Die am häufigsten verwendeten Passwörter im Gesundheitswesen
Mitarbeiter:innen im Gesundheitssektor nutzen am liebsten “123456“ als Passwort
Angesichts dieser Fahrlässigkeit wundert es nicht, dass derart viele Gesundheitsdaten im Darknet zu finden sind.
Die Mitarbeiter:innen im Gesundheitswesen, die für die finanzstärksten Unternehmen der Welt arbeiten, nutzen sehr schwache Passwörter für ihre beruflichen Konten, das zeigt eine neue Studie von NordPass. Cybersicherheits-Experten fordern Unternehmen zwar immer wieder auf, ihre Firmenkonten besser zu schützen, dennoch führen Passwörter wie „123456“, „password“ und „12345“ weiter die Liste an.
Im Folgenden finden Sie die 10 am häufigsten verwendeten Passwörter im Gesundheitswesen:
1. 123456 2. password 3. teil des firmennamens* 4. 12345 5. aaron431 6. teil des firmennamens2012* 7. Teil des firmennamens* 8. TEIL DES FIRMENNAMENS443* 9. firmenname2014* 10. linkedin
*Dieses Passwort bezieht sich direkt auf ein Unternehmen. NordPass nennt das genaue Unternehmen nicht. Es erwähnt das Format, in dem dieses Passwort verwendet wurde, zum Beispiel die Abkürzung des Unternehmensnamen, ein Teil des Namens oder der Name kombiniert mit anderen Worten oder Symbolen.
Interaktives Festival mit Aktionen rund um Daten und Künstliche Intelligenz
Am Freitag, 30.06.2023, und Samstag, 01.07.2023, veranstaltet NEXUS Experiments auf dem Campus Flugplatz der Universität Freiburg ein interaktives Festival mit Aktionen rund um Daten und Künstliche Intelligenz
Das Sammeln personalisierter gesundheitsbezogener Daten und deren Auswertung durch selbstlernende Künstliche Intelligenz-Systeme wird von einigen als unumgänglicher Weg in die Zukunft gesehen. Andere äußern Bedenken, dass künftig Algorithmen auf Basis der gesammelten Daten über die individuelle Anerkennung in der Gesellschaft entscheiden. Das Festival „Data Wonderland“ lädt die Besucher*innen ein, sich niedrigschwellig mit wissenschaftlichen Erkenntnissen zu Daten und Künstlicher Intelligenz zu befassen. Vielfältige Aktionen regen dazu an, sich mit den Chancen und Risiken des Sammelns und Nutzens gesundheitsbezogener Daten auseinanderzusetzen.
Nach jetzigem Stand richtete sich der Angriff gegen medatixx als Unternehmen, nicht gegen die Kunden.
Version 1.0 Eltville & Bamberg, 08.11.2021, 12 Uhr
Das Unternehmen wurde Mitte vergangener Woche Ziel eines Cyber-Angriffs, bei dem wichtige Teile des internen IT-Systems verschlüsselt wurden. Infolgedessen sind die Erreichbarkeit sowie der gesamte Unternehmensbetrieb derzeit stark beeinträchtigt.
Sensible Daten müssen über sichere Kommunikationswege übermittelt werden
7. September 2021 – Mit einem Telefaxgerät Patienteninformationen oder andere Gesundheitsdaten zu übermitteln, ist rechtswidrig. Darauf weist die Landesbeauftragte für Datenschutz und Informationsfreiheit in Bremen hin. Außerdem sei „zur Übertragung besonderer Kategorien personenbezogener Daten […] die Nutzung von Fax-Diensten unzulässig.“ Die Aufsichtsbehörde begründet ihren Hinweis mit dem mangelnden Schutzniveau von Faxsendungen beim Empfang, das dem Postkartenversand entspreche.
Verbraucherzentrale Hamburg bittet Betroffene, Missstände zu melden
Die Verbraucherzentrale Hamburg begrüßt das neue „Gesetz zur Weiterentwicklung der Gesundheitsversorgung“. Es setzt den Krankenkassen unter anderem engere Grenzen, in denen sie persönlichen Daten von Krankengeldbezieherinnen und -beziehern erheben dürfen. Dennoch sind die Verbraucherschützer skeptisch, dass die Krankenkassen in der Praxis den neuen Bestimmungen in Gänze folgen werden.
„Unter dem Deckmantel der Mitwirkungspflicht haben die Krankenkassen in der Vergangenheit immer wieder Druck ausgeübt und Menschen, die Krankengeld beziehen, zur Preisgabe von sensiblen Patientendaten bewegt“, so Dr. Jochen Sunken von der Verbraucherzentrale Hamburg. „Ob die Kassen diese Praxis von heute auf morgen ändern werden, bleibt abzuwarten. Schließlich konnten sie durch das sogenannte Krankengeldfallmanagement viel Geld sparen.“
Aktuell müssen sich Ärzte und Psychotherapeuten mit ihren Praxen an die TI anschließen, andernfalls werden sie mit Honorarabzug bestraft.
FÄ-Vize Dr. Silke Lüder: „Die einzige Antwort darauf kann nur sein: Stopp der TI und des Anschlusszwangs“
In der Antwort auf eine aktuelle Anfrage der FDP-Bundestags-fraktion teilt das Bundes-gesundheitsministerium mit: Für die Telematikinfrastruktur (TI) gebe es bisher keine Daten-schutzfolgenabschätzung. Die Freie Ärzteschaft fordert aus diesem Anlass erneut und entschieden, die Einführung der TI zu stoppen und die Pflicht der Ärzte sowie Psychotherapeuten zum Anschluss an die TI zurückzunehmen. „Jede Verarbeitung von sensiblen persönlichen Daten erfordert vorab eine Datenschutz-folgenabschätzung, und das verpflichtend“, sagte FÄ-Vize Dr. Silke Lüder mit Verweis auf die Datenschutzgrundverordnung (DSGVO) am Montag in Hamburg.
Das gelte vor allem, wenn „bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ bestehe, wie es in dem Gesetz heißt. Lüder betont: „Das ist bei der Telematikinfrastruktur sicher der Fall. Immerhin sollen in dem Netz medizinische Daten von 70 Millionen gesetzlich versicherten Bundesbürger gespeichert werden.“ Diese Datenschutzfolgenabschätzung hätte vor Einführung der TI und vor der gesetzlichen Verpflichtung der Arzt- und Psychotherapiepraxen zum Anschluss an die TI durchgeführt werden müssen – dies hätten auch der Bundesdatenschutzbeauftragte sowie die Kassenärztliche Bundesvereinigung mehrfach eingefordert. „Geschehen ist allerdings nicht – und das ist ein Skandal“, macht die FÄ-Vize klar. „Gelten die Datenschutzgesetze für Bundesgesundheitsminister Jens Spahn etwa nicht?“
Die Sicherheit der Patientendaten in der TI ist ohnehin äußerst zweifelhaft.
„Nachdem beim Chaos Communication Congress kürzlich öffentlich wurde, dass sich
Unbefugte ohne Probleme Praxis-, Arzt- und Patientenausweise als
Zugangsschlüssel zur TI besorgen konnten, ist klar, dass wichtige
Datensicherheitskriterien wie Vertraulichkeit und Integrität nicht erfüllt
sind“, berichtet Lüder. Deshalb sei inzwischen sogar die Ausgabe von Praxis-
und Arztausweisen gestoppt worden. Verstöße gegen den Datenschutz könnten seit
Mai 2018 laut DSGVO mit Strafen in Millionenhöhe geahndet werden.
Diese Gemengelage bringe Arztpraxen in eine derzeit
unlösbare Situation. „Wer sich an die TI angeschlossen hat oder anschließt“,
erläutert die FÄ-Vizevorsitzende, „riskiert eindeutig Verstöße gegen die
Datenschutzgesetze, weil die verpflichtende Datenschutzfolgenabschätzung fehlt.
Wer sich nicht anschließt, wird mit Honorarabzug bestraft. Da derzeit keine
Praxis- und Arztausweise ausgegeben werden, könne man sich selbst dann nicht an
die TI anschließen, wenn man wollte – trotzdem gebe es hohe finanzielle
Strafen. „Die Sanktionen von Herrn Spahn kann man unter den gegebenen Umständen
nur als rechtswidrige Erpressung bezeichnen. Der Minister trägt Verantwortung
sowohl für die Sanktionen gegen die Praxen als auch für die fehlende
Datenschutzfolgenabschätzung – ein Skandal. Die einzige Antwort darauf kann nur
sein: Stopp der TI und des Anschlusszwangs.“
Sehr geehrte Abgeordnete des Deutschen Bundestags,
Sie werden am 7. November 2019 im Bundestag über das Digitale-Versorgung-Gesetz abstimmen. Wir möchten Sie eindringlich davor warnen, mit diesem Gesetz der zentralen Massenspeicherung von sensiblen Gesundheitsdaten den Weg zu bereiten. Bereits seit 2014 werden Routinedaten der Krankenkassen über das Informationssystem Versorgungsdaten (Datentransparenzverfahren auf Basis der §§ 303a bis 303e SozialgesetzbuchV) aufbereitet. Nun sollen in einem Forschungsdatenzentrum nach § 303d die Gesundheitsdaten aller Versicherten gespeichert, ausgewertet und einer langen Liste von Nutzungsberechtigten zur Verfügung gestellt werden. Die Daten werden im Forschungszentrum lediglich pseudonymisiert gespeichert. Die Sicherheit einer solchen zentralisierten Speicherung von Gesundheitsdaten aller Versicherten ist weder technisch noch organisatorisch zu gewährleisten, wie Nachrichten über Datenlecks und Forschungen zur Re-Identifizierung von Betroffenen in Datensätzen zeigen. Eine Zentralisierung von Gesundheitsdaten widerspricht dem Grundrecht auf Datenschutz und informationelle Selbstbestimmung und damit den Prinzipien der Datenschutz-Grundverordnung (DSGVO). Die Verarbeitung von Gesundheitsdaten ist gemäß Artikel 9 Absatz 1 DSGVO grundsätzlich untersagt und darf nur in engen Grenzen erfolgen. Eine solche Zentralisierung der Gesundheitsdaten ist weder geeignet, erforderlich noch verhältnismäßig. Nicht zuletzt ist fraglich, ob die komplexen Regelungen zur Zusammenführung, Auswertung und Weitergabe von Gesundheitsdaten für die Betroffenen nachvollziehbar sein können. Eine zentrale Datei von Gesundheitsdaten öffnet der Überwachung, der Kontrolle und der Sortierung von Menschen sowie der Diskriminierung bestimmter Risikogruppen Tür und Tor. Der politische und wirtschaftliche Missbrauch solcher Daten muss immer befürchtet und mitbedacht werden. Die meisten von uns haben weitere Kritik an dem Gesetz. Angesichts der bestehenden Probleme mit der Telematik-Infrastruktur, die bisher allenfalls in der Theorie die Sicherung der Gesundheitsdaten gewährleisten kann, und der Tragweite der vom DVG vorgesehenen Veränderungen fordern wir Sie auf, dem DVG nicht zuzustimmen und stattdessen ein Moratorium in der Digitalisierung des Gesundheitswesens zu beschließen. Probleme in der Digitalisierung des Gesundheitsbereichs sind weder mithilfe immer neuer Gesetze noch mit Druck auf die in den Heilberufen Tätigen zu lösen. Dringend geboten ist es, das Konzept der Digitalisierung im Gesundheitswesen insgesamt zu überarbeiten. (1) Zentrale Datensammlungen von Gesundheitsdaten der Bürger und Bürgerinnen sind extrem anfällig für Missbrauch und Sicherheitslücken. Gesundheitsdaten müssen grundsätzlich dezentral und nach Zwecken getrennt verarbeitet werden. (2) Nicht zuletzt deshalb muss jede solche Speicherung für alle Versicherten freiwillig bleiben. Es darf keine Gesundheitsdatenspeicherung durch die Hintertür geben, indem die Krankenkassen, denen viele Daten (insbesondere für Abrechnungszwecke) vorliegen, diese für andere Zwecke als die vorgesehenen verwenden. (3) Grundvoraussetzung für Datenweitergabe und Datenspeicherung muss eine funktionierende Telematik-Infrastruktur sein, die nicht aus Bequemlichkeitsgründen Sicherheits- und Datenschutzlücken akzeptiert.
Mit freundlichen Grüßen gez. Dr. Elke Steven gez. Jan Kuhlmann (Digitale Gesellschaft e.V.) (Patientenrechte und Datenschutz e.V.)
Die Digitale Gesellschaft e.V . ist ein gemeinnütziger Verein, der sich seit seiner Gründung im Jahr 2010 für Grundrechte und Verbraucherschutz im digitalen Raum einsetzt. Zum Erhalt und zur Fortentwicklung einer offenen digitalen Gesellschaft engagiert sich der Verein gegen den Rückbau von Freiheitsrechten im Netz und für die Realisierung digitaler Potentiale bei Wissenszugang, Transparenz, Partizipation und kreativer Entfaltung. (info@digitalegesellschaft.de) Der Verein Patientenrechte und Datenschutz e.V. ist ein Zusammenschluss von Versicherten der gesetzlichen Krankenkassen, der sich für die Wahrung der Patientenrechte im Zeitalter der Digitalisierung einsetzt. Dazu analysieren wir die Risiken, die sich aus der elektronischen Gesundheitskarte in Verbindung mit der geplanten digitalen Vernetzung im Gesundheitswesen (sog. „Telematikinfrastruktur“) sowie anderen Formen der Verarbeitung und Verwendung sensibler Patientendaten ergeben. Hieraus entwickeln wir Ansätze zur Minimierung dieser Risiken
Wenn Patienten bei Ärzten mehr über den Datenschutz wissen wollen, dann reagieren fast alle Mitarbeiter*innen in den Praxen verärgert. Dieser Fall zeigt, dass hier viel mehr Kontrolle notwendig ist.
Mehrere tausend Patientendaten sind offen im Internet abrufbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde über diesen Sachverhalt von IT-Sicherheitsforschern informiert und hat daraufhin die betroffenen medizinischen Einrichtungen anhand der ihm vorliegenden IP-Adressen in Kenntnis gesetzt. In drei Fällen konnte das BSI die Einrichtungen direkt kontaktieren, in 14 weiteren Fällen wurden die jeweiligen Internet-Service-Provider gebeten, ihre Kunden anhand der IP-Adressen zu identifizieren und zu informieren. Zudem hat das BSI 46 internationale Partnerorganisationen über den Sachverhalt informiert. Das BSI darf nach derzeitiger Rechtslage diese Daten nicht abrufen oder analysieren, auch nicht um die Betreiber der ungesicherten Webserver zu identifizieren. Nach Einschätzung des BSI sind die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden. Dem BSI liegen keine Informationen vor, dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind.
Dazu äußert sich BSI-Präsident Arne Schönbohm wie folgt: „Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient. Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein.“
Nach dem Global Application and Network Security Report 2018-2019 von Radware war das Gesundheitswesen nach der Öffentlichen Hand 2018 die am zweithäufigsten von Cyberattacken betroffene Branche.
Tatsächlich wurden etwa 39 Prozent der Organisationen in diesem Sektor täglich oder wöchentlich von Hackern angegriffen, und nur 6 Prozent gaben an, noch nie einen Cyberangriff erlebt zu haben.
Die zunehmende Digitalisierung im Gesundheitswesen trägt zur Vergrößerung der Angriffsfläche der Branche bei. Und sie wird durch eine Reihe von Faktoren beschleunigt: die breite Einführung von Electronic Health Records Systems (EHRS), die Integration der IoT-Technologie in Medizinprodukte (softwarebasierte medizinische Geräte wie MRTs, EKGs, Infusionspumpen) und die Migration zu Cloud-Diensten. Tatsächlich macht der zunehmende Einsatz von medizinischen IoT-Geräten Gesundheitsorganisationen anfälliger für DDoS-Angriffe: Hacker nutzen infizierte IoT-Geräte in Botnetzen, um koordinierte Angriffe zu starten.
Accenture schätzt, dass der Verlust von Daten und die damit verbundenen Ausfälle die Gesundheitsunternehmen im Jahr 2020 fast 6 Billionen Dollar bzw. Euro kosten werden, verglichen mit 3 Billionen im Jahr 2017. Cyberkriminalität kann in den nächsten vier bis fünf Jahren verheerende finanzielle Auswirkungen auf den Gesundheitssektor haben.
Laut dem bereits erwähnten Radware-Bericht verzeichneten Gesundheitsorganisationen einen deutlichen Anstieg von Malware- oder Bot-Angriffen, wobei auch Social Engineering und DDoS-Attacken stetig wuchsen. Auch wenn die Zahl der Ransomware-Angriffe insgesamt zurückgegangen ist, treffen Hacker die Gesundheitsbranche mit diesen Angriffen weiterhin am stärksten. Und es steht zu erwarten, dass sie Ransomware-Angriffe weiter verfeinern und wahrscheinlich IoT-Geräte hijacken werden, um Lösegelder zu erpressen. Darüber hinaus nimmt das Kryptomining zu, wobei 44 Prozent der Unternehmen einen Kryptomining oder Ransomware-Angriff erleben. Weitere 14 Prozent erlebten beides. Dabei sind nur wenige Gesundheitsdienstleister auf derartige Angriffe vorbereitet.
Warum das Gesundheitswesen? Die Gesundheitsbranche wird aus verschiedenen Gründen angesprochen. Ein ganz wesentlicher ist das Geld. Die Gesundheitsausgaben machen weltweit einen Anteil von 20 Prozent oder mehr des BIP aus, was die Branche zu einem finanziell attraktiven Ziel für Cyberkriminelle macht. Und laut dem Bericht von Radware werden medizinische Daten im Darknet höher gehandelt als Passwörter und Kreditkartendaten.
„Unabhängig von der Motivation stellen Ransomware- und DDoS-Angriffe eine gefährliche Bedrohung für Patienten und Dienstleister dar“, so Michael Tullius, Regional Director DACH bei Radware. „Viele Krankheiten werden zunehmend mit Hilfe von Cloud-basierten Überwachungsdiensten, Embedded-IoT-Geräten und der Selbst- oder automatisierten Verabreichung von verschreibungspflichtigen Medikamenten behandelt. Cyberangriffe könnten dabei das Leben und Wohlergehen der Menschen ernsthaft gefährden.“
Empfehlungen Die Sicherung digitaler Assets kann nicht mehr ausschließlich an die IT-Abteilung delegiert werden, sondern wird zunehmend zur Angelegenheit der Führungsspitze von Gesundheitsdienstleistern. Die Experten von Radware empfehlen eine Reihe von Maßnahmen, um Cyberangriffen im Gesundheitswesen proaktiv zu begegnen: – Kontinuierliche Überwachung und Überprüfung auf gefährdete und kompromittierte IoT-Geräte und im Falle des Falles Durchführung geeigneter Abhilfemaßnahmen – Erstellung und Implementierung von Richtlinien und Verfahren für die Passwortverwaltung für Geräte und deren Benutzer; Sicherstellung, dass alle Standardpasswörter in sichere Passwörter geändert werden. – Installation und Wartung von Antivirensoftware und Sicherheitspatches sowie die Aktualisierung von IoT-Geräten mit Sicherheitspatches, sobald Patches verfügbar sind – Installation und Konfiguration einer Firewall zur Einschränkung des ein- und ausgehenden Datenverkehrs – Gegebenenfalls Segmentierung von Netzwerken Beschränkung des Zugriffs auf Netzwerksegment – Deaktivieren des universellen Plug-and-Play auf Routern, es sei denn, es ist unbedingt erforderlich – Gegebenenfalls Nutzung von Cloud-Diensten spezialisierter Anbieter zur Abwehr von Cyberattacken
Wenn man in diesen Tagen zum Arzt geht, dann wartet dort die Einwilligungserklärung zur Datenschutzgrundverordnung
Rückfragen konnte man stellen, aber zufriedenstellende Antworten gab es nicht. Das ist kein Vorwurf an das Praxispersonal. Hier fehlt einfach das IT-Fachwissen
Ärzte, Krankenhäuser, Therapeuten und andere im Gesundheitswesen tätige Firmen und Personen mussten schon vor Inkrafttreten der DSGVO Patientendaten schützen. Nicht alle haben das auch vorschriftsmäßig getan. So gab es Arztpraxen, die über leicht zugängliche WLAN-Router kommunizierten. Andere wiederum nahmen den billigsten Anbieter zur Wartung ihrer Praxissoftware. Oft mit einer Fernwartungsvereinbarung, aber ohne gesonderte Datenschutzerklärung.
Auch in Krankenhäusern verschwanden Patientendaten. Hier wurden gerne einfache Passwörter benutzt, die von Kriminellen leicht zu knacken waren. Auch die Herausgabe von Patientendaten an Firmen erfolgte da und dort ohne Einwilligung. Arztbriefe wurden ohne Schwärzung der personenbezogenen Daten zum Scannen an externe Dienstleister weitergegeben (wir haben darüber schon berichtet).
Arzthelfer*innen und Mitarbeiter*innen in Krankenhäusern, aber auch Ärzt*innen sind mit der Digitalisierung und der damit verbunden Datenschutzauflagen oft überfordert. Dies ist mit ein Grund, weshalb sie die DSGVO eher widerwillig umsetzen. Das kann man menschlich gesehen zwar verstehen, ändert aber nichts daran, dass die Patient*innen ein Recht auf einen ausreichenden Schutz ihrer Daten haben.
Patient*innen, die nachfragen sind unerwünscht. Wer Auskunft haben will, stört. Man habe dafür keine Zeit, heißt es nicht selten. Das widerspricht natürlich der DSGVO.
Anhang????
Beachten Sie den gelben Punkt auf dem Foto. Wo bitte ist da ein Anhang? Dieser Text ist in Folie geschweißt.
Manche Ärzte wollen den Patienten Newsletter und E-Mails schicken. Dafür wollen Sie natürlich auch die Einwilligung. Leider fehlt da ein Hinweis, dass der E-Mail-Verand verschlüsselt erfolgen soll. Auf Nachfrage erhielt die Patientin die Antwort, dass man das nicht wisse. Man solle einfach unterschreiben, das sei alles in Ordnung.
