bookmark_borderNeuss: Lukaskrankenhaus durch Computer-Virus lahmgelegt!

gesundheitskontextIm Westen (leider) nichts Neues“ – ist man geneigt zu sagen, wenn das Thema nicht so ernst wäre. In der Tat dürfte dem geneigten Beobachter in den letzten Jahren nicht entgangen sein, dass die Verwundbarkeit von Medizintechnik und IT in unseren medizinischen Einrichtungen in den letzten Jahren stark zugenommen hat. Die Gründe sind aus unserer Sicht vielfältig, beginnend mit mangelndem Verständnis der Risiken auf Leitungsebene und der daraus folgenden Unterfinanzierung der IT/IT-Security. Weiterhin werden den Anwendern häufig Freiheitsgrade in der Nutzung der IT zugestanden, die andernorts seit langem nicht mehr erlaubt sind, z.B. private Hardware, private Software. Schlussendlich sind viele Medizingeräte im Grunde für einen Standalone-Betrieb konzipiert und sollten nicht ohne zusätzlichen Schutz vernetzt werden.

Was also tun? Continue reading „Neuss: Lukaskrankenhaus durch Computer-Virus lahmgelegt!“

bookmark_borderHIV Patienten durch falschen Umgang mit E-Mail „geoutet“

 Picture: D. Spura, Some rights reservedIn Unternehmen ist das Problem bekannt: Ein falscher Klick auf „Allen antworten“ statt „Antworten“ im E-Mail-Client und schon werden hunderte Arbeitskollegen mit einer belanglosen Antwort belästigt. Ebenfalls ist vielen der Unterschied zwischen „To“,“CC“ und „BCC“ nicht bekannt.

Leider wurde genau dies den Patienten von einem Londoner Krankenhaus zum Verhängnis. Dort wurden 780 Patienten, die hauptsächlich aufgrund Ihrer HIV-Infektion behandelt werden, per E-Mail über neue Telefonnummern zur Beratung informiert. Dabei standen im „An“-Feld alle Patienten mit vollem Namen, sodass alle Empfänger sehen konnten welche Personen ebenfalls diese E-Mail erhalten haben.

Continue reading „HIV Patienten durch falschen Umgang mit E-Mail „geoutet““

bookmark_borderMasterthesis: IT-Sicherheitsgesetz – Zertifizierung/Förderung der Cyber-Sicherheit im Gesundheitswesen

h-brs
Hochschule Bonn-Rhein-Sieg, Picture: tohma, some rights reserved.

Zur Steigerung der Cyber-Sicherheit sogenannter „kritischer Infrastrukturen“ (kurz: KRITIS) trat am 25. Juli 2015 das neue IT-Sicherheitsgesetz in Kraft, siehe Bundesamt für Sicherheit in der Informationstechnik und heise.de. Zu den KRITIS-Einrichtungen zählen insbesondere auch Krankenhäuser und Kliniken. Zur Sicherstellung und Bewahrung eines „angemessen hohen“ Sicherheitsniveaus wird von den KRITIS-Einrichtungen und deren Betreibern unter anderem gefordert, dass sie innerhalb der kommenden zwei Jahre das Sicherheitsniveau durch IT-Sicherheitsaudits und -Zertifizierungen nachweisen. Weiterhin müssen die Betreiber die Einhaltung eines hohen Sicherheitsniveaus alle zwei Jahre nachweisen.

Das Anstreben einer IT-Sicherheitszertifizierung ist meist mit hohen finanziellen und organisatorischen Aufwänden verbunden. Der tatsächliche Aufwand und der Nutzen einer Zertifizierung sind dabei stark von dem genutzten Standard abhängig.

Continue reading „Masterthesis: IT-Sicherheitsgesetz – Zertifizierung/Förderung der Cyber-Sicherheit im Gesundheitswesen“

bookmark_borderFall Schuhmacher: „IP-Adresse des Krankenaktenverkäufers ermittelt“

IP Adresse
IP Adresse

Nachdem wir diesen Fall mit einem Blogeintrag kommentiert haben, wurde  in den Medien heftig spekuliert wurde, wie und wann die Daten abhanden gekommen sind. Heute gab es dazu die Meldung, dass man „die IP-Adresse des Krankaktenverkäufers“ ermittelt habe. Dieses Vorgehen folgt der klassischen Methode des Rückverfolgens, die versucht aus der Kontaktaufnahme Informationen über den Täter zu ermitteln. Selbstverständlich stehen noch viel weitergehenden Methoden zur Verfügung, um eine elektronische Spur nachzuverfolgen, beispielsweise die Analyse der Datei, welche den Auszug aus der Patientenakte beinhaltete. Handelt es sich um eine exportierte Datei einen Krankenhausinformationssystems oder um einen Scan – gibt es Spuren, die verwendete Geräte und  bestimmte Softwareversionen hinterlassen haben?

Continue reading „Fall Schuhmacher: „IP-Adresse des Krankenaktenverkäufers ermittelt““

bookmark_borderSchuhmacher Opfer eines „Datenklaus“ – Die Sicht der IT-Sicherheit

Schumacher
Foto: Tim Evanson, some rights reserved

Medienberichten zufolge wurde die Krankenakte von Formel-1 Rennfahrer Michael Schuhmacher „gestohlen“ und zum Kauf für umgerechnet 50.000 Euro angeboten. Die Dokumente bzw. Daten sollen aus dem Klinikum Grenoble, Frankreich stammen. Medien aus Frankreich und der französischen Schweiz, Michael Schuhmachers Wahlheimat, haben die Meldung aufgenommen und um Details ergänzt. Selbstverständlich ist dieses Verhalten der Täter moralisch (und juristisch) aufs Schärfste zu verurteilen und unser Mitgefühl gilt den betroffenen Angehörigen.

Was aber bedeutet dieser Fall aus einer fachlichen, aus einer IT-Sicherheits-Sicht?

Continue reading „Schuhmacher Opfer eines „Datenklaus“ – Die Sicht der IT-Sicherheit“

bookmark_borderMangelnde Sicherheit bei Medizingeräten?

Die Medien berichteten in den letzten Tagen (mal wieder), wie „unsicher“ doch  viele Medizingeräte seien und dass noch nicht einmal die elementarsten  Schutzmaßnahmen, wie zum Beispiel sichere Passworte, implementiert sind, siehe. Und im Übrigen schnitten deutsche Krankenhäuser im internationalen Vergleich in Bezug auf die Datensicherheit auch eher schlecht ab. Continue reading „Mangelnde Sicherheit bei Medizingeräten?“

bookmark_borderKommentar: Neue Orientierungshilfe Krankenhausinformationssysteme

Orientierungshilfe

Bereits 2011 wurde die erste Fassung der „Orientierungshilfe Krankenhausinformationssysteme“ herausgegeben. Mittlerweile wurde eine zweite, überarbeitete Fassung veröffentlicht, die eine „bessere Lesbarkeit und Übersichtlichkeit“ verspricht. Wir geben Ihnen unseren ersten Eindruck wieder und berichten, ob die Orientierungshilfe ihren Kinderkrankheiten tatsächlich entflohen ist.

Continue reading „Kommentar: Neue Orientierungshilfe Krankenhausinformationssysteme“

bookmark_borderPatientendaten in der Public Cloud?

Ein interessanter, da lehrreicher Vorfall, hat sich vor kurzem in England ereignet (Quelle: The Register).

Ein Beratungsunternehmen, das sich sich auf die Analyse von großen Datenmengen, wie sie im Gesundheitswesen ja durchaus üblich sind, spezialisiert hat, veröffentlicht zunächst einen Bericht, aus dem hervorgeht, das die NHS (das staatliche Gesundheitssystem in Großbritannien) über eine riesige Datensammlung verfügt, die es analysieren lassen möchte. Auf einer 1 Terrabyte großen Platte wurden demanch „große Mengen detaillierter Daten von allen Krankenhäuserm Englands“ übermittelt. Das allein sollte schon zu denken geben. Continue reading „Patientendaten in der Public Cloud?“

bookmark_borderBillig UND gut? Open Source Security Tools im Gesundheitswesen

Logo der Open Source Initiative
Logo der Open Source Initiative

Oft sind es begrenzte IT Budgets in medizinischen Einrichtungen, welche den Einsatz professioneller, kommerzieller Sicherheitslösungen verhindern. In diesem Fall können Open Source Security Lösungen für Krankenhäuser eine echte Alternative sein.

Continue reading „Billig UND gut? Open Source Security Tools im Gesundheitswesen“

bookmark_borderRED Medical: Siegel gut, alles gut?

Laut Gütesiegel Kurzgutachten ist „RED Medical (im Folgenden kurz RED genannt) eine Webapplikation, die alle administrativen und medizinischen Prozesse einer Arztpraxis unterstützt.“ Durch den Einsatz einer elektronischen Patientenakte sind die erfassten Daten, auch von externen Geräten, immer zentral gespeichert und auf dem neusten Stand. Diese zentrale Datenspeicherung bei einem externen Dienstleister bedarf einer besonderen Absicherung, um die ärztliche Schweigepflicht im Sinne des § 203 StGB zu gewährleisten. Continue reading „RED Medical: Siegel gut, alles gut?“