Patientendaten in offen zugänglicher Online-Datenbank

Jörg Vollmer, General Manager Field Operations DACH bei Qualys:

Nicht nur bei Schönheitsoperationen sollte es einem jeden von besonderer Bedeutung sein, dass der Nachbar nicht einsehen kann, was der Arzt gerichtet hat, oder wie viel Geld dafür ausgegeben wurde. Gerade dieses Gut der persönlichen Datensicherheit wurde von einigen Ärzten in Frankreich mit Füßen getreten.

Grund dafür ist, dass sie ihrer Sorgfaltspflicht für die sichere Aufbewahrung der Informationen nicht nachgegangen sind. Sie legten diese in einer Medizin-Cloud im Internet ab. Entgegen weit verbreitetem Glauben ist nicht der Anbieter der Cloud, sondern weiterhin das Unternehmen in der Verantwortung, dafür zu sorgen, dass die Datenpakete nur von berechtigten Personen eingesehen werden können.

Regelmäßig wird das Internet nach offenen Servern oder Datenbanken durchforstet. Diesmal konnte ein Sicherheitsteam in der Amazon-AWS-Cloud eine ungesicherte Datenbank feststellen. Die in etwa 900.000 Datenpakete entstammen Patientenakten. Der Betreiber der Datenbank war das Unternehmen Nextmotion. Die Ärzte, die auf die Tools zugriffen, um beispielsweise Akten in einer vermeintlich sicheren Umgebung abzulegen, gingen davon aus, dass die Akten dort sicher sind.

Sicherheitsexperten konnten den Daten Personen zuordnen und damit Rückschlüsse auf unter anderem Finanzinformationen ziehen. Das Unternehmen Nextmotion verliert damit den Ruf, Daten sicher zu speichern und das Vertrauen zu seinen Kunden ist beschädigt.

Letztendlich begeht jeder Arzt, welcher seine Klinikdaten in der Cloud abgespeichert hat, einen Verstoß gegen die DSGVO. Dies ergibt sich daraus, dass Nextmotion als Auftragsdaten-Verarbeiter auftritt, aber der Mediziner selbst für die Daten haftet. Da es sich um die Medizinbranche handelt und damit um sehr vertrauliche persönliche Informationen, ist von einem gravierenden DSGVO-Verstoß auszugehen. Zahlreiche Beispiele zeigen, dass hier hohe sechsstellige Beträge im Raum stehen.

Wie sich Organisationen präventiv schützen können

Auch dieser Fall zeigt wieder deutlich, dass die Anforderungen an den Datenschutz gerechtfertigt sind. Mediziner arbeiten immer mobiler und gehen für verschiedene Tätigkeitsfelder, wie Arztberichte schreiben, nicht mehr zwingend in die Praxis, sondern bleiben im Home-Office. Die Cloud wird daher immer beliebter. Gerade diese Entwicklung macht es notwendig, dass im Falle dessen, dass eine Cloud für personenbezogene Daten zum Einsatz kommt, der richtige Anbieter gewählt wird. Es macht Sinn, sämtliche relevanten kritischen Sicherheitsfragen zu stellen, denn schlussendlich haftet derjenige, welcher in erster Instanz für die Datenverarbeitung berechtigt wurde. Vorausgesetzt ist, dass die IT-Sicherheitsteams und die des Cloud-Providers effektiv zusammenarbeiten, was nicht immer der Fall ist. Denn selbst wenn die Cloud-Anbieter deutlich kommunizieren, wofür sie verantwortlich sind, kommt es trotzdem oft zu Missverständnissen und Sicherheitsmängeln. Häufig hat das mit schlechten Datenbank-Implementierungen oder unsicheren Speichern mit Standardkonfigurationen zu tun. Besonderes Augenmerk sollte zusätzlich dem Schwachstellenmanagement zugesprochen werden. Dieses sollte in dem cloudbasierten Service enthalten sein und eine Übersicht darüber bieten, wo die IT-Ressourcen anfällig sind, beziehungsweise wie sie geschützt werden können. Dies ist für einen ganzheitlichen Schutz der Datenpakete unabdingbar.

#Qualys