Praxissoftware: Daten von über 1 Mio. Patienten ungeschützt im Netz
von caschy | 16 Kommentare
Die Nachrichten der letzten Zeit zeichnen kein gutes Bild für eine Digitalisierung. Sicherheitsforscher zeigen uns oftmals auf, wie einfach es ist, vermeintliche Sicherheit zu umgehen. Nun haben die Sicherheitsforscher rund um zerforschung einmal Praxissoftware bei Ärzten unter die Lupe genommen.
Konkret wird da „inSuite“ erwähnt, ein Werkzeug für Termine, digitalisierte Patientenakten mit angeschlossener Option, Dokumente mit anderen Ärzten zu teilen. Das Ganze soll sicher sein, bestätigt durch Kassenärztlichen Bundesvereinigung und der DQS-Zertifizierungsstelle.
Der langen Rede kurzer Sinn: Die Sicherheitsforscher von zerforschung haben recht flott Zugriff auf Mail-Konten der bei „inSuite“ registrierten Arztpraxen bekommen. Somit wäre der Zugriff auf die Kommunikation möglich gewesen. Weitere Lücken erlaubten den Zugriff auf Patientenakten. Wie viele Daten man hätte abgreifen können? Die von mehr als einer Million Patienten.
Die Sicherheitsforscher informierten das Unternehmen, welches sich erst einmal vorbildlich verhielt und aufgrund der Schwere der Lücken die Systeme herunterfuhr und nacharbeitete. Aber: Bis heute ist nicht bekannt, ob Patienten über die Sicherheitslücke und die abgeflossenen Daten informiert wurden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Würde gerne wissen, ob man selbst betroffen ist und ob man da wohl eine Rückmeldung bekommt?
„ kein gutes Bild für eine Digitalisierung“
Die Digitalisierung kann da am Wenigsten für. Schuld sind Menschen die sich nicht vernünftig kümmern, meinen Ahnung zu haben und das ganze Ding gegen die Wand fahren. Dabei gibt es etliche Beispiele wie es viele Unternehmen schaffen kein Opfer zu sein sondern Profi
…oder es schaffen, dass hierzu nichts veröffentlicht wird!
Einhundertprozentige sicherheit gibt es auch bei papierakten /Karteikarten nicht – aber hier muß ein Datendieb dann schon physische Hindernisse wie Türen, Schlösser , Fenster überwinden. Geht selten ohne Spuren zu hinterlassen und ist eine viel höhere hürde als mal eben über ein ungeschütztes System evtl. vom andern ende der Welt zuzugreifen. Ich schrieb es schon im Zusammenhang mit den unsicheren türschlössern: man sollte überlegen bestimmte besonders sensible Bereiche gar nicht zu digitalisieren und lieber wieder auf papierakten , Karteikarten , physische Zugangshürden bis hin zum resor, und den Kontakt von mensch zu mensch zurückzukehren. Digitales Lehrgeld haben wir endkunden, und gerade dort wo wir unsere Daten andern anvertrauen genug bezahlt. Und das schreibe ich obwohl ich auch Streaming oder e-Mail nutze . Aber eben für Dinge die nicht extrem persönlich sind wie Bank-, Arzt oder Steuersachen – da über papier , ich gehe zur Bank oder zum Steuerberater , gehe zum Artzt und gebe mein papierrezept persönlich in der Apotheke ab . ich zale wenn ich nicht will daß jemand weiß was ich wo kaufe bar. Und dennoch höre ich Musik oder schaue video über einen Streamingdienst, schreibe nachrichten mit Freunden und Familie über Messenger . würde aber nicht meinem Artz über Whatsapp schreiben . Ob die wissen wann meine Schwester zu Besuch kommt ist egal. Ob sie wissen wann ich warum in eine Artztpraxis gehe, nicht. Digital ja – aber ich willl bestimmen wann ich mich darauf einlasse. Ich bin der Herr ob ich digital oder analog handle , ob ich Tablet oder Papier nutze. Und daher erhebe ich den Anspruch daß es die volle Wahlfreiheit gibt: Digital für die die sich darauf einlassen aber gleichzeitig die voll umfängliche Möglichkeit alles zu machen wie vor Erfindung von Mail und Ndtz, mit Papier, Stift, persönlicher Presenz. Wahlfreiheit heißt das zauberwort. Ich bin gegen jede verpflichtende Digitalisierung ohne die Möglichkeit es auch anders zu machen.
Du bist sehr egoistisch.
Hallo Kaktus, wieso egoistisch? Habe ich gesagt „verbietet jede Digitalisierung“? Mein! Ich sage : laßt es wo es um sensible , persönliche Daten geht. Ich bin – siehe auch meine Beiträge zum thema Auto und ÖPNV – kein „alles oder nichts““-Verfechter. Ich sage da „ÖPNV und Individualverkehr mit auto können gut nebeneinander existieren, ich kann heute eine Strecke mit dem auto fahren und morgen mit dem Bus“. Ich will _Freiheit_ mich zu entscheiden wann ich welches Mittel, medium, Verfahren einsetze um etwas zu erreichen. Hier mit Karte zahlen da mit Bargeld,. Und ich habe ja Argumente genannt : m. E. helfen in vielen Bereichen die Beschränkung auf dingliche medien , die örtlich begrentz verwendet werden, Schaden wie illegale Zugriffe , Einbrüche , diebstähle zum einen zu erschweren – man muß im wahrsten wortsinne ein-brechen, als physisches Wesen physische Grenzen überwinden und physisch vor Ort sein- und selbst wenn das gelingt ist der Schaden i. d. R. geringer – einbruch in ein Krankenhaus und Zugriff auf Patientenakten = ein paar 10000 Fälle , in eine Datenbank ein paar 100000 oder mehr . Big Data = big Schaden wenn etwass schiefgeht. . Solche Überlegungen und meine daraus abgeleitete Forderung nach weniger Digital in bestimmten sinsiblen Bereichen und einem zurück zu bewährten analogen und dinglichen Verfahren beruht also nicht auf Egoismus sondern Überlegung und Lebenserfahrung – ja ich bin schon ein älteres Semester und mit Türschloß mit Schlüssel, Fahrschein aus Papier und Rezept aus Papier aufgewachsen – und das hat alles gut und zuverlässig funktioniert. Wer digital leben und handeln will – bitte. Aber es muß _immer_ und überall die Möglichkeit geben sich anders zu entscheiden und auf bewährte Prozesse zurückzugreifen. Ich lehne für mich einen Zwang z. B. ein digitales Rezept zu nutzen ab. Oder nur noch ÖPNV zu fahren. Genau, wie ich auch nicht nur Auto fahre sondern mich von Fall zu Fall entscheide . Das hat nichts mit Egoismus zu tun sondern mit persönlicher Souveränität sich immer wieder neu und _frei_ entscheiden zu können. Und wenn es um so sensible Daten geht wie meinen körperlichen Status dann hätte ich gern weniger Clud weniger digital und die bewährten Verfahren der Datenverwaltung. Das heißt nicht daß ich z. B. gegen moderne und zeitgemäße therapien bin : ich will weder mikroinvasive Chirugie noch Untersuchungen mit modernen bildgebenden Verfahren wieder abschaffen. Aber was mit den daraus gewonnenen Daten passiert – das kann m. E. sicherer und schadensbegrenzender auf hergebrachte Weise verwahrt und verwaltet werden mit einem mehr an Sicherheit gegen Mißbrauch. ich bin kein Ego-ist ich bin ein Individual-ist . Herr Kaktus bitte differenziert denken bevor man schreibt.
Du kannst noch so viel schreiben und bleibst dennoch egoistisch. Deine Souveränität hin oder her:
Arbeitest du in den betreffenden Bereichen? Darfst du ein doppeltes System fahren, Dinge 5x handschriftlich irgendwo notieren, anstatt einmal in eine Datenbank (und nichtmal das funktioniert im Gesundheitswesen, aber immerhin gibt es digital copy&paste), unleserliche Handschriften entziffern (ist auch nicht immer ungefährlich bspw. bei Medikamenten), auf Assistenzsysteme verzichten usw. Die Dokumentation und Automatisierung im Gesundheitswesen ist schon bescheiden genug beim Digitalisierungsstand von Deutschland und du möchtest – für dich – dass alles auch noch Doppelt angeboten wird und bezeichnest das dann nich als egoistisch? Also, wenn du die Mehrarbeit und Kosten dafür übernimmst: gerne & viel Spaß. Ich möchte es nicht.
Hallo Kaktus, ich habe selber in der öffentlichen Verwaltung gearbeitet. Weiß also was gute (Papier-)Aktenführung für Arbeit macht , aber auch für sicherheit bietet. Ja, Abläufe brauchten etwas mehr Zeit – aber wo ist das problem? Für zeitkritische Sachen gab es telefon, und nachträgliche papierne Dokumenttation. hat alles gut funktioniert. Wenn ich heute mit KollegInnen die noch aktiv im Job sind rede höre ich nicht viel gutes über e-Akten – Papier kann jede(r) lesen, kopieren – Datensätze sind oft nicht kompatibel, Schnittstellen nicht vorhanden und und und. Und von wegen ego-istisch: ich habe Dir sachliche Sicherheitsbezogene und auf die Datensouveränität des Einzelnen hinweisende Argumente genannt auf die Du mit keinem wort eingehst. Schließlich kann weder der Staat noch der Gesetzgeber menschen zwingen einen PC, ein Tablet oder ein Smatphone vorzuhalten und zu nutzen um bestimmte Dinge abzuwickelen . Es _muß_ immer ein Fallbakc mit Personal und Service geben . Von daher : wenn ich auf einen gedruckten Arztbrief oder ein papierrezept bestehe muß es mir auch ausgestellt werden. So einfach . Oder zahlt mir der Staat/Gesetzgeber ein smartphone , einen Pc damit ich amts- oder Steuer- oder Krankenangelegenheiten erledigen kann? Zeitersparnis und Rationalisierung sind nur ein Teil der Betrachtung und nicht immer der alleinige und vor allem nicht immer der wichtigste. Sicherheit und Schutz vor Mißbrauch dürfen gern Zeit und Geld kosten. Ein zweites Sicherheitsschloß an meiner Tür kostet auch Geld und mehr Zeit beim Aufsperren.
Wenn ich dir einen Arztbrief ausdrucke, dann ist der auch digital vorhanden. Schon jetzt beschäftigen sich Ärzte und Pfleger mehr mit Dokumentation als mit den Patienten selbst. Wie gesagt, Dinge müssen ja teilweise zigfach geführt werden. Vitalparameter dann je nach Situation alle paar Minuten handschriftlich dokumentiert. Die Abläufe brauchen nicht etwas, sondern immens mehr Zeit und wo das Problem ist? Ich weiß nicht wie das bei dir in der öffentlichen Verwaltung so aussieht, aber hast du mal im Gesundheitsbereich probiert Fachkräfte zu bekommen? Und dann soll das vorhandene Personal seine Zeit damit verschwenden? Du wärst dann sicherlich auch der Patient, der darüber klagt, daß ja niemand Zeit für ihn hätte… Also sorry jegliche deiner Argumente in allen Ehren, aber das ist soweit ab von der Realität, da nehme ich nicht jedes einzelne Wort von dir auseinander.
Hallo Kaktus , der schon digitale Arztbrief ist schon vorhanden – notwendigerweise aber erstmal auf einem PC – nicht in einem netzwerk, nicht auf einem Server , nicht in einer Datenbank auf die von außen zugegriffen werden kann. Und was zeit angeht : ja ich habe zu einer Zeit in der Verwaltung angefangen , als noch Briefe auf Diktaphon gesprochen wurden und wir hatten einen Schreibdienst mit vielen mitarbeitern im Hause. Dann kamen die PCs auf die Sachbearbeiterschreibtische – noch ganz ohne netz – und uns wurde versprochen wie schön und einfach alles würde. Die Schreiben mußten wir nu selber erstellen , ausdrucken versandfertig machen. Die Mitarbeiter im Schreibdienst – weg, umgesetzt oder wenn sie älter waren in Frührente. Übrigens wegen Egoist : ich war selber in der Arbeitnehmervertretung sowas machen keine Egoisten- aber nur mal so nebenbei. Was bedeutete das : neben der eigentlichen tätigkeit mußte nun jeder die Arbeit des Schreibdienstes mit übernehmen . Nach einführung der e-Akten wurden dann tätigkeiten die früher menschen in der Registratur und im Archiv gemacht hatten zum großen teil auch auf die Sachbearbeiter umgelagert und ja es wurden wieder Abteilungen „verschlankt“ wie es euphemistisch heißt wenn man Stellen abbaut. Arbeitsverdichtung nennt man das was vielen in unseren Jobs diese Verlagerung von immer mehr Arbeitsschritten auf eine Person , meist eben mittels moderner Informationstechnik, gebracht hat. . Vielleicht wieder mehr Personnal und Arbeitsprozesse entflechten? Schreibdienst schreibt, Arzt behandelt, Pflegekraft pflegt , Putzfrau putzt? Übringens diese arbeitsverdichtung als Ergebnis alles auf „digital“ und „mach es selber“ zu verlagern gibt es auch im privaten: Lies Deinen Zähler selber ab und trage das selber im Internet-Portal ein – früher kamen die Ableser der Stadtwerke ins haus. Mach Deine bankgeschäfte selber , wir schließen dafür immer mehr Filialen , erledige Deine Versicherungsangelegenheiten selber, melde Dein auto online an …. wer weiß wann ein Stück aus den 60er jahren von Düsseldorfer Kom(m)ödchen über ein fiktives Selbstbedienungskrankenhaus wo die Patienten sich selber operierten und dann dafür bezalen durften , Wirklichkeit wird? Klar überzogen , dafür war es Kabarrett. Aber im Prinzip: jeder soll heute sein eigener Bankbeamter, Fahrkartenverkäufer, Strom-, Gas- und Wasserableser, KFZ-Anmelder, Steuer- und Versicherungssachbearbeiter sein. Ich entzieh mich dem weitestgehend und erlaube mir sogar die Frechheit mit Papier zur Geschäftsstelle meiner Krankenkasse zu gehen und mir beim Ausfüllen helfen zu lassen bzw. dort Sachen zu kopieren . Dafür sind die da und ich hoffe die Menschen haben dort noch lange Brot und Arbeit weil ich und hoffentlich viel andere nicht alles als „eigener Knecht“ selber zu hause machen. ja ist schön und bequem , wurde uns erzählt und auch ich bin die erste zeit auf diese Slogans z. B. beim Homebanking reingefallen. Aber es ist kein sozialer Fortschritt wenn wir alle zum Knecht in eigener Sache werden und dafür viele Menschen gut bezahlte und qualifizierte Arbeitsplätze verlieren. Das ist auch eine Perspektive – und ja ich hätte im Krankenhaus gern mehr zeit und Zuwendung . Längere Liegezeiten und keine „blutige Entlassung“ schon zwei Tage nach OP – pfleg dich selber moderner Patient ! Auf diese Modernität verzichte ich gern. Und ja ich sähe auch Dich gern entlastet – durch mehr Mitarbeiter die die Arbeit auf viele Schultern verteilen . Dann kostet es eben mehr – wir sind ein reiches Land und könnten uns das leisten.
Die Frage, die man sich m.E. dabei stellen muss, ist die, wie ernst man es mit der Digitalisierung wirklich meint. Ich verstehe, was Du meinst, aber die Option *immer* die Möglichkeit zu haben, sich für den analogen Weg zu entscheiden, wird auch *immer* dazu führen, dass Menschen diesen auch wahrnehmen. Und das nicht, weil sie die digitalen Möglichkeiten nicht wollen oder mögen, oder weil sie damit nicht umgehen können, sondern vor allem, weil es „schon immer“ so war und sie es „von früher“ so gewohnt sind. So aber wird man *nie* einen Stand der Digitalisierung erreichen, den wir uns doch im Grunde alle (mehr oder weniger) wünschen.
Hallo Chris, Digitalisierung bedeutet aber auch immer komplexere und – siehe Datenschutz – selbst für interessierte Laien (in diese Kategorie reihe ich mich selber ein ) Vorgänge und Verfahrensweisen, die nicht durchschaubar sind. spätestens bei krypto-Verfahren oder Dingen wie Zugangssicherungen im Server-Client-Bereich fehlt mir jedes auch nur ansatzweises Verständnis. Mit „Papiertechnik“ und wie ich meine Daten da organisiere , und auch ggf. vor unbefugtem Zugriff sichere , kenne ich mich aus. Ich bin ja gar nicht gegen Digitale Methoden, aber eben für Wahlfreiheit . spätestens wenn doch mal Lichter ausgehen , warum auch immer, bleiben Zettel und Papier und wenn wir glück haben leitungsgebundene Telefone – aber die basieren ja auch inzwischen auf VoIP – ob da nicht auch ein rein analoges Kupfernetz mit herkömmlicher Vermittlungstechnik zumindest für BOS als Fallback eine gewisse Sicherheit böte ? Doppelte , voneinander unabhängige Strukturen sind redundant und damit auch kriesensicher. Auch das ist ein nicht zu unterschätzender Mehrwert.
Andreas, so wie du denken vermutlich sehr viele in Deutschland. Dies ist einer der vielen Gründe warum wir in der Digitalisierung ca. 20 Jahre im vergleich mit modernen Ländern zurück liegen. Ich finde deine Gedanken zu kurz gedacht, wir brauchen zwingend eine gut funktionierende Digitalisierung in allen Bereichen. Dies spart unglaublich viel Geld und vor allem Zeit. Zeit kostet auch Geld. Beide Systeme, Analog und Digital nebeneinander zu fahren ist unter diesem Aspekt nicht denkbar. Wenn du schnellere Termine möchtest, weniger Steuern oder Geld für die Krankenkasse bezahlen möchtest und mit dem Problem das immer weniger Menschen in Zukunft arbeiten. (Stichwort Boomer und folgende Generationen) führt kein weg an der Digitalisierung vorbei. Sie muss nur richtig und vor allem richtig sicher gemacht werden.
Bei allem Respekt halte ich die Überschrift auch für überzogen. „Daten von über 1 Mio. Patienten ungeschützt im Netz“ ist was anderes als „Die Sicherheitsforscher von zerforschung haben recht flott Zugriff auf Mail-Konten der bei „inSuite“ registrierten Arztpraxen bekommen.“ Konkret heißt das, dass ein Schutz da war, sie diesen aber umgehen konnten. Das kann man wohl nie ausschließen. Daraus aber zu schließen, dass diese Daten dann „ungeschützt im Netz“ liegen würden, was wiederum beim unbedarften Leser die Annahme fördert, jeder könne „einfach so“ darauf zugreifen, halte ich für maßlos übertrieben.
Ok, kann deine Bedenken mit der Überschrift nachvollziehen. Scheint mir eine Ausprägung im Journalismus der letzten Dekade.
Andererseits (meine Sichtweise, nett formuliert) geht es hier um den extrem sorglosen Umgang mit Medizindaten, die ja ein besonders hohes Schutzniveau genießen.
Die einfache Abgreifbarkeit aller Praxis- und Patientendaten wurde nicht durch simple Programmierfehler ermöglicht. Es wurden grundlegende konzeptionelle Fehler gemacht. Es musste auch kein Schutz umgangen werden, weil keiner vorlag. In der Browser-Console nachsehen hat gereicht (mit minimalem Webentwicklungs-Wissen). Die Highlights:
Eine Webseite, die bei jedem Aufruf ungeschützt SMTP-Logindaten der Arztpraxis an den aufrufenden Browser übergibt. Ein Proxy, der als root agiert und alle Kommandos (auch für Systemsteuerung) ungeprüft über Webschnittstelle entgegen nimmt. Der selbe Proxy lässt auch die Contentverschlüsselung weg, einfach wenn er gebeten wird. wtf?
Die Entwicklungsfirma ist ISO 27001 zertifiziert. Die ISO 27001 widmet der Sicherheit in der Entwicklung ein eigenes Kapitel. Dort geht es auch um Schwachstellen, Testen von Code, Schutz von Schnittstellen etc. Wie passt das nun zusammen?
Ich fände es angemessen, wenn der Laden sein Zertifikat verliert und ein wirklich schmerzhaftes Bußgeld leisten darf. Lernen geht auch über Geld und Ruf. In solch krassen Fällen dürfen Caschy und die anderen von mir aus auch etwas lauter trommeln.
Arztpraxen und Sicherheit:
Jede Arztpraxis: Viren sind gefährlich, halten Sie bloß Abstand und setzen Sie sich einen Mundschutz auf.
Auch jede Arztpraxis: Nehmen Sie schon mal im Behandlungszimmer Platz, wir lassen Sie dort mit dem entsperrten und für Sie gut zugänglichen PC etwas alleine…