Psychiatrische Patientendaten sind ein beliebtes Ziel für Cyberkriminelle und benötigen maximalen Schutz

It-Sicherheit

Veröffentlicht 22.01.2021 11:10

Ende Oktober stellte sich heraus, dass dem finnischen Psychotherapie-Anbieter Vastaamo insgesamt rund zehn Gigabyte vertraulicher Patientendaten gestohlen wurden. Das Privatunternehmen hatte zwischen 2018 und 2019 gleich zwei Datenlecks zu beklagen, in denen Cyberkriminelle die Notizen von mehr als 2000 Patienten entwendet haben. Die skrupellosen Datendiebe richteten daraufhin erpresserische Anschreiben an die im erbeuteten Datensatz dokumentierten Patienten, worin Sie ihre Opfer zur Zahlung von umgerechnet 200 Euro in Bitcoin aufforderten – andernfalls würden Sie deren äußerst sensible Daten im Internet veröffentlichen.

Die finnische Innenministerin Maria Ohisalo nannte den Vorfall „schockierend“; der Verantwortliche bei Vastaamo wurde inzwischen entlassen und die zuständige Aufsichtsbehörde hat Ermittlungen angekündigt. Doch der Schock bei den Opfern sitzt tief. Ein unzumutbarer Zustand, wenn man bedenkt, dass Patienten mit psychologischen Erkrankungen zu den besonders schutzbedürftigen Personengruppen gehören. So sieht es auch der deutsche Gesetzgeber: Psychiatrische Befunde zählen zu den Patientendaten, gelten somit als besonders sensibel und dürfen gemäß BDSG (neu) und DSGVO nicht ohne persönliche Einverständniserklärung der behandelten Person weitergereicht werden. Außerdem sind zu ihrem Schutz besondere Maßnahmen zu treffen.

Wie konnte es also zu solch einem verheerenden Datenleck kommen? Zwar liegen zum jetzigen Zeitpunkt noch keine detaillierten forensischen Untersuchungsergebnisse vor – man kann aber davon ausgehen, dass die digitalen Patientenbefunde nicht ausreichend geschützt gelagert, kommuniziert oder verarbeitet wurden.

Zweckbindung und minimale Zugriffsrechte

Zugriff auf Patientendaten – besonders wenn sie digital gespeichert werden – sollten nur diejenigen Personen erhalten, die diese auch für konkrete Behandlungen oder medizinische Maßnahmen am Patienten benötigen. Dies gilt umso mehr bei Patienten, die sich in psychiatrischer Behandlung befinden. Leider sind psychische Erkrankungen nach wie vor mit Stigmata behaftet. Auch wenn dies oft unterbewusst und gegen besseres Wissen geschieht, so werden die Betroffenen von vielen Mitmenschen als unzurechnungsfähig oder unberechenbar abgestempelt. Dabei handelt es sich bei psychischen Leiden in vielen Fällen um behandelbare Symptome einer erklärbaren Grunderkrankung. Um dieser besonderen Problematik gerecht zu werden, benötigen psychiatrische Diagnosen einer verantwortungsvollen Handhabe hinsichtlich derer Aufbewahrung und Weitergabe. Es sollten nur behandelnde Ärzte und Pflegepersonal auf relevante Befunde Zugriff erhalten. Schließlich dienen sie einzig der Behandlung der Erkrankung sowie dem Wohle des Patienten und unterliegen deshalb einer strengen Zweckbindung. Um einen unberechtigten Zugriff von vornherein unterbinden zu können, müssen zumindest alle notwendigen, technischen Vorkehrungen getroffen werden.
Lückenloser Datenschutz auf technischer Seite kann zwar persönliches Fehlverhalten nicht ausschließen; er ist aber die effektivste Maßnahme gegen Datenlecks und sollte als Mindestvoraussetzung für alle medizinischen Einrichtungen betrachtet werden.

Verschlüsselung ist Pflicht, versiegelte Verarbeitung ist die Kür

Zu den wichtigsten und effektivsten Methoden, unberechtigten Zugriff oder die unzulässige Weitergabe von Daten an Dritte zu verhindern, zählt die Verschlüsselung der Daten. Im besten Fall sollten schützenswerte Datensätze nicht nur verschlüsselt gespeichert und übertragen werden; vor allem bei deren Verarbeitung gelten zusätzlich besondere Sorgfaltspflichten. Denn Daten müssen vor Ihrer Verarbeitung immer entschlüsselt werden – eine verschlüsselte Verarbeitung ist mit modernen homomorphen Verschlüsselungsverfahren zwar möglich, aber enorm rechenintensiv und somit noch nicht alltagstauglich.

Das heißt, jedes Mal, wenn ein behandelnder Psychiater oder eine Pflegekraft die Patientenakte am Computer bearbeitet, sind die darin enthaltenen Informationen potenziell angreifbar. Doch selbst bei der automatischen Auswertung mit Hilfe von Programmen und Algorithmen liegen die Daten in unverschlüsselter Form vor und können von findigen Kriminellen abgeschöpft werden. Um diese Achillesverse der Datenwirtschaft zu schützen, besteht die Möglichkeit, die Verarbeitung auf versiegelte Rechenzentren auszulagern. Diese Server sind von der Außenwelt abgeschirmt und befinden sich buchstäblich hinter Schloss und Riegel in Metallkäfigen, die über reduzierte Schnittstellen verfügen und mit Sensoren und elektromechanischen Schlössern gesichert sind. Jeglicher unbefugte Zugriff – sowohl online als auch lokal – auf die datenverarbeitenden Segmente (die sog. Data-Clean-Up-Area) ist so während der Verarbeitung technisch ausgeschlossen. Bei einem Zugriffsversuch wird der Data-Clean-Up ausgelöst. Das heißt, die Sitzungen der Nutzer auf den betroffenen Servern werden automatisch auf nicht betroffene Segmente umgelenkt und sämtliche Daten in den betroffenen Segmenten werden gelöscht.

Mit dieser Methode – auch Zero-Knowledge-Computing oder Confidential Computing genannt – lässt sich die letzte verbliebene Sicherheitslücke der Datenverarbeitungskette systematisch und zuverlässig schließen.

Wenn man den Datenschutz ernst nimmt – und das sollte man, gerade wenn es um schützenswerte Daten wie psychiatrische Patientendaten geht – kann man technisch bedingte Datenlecks praktisch ausschließen. Denn ein Hacker beißt sich an einer nach modernen Standards verschlüsselten Datei die Zähne aus – immer vorausgesetzt, er befindet sich nicht im Besitz des Schlüssels.

Medizinisches Fachpersonal muss über IT-Risiken informiert werden

Nicht jeder Arzt oder Therapeut ist automatisch auch ein IT- oder Rechtsexperte. Doch Unwissenheit schützt weder vor Strafe, noch verhindert sie das große Leid, das Patienten bei einem Datendiebstahl droht. Es ist deshalb von äußerster Wichtigkeit, dass sich jedes Krankenhaus und jede Praxis Rat von Experten einholt, was ihre Pflichten anbelangt und welche technischen Voraussetzungen ihre IT-Infrastruktur erfüllen muss, um die Datensicherheit ihrer Patienten zu jedem Zeitpunkt gewährleisten zu können.

Patientendaten auf dem Flohmarkt?

Nur so können besorgniserregende Vorfälle wie das Datenleck in Finnland oder der haarsträubende Vorfall der psychiatrischen Klinik der Münchner LMU vor zehn Jahren vermieden werden. In letzterem Fall wurde eine Festplatte mit unverschlüsselten psychiatrischen Akten auf einem Flohmarkt aufgefunden. Zwar liegt der Fall schon einige Zeit zurück, doch zeigt er eindrücklich, wie wenig gewissenhaft oftmals mit sensibelsten personenbezogenen Informationen umgegangen wird. Dabei muss man den Verantwortlichen noch nicht einmal böse Absicht unterstellen. Wahrscheinlich waren sie sich einfach der Implikationen ihres Handelns nicht bewusst. Alte Hardware wird ersetzt, ohne sich über den weiteren Verbleib der darauf befindlichen Daten zu kümmern. Ganz nach dem Motto „aus den Augen, aus dem Sinn“. Um einem solchen Vorfall effektiv vorzubeugen sollten alle sensiblen Daten ausschließlich im System verarbeitet werden. Wenn dies aus irgendeinem Grund nicht möglich ist, sollte zumindest ein Audit Log erfolgen, um eine umfassende Transparenz zu erhalten, wer wann auf welche Dokumente zugegriffen hat.

Natürlich kann man nicht von jeder medizinischen Fachkraft erwarten, dass sie sich über alle technischen Möglichkeiten oder Schwachstellen zu jeder Zeit auf dem Laufenden hält. Ihre Zeit ist deutlich besser damit verbracht, wenn sie ihre medizinische Fachkunde zum Wohle ihrer Patienten einsetzen. Umso wichtiger ist es daher, Best Practices zu befolgen und datenschutzkonforme Prozesse im eigenen Betrieb zu etablieren. Bei großen medizinischen Einrichtungen wie Krankenhäusern ist es vor allem am Datenschutzbeauftragten gelegen, die Ärzte und Pfleger über die häufigsten und folgenschwersten Fehler beim Datenschutz aufzuklären sowie ihnen die sichersten technologischen Hilfsmittel und Dienste zur Verfügung zu stellen.

Denn ein Fall wie der in Finnland darf sich unter keinen Umständen wiederholen.

Autor: Ulrich Ganz, Director Software Engineering bei uniscon - A member of TÜV SÜD


Lesen Sie mehr zum Thema "Aus dem Markt"

Weil jede Sekunde zählt
Aus dem Markt
Im Schwarzwald-Baar Klinikum kommen Notfalldaten aus dem Rettungswagen direkt in die Notaufnahme
Weltweit erste CE-zertifizierte Befundlösung für alle Körperregionen
Aus dem Markt
RadioReport: schnell, vollständig, qualitativ hochwertig und standardisiert befunden

Lesen Sie hier die neuesten Beiträge