externen Bedrohungen und bietet die Möglichkeit Ihre Systeme jederzeit wieder einsatzbereit zu bekommen.

https://futurezone.at/digital-life/cyberangriff-auf-krankenhaeuser-legt-rechner-lahm/401047894

Datenleck: Corona-Daten von 18.000 britischen Personen betroffen

Mario Kreft, MBE, der Vorsitzende des CARE FORUM WALES, teilte seine Besorgnis über die undichte Stelle mit, die dazu führte, dass Details von mehr als 18.000 Personen, die positiv auf das Coronavirus getestet wurden, am 30. August für 20 Stunden lang online veröffentlicht wurden.

Herr Kreft meinte: “Eine der Schlüsselfragen ist, warum es so lange gedauert hat, bis Public Health Wales dieses katastrophale Datenleck zugegeben hat, bei der hochpersönliche Informationen auf einer Website veröffentlicht wurden, die der ganzen Welt zugänglich ist.

Leider wissen viele Organisationen nichts von unerwünschten oder böswilligen Datenströmen im eigenen Netzwerk. Deshalb ist es gewöhnlich sehr spät, bis ein Vorfall bekannt wird. Aus diesem Grund ist es äusserst wichtig, dass Datenbewegungen im Netzwerk und an den Endgeräten überwacht und Anomalien automatisch erkannt, blockiert und gemeldet werden. Sensible Daten müssen auch durch Verschlüsselung und DLP-Maßnahmen geschützt werden.

Matrix42 hat es seinen weltweiten Kunden ermöglicht, automatisierte und integrierte Datensicherheitsmaßnahmen sehr schnell und effizient zu implementieren. Dadurch können interne und externe Bedrohungen verhindert werden.

https://www.leaderlive.co.uk/news/18724197.disastrous-data-breach-highlights-need-urgent-reforms-says-social-care-leader/

Deutsches Ärzteblatt: Datenschutz: Jeder Einzelne ist in der Pflicht

Vor dem Hintergrund des Datendiebstahls und der Veröffentlichung sensibler Daten von Prominenten auf dem Kurznachrichtendienst Twitter ist auch der Gesundheits­bereich erneut in den Fokus der Diskussion gerückt, denn der digitale Datenaustausch und die Entwicklung elektronischer Patientenakten sind zentrale Themen der aktuellen Gesundheitspolitik.

EGOSECURE HEALTH-CARE-DATA ist eine voll integrierte Gesamtlösung für den gesetzeskonformen Datenschutz in Krankenhäusern und Praxen. Sie kann schnell und weitgehend ohne externe Hilfe installiert werden und bietet schon nach der einfachen Basisinstallation einen umfassenden Schutz. Die Administration findet über eine zentrale Management-Konsole intuitiv statt – teure und zeitraubende Schulungen sind nicht nötig.


Weitere Informationen:

https://egosecure.com/de/loesungen/branchen/health-care-data/


Artikel:

https://www.aerzteblatt.de/nachrichten/100218/Datenschutz-Jeder-Einzelne-ist-in-der-Pflicht

heise.de: IT-Sicherheit im Krankenhaus: Neue Firewall oder neuer Computertomograph?

Datenschutz ist ein Grundrecht aller Menschen in Deutschland. Krankenhäuser und niedergelassene Ärzte tragen die Verantwortung für die Daten, die ihnen von ihren Patienten anvertraut werden. Gerade Gesundheitsdaten sind besonders sensibel und für einige dubiose Akteure sehr interessant, da man sie z. B. für Marketingzwecke oder auch an Versicherungen verkaufen kann. Bereits 2008 wiesen die kassenärztlichen Vereinigungen der verschiedenen Bundesländer auf die Aspekte des Datenschutzes und der Datensicherheit hin und schlugen dabei ganz konkrete organisatorische und technische Maßnahmen vor (vgl. Informationen auf den Websites der verschiedenen kassenärztlichen Vereinigungen).

Cyberkriminelle, die Patientendaten stehlen. Erpresser, die Daten verschlüsseln. Hacker, die medizinische Geräte manipulieren. Die Szenarien sind beunruhigend – und sie sind real. Laut “Krankenhausstudie 2017” der Unternehmensberatung Roland Berger waren 64 Prozent der deutschen Krankenhäuser schon einmal Opfer eines Hackerangriffs. “IT-Sicherheit ist für viele Kliniken noch immer Neuland”, titelte kürzlich die Ärzte-Zeitung.

Angriffsziel Krankenhaus

Dem Landeskriminalamt (LKA) Hessen sind nach eigenen Angaben “keine Cyberattacken oder -angriffe auf Krankenhäuser bekannt”. Zwar bemerkten Klinikbetreiber “fast täglich” Angriffe auf ihre IT, diese könnten aber “zum größten Teil durch die dort bestehende Sicherheitsstruktur abgewehrt werden”. Dass Kliniken gefährdet sind, bestreitet auch das LKA nicht: “Krankenhäuser gehören definitiv zu den Angriffszielen von Cyberkriminellen”, heißt es in Wiesbaden. Sollten die Angriffe erfolgreich sein, “entsteht nicht nur ein finanzieller Schaden; vielmehr können durch Störungen der medizinischen Versorgung lebensbedrohliche Situationen entstehen”.

Schwachstelle Mitarbeiter

Eine “Risiko-Analyse Krankenhaus-IT” des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat die Schwachstellen identifiziert: Nicht nur veraltete Technik, unzureichende Schutzmechanismen und unterbliebene Tests stellen eine Gefahr dar – sondern auch “die Unzufriedenheit von Mitarbeitern”.

Die Lösung heißt EgoSecure HEALTH-CARE-DATA!

EGOSECURE HEALTH-CARE-DATA ist eine voll integrierte Gesamtlösung für den gesetzeskonformen Datenschutz in Krankenhäusern und Praxen.

Quellenangaben:

  • https://www.heise.de/newsticker/meldung/IT-Sicherheit-im-Krankenhaus-Datenklau-Erpressung-Systemstillstand-4156152.html
  • https://egosecure.com/de/loesungen/branchen/health-care-data/

Keine Woche ohne Datenpannen in der Healthcare Branche

Die Online Ausgabe der “Health IT Security” berichtet, dass es keine Woche ohne Datenpannen in der Gesundheitsbranche gibt. Dieses Mal gingen mittels USB Flash Drive Patientendaten des “Kaiser Foundation Hospital Orange County - Anaheim Medical Center” (Kaiser) verloren.

Ohne Angabe der Anzahl von betroffenen Patienten, veröffentlichte der Generalstaatsanwalt von Kalifornien am 25. November 2013 einen Brief von Kaiser an möglicherweise betroffene Personen. In diesem Schreiben wird erwähnt, dass auf dem USB Datenträger die Patienten-Namen, Krankenakten, -nummern und Geburtsdaten enthalten sind.

Es ist derzeit nicht bekannt, wie der Datenträger verloren gegangen bzw. gestohlen wurde. Ebenfalls ist unklar, ob die Daten sich in verschlüsselter Form auf dem Speichermedium befanden.

Um einen solchen Datenverlust zu verhindern bedarf es einem ganzheitlichen, mehrschichtigen Datensicherheitskonzept. In dem oben beschriebenen Beispiel der Kaiser Foundation ist nicht sicher, ob Daten verschlüsselt wurden. Gerade bei hoch sensiblen Informationen ist es wichtig, dass stets alle Daten automatisiert auf den jeweiligen Schnittstellen wie CD/DVD, Cloud, USB, etc. abgelegt werden. Jeder unverschlüsselte Datentransfer auf externen Datenablagen ist ein Sicherheitsrisiko. Weiter ist bei diesem Datenverlust unklar, wie viele Informationen abgeflossen sind. Daher ist es aus Security-Sicht äußerst wichtig, im Nachhinein über eine Protokollierung des Datentransfers nachvollziehen zu können, welche Daten entwendet wurden. In Deutschland muss aufgrund von Gesetzesvorlagen eine Betriebsratskonformität eingehalten werden, so dass diese Protokollierung nur mittels 4-/6-Augen-Prinzip eingesehen werden kann. Des Weiteren ist zu betrachten, dass unautorisierte Personen die Verwendung von Datenschnittstellen unterbunden oder eingeschränkt werden soll.

Das deutsche Bundesdatenschutzgesetz (BDSG) schreibt vor, wie Daten korrekt zu verarbeiten sind. Diese Anforderungen sehen wie folgt aus:

  • Zugriffskontrollen, die beschränken, wer, wann und unter welchen Umständen Einblick in personenbezogene Daten hat
  • Verschlüsselungslösungen nach dem aktuellen Stand der Technik
  • Protokollierungen, mit deren Hilfe sich im Schadensfall prüfen lässt, von wem, wann und in welchem Umfang auf personenbezogene Informationen zugegriffen wurde
  • ein effektiver Schutz gegen Schadsoftware
  • strenge Kriterien für Cloud-Dienste (Hier sind die Auflagen derart streng, das viele gängige Cloud Services für die Speicherung und Übermittlung personenbezogener Daten gar nicht in Frage kommen.)

Das Magazin Security Insider empfiehlt zur Umsetzung dieser Anforderung die Endpoint Security Lösung namens EgoSecure Endpoint. Im November 2013 gewann die Version EgoSecure Endpoint 5.4 die Wahl zum Produkt des Monats.

Quellen:
http://healthitsecurity.com/2013/11/26/kaiser-permanente-sends-patient-data-breach-notifications/
http://security-sinder.de
http://egosecure.com

EgoSecure GmbH - Head of Professional Services

EgoSecure GmbH

Translate »