Spektrum

Nach Datenklau in den USA

Patientendaten billig abzugeben

London / Stuttgart - 26.10.2016, 15:00 Uhr

Datenschutz im Gesundheitswesen ist eine der großen Herausforderungen – auch für Apotheken. (Foto: Yvonne Weis / Fotolia)

Gestohlene Patientendaten werden im Internet laut einer Studie zum Teil schon für wenige Cent verkauft. Die IT-Sicherheitsfirma Intel Security fand im Netz in einer Untersuchung Angebote zwischen 3 US-Cent und 2,42 Dollar pro Datensatz. Diese stammen zwar aus den USA, doch auch in Deutschland ist Datenklau ein Thema.

Patientendaten, die zuvor in großem Stil bei Einrichtungen aus dem Gesundheitswesen entwendet werden, sind offensichtlich im Internet für wenig Geld zu haben. Im Netz finden sich Angebote zwischen 3 US-Cent und 2,42 Dollar pro Datensatz, hieß es in dem am Mittwoch veröffentlichten Bericht. Damit liegt der „Gewinn“ beim Verkauf dieser Daten noch unter dem für Finanzdaten, im Durchschnitt 15 bis 25 US-Dollar. Der Bericht hat allerdings einen starken Fokus auf die USA. So sei in einem Fall eine Datenbank mit 397.000 Personen aus Atlanta in den USA angeboten worden.

Auch wenn diese Zahlen aus den USA stammen, ist Diebstahl von Patientendaten nicht nur ein US-amerikanisches, sondern ein weltweites Problem. Auch in Deutschland gibt es immer wieder Fälle. So soll 2013 ein Systemadministrator eines medizinischen Rechenzentrums große Mengen an vertraulichen Patientendaten aus Arztpraxen und Apotheken kopiert haben. Im Jahr zuvor waren Zehntausende von hochsensiblen Patientenakten aus zwei Einrichtungen des Klinikums Mittelbaden entwendet worden.

Datenlecks bei deutschen Kassen

Auch bei Krankenkassen gibt es offenbar Datenlecks. So stellte erst im vergangenen März ein Redakteur der Rheinischen Post fest, dass er mit einem Namen, der Versichertennummer und dem Geburtsdatum bei der Barmer GEK mit einem einzigen Anruf die im System hinterlegte Postadresse auf eine fiktive ändern lassen konnte. Daraufhin erhielt er einen Brief mit Sicherheitsschlüssel für den neu beantragten Online-Zugang und hatte schnell Zugang zu durchgeführten Behandlungen – und konnte beispielsweise auch einen Auslandskrankenschein beantragen.

Nach Recherchen des „heute-journal“ scheint das kein Barmer-spezifisches Problem zu sein, sondern es hakt offensichtlich ganz gewaltig im System. Laut einem im Juni gezeigten Beitrag ist es ohne spezielle Hackerkenntnisse möglich, an Gesundheitskarten und sensible Patientendaten wie die Medikation zu kommen, weil die Krankenkassen keine Identitätsprüfung durchführen. Weil sich die Kassen nicht an die gesetzliche Vorgabe halten, dass „bei einer Eingabe über öffentlich zugängliche Netze ein sicherer Identitätsnachweis nach § 18 des Personalausweisgesetzes […] erfolgen“ muss, werden sämtliche Sicherheitskonzepte ausgehebelt, so das ZDF.

Datenschutzlücken bei vielen Apotheken-Shops

Auch bei Shops von Apotheken waren in der Vergangenheit verschiedene Sicherheitsprobleme aufgezeigt worden: 74 Prozent der Versandapotheken müssten beim Datenschutz nachbessern, wie eine Studie des Preisvergleich-Portals Sparmedo ergab. Bei 60 Prozent gäbe es Probleme bei der sicheren Übertragung der sensiblen Daten, da die Shops zum Teil unsichere externe Elemente mit in die Seite einbinden – oder Verschlüsselungs-Zertifikate mit bekannten Sicherheitslücken benutzen. Häufig würden auch Nutzerdaten an Drittanbieter weitergegeben, ohne dass die Kunden immer über die Datenschutzhinweise aufgeklärt werden. Auch hielt mindestens jeder dritte Shop die Server-Software nicht aktuell – oft fehlten aktuelle Updates.

Viele Apotheker sollten also wohl bei ihren Anbietern nachfragen, ob die jeweilige Lösung wirklich datenschutzkonform ist. Ein erstes Indiz ist, ob auf der Seite durchgehend in der Browser-Leiste ein geschlossenes, grünes Schloss angezeigt wird. Sparmedo hat außerdem eine Checkliste zusammengestellt, was zu beachten ist.

dpa / jb
redaktion@daz.online

Diesen Artikel teilen: