Sicherheits-Skandal

Tausende sensible Patienten-Daten im Internet aufgetaucht

Sonntag, 06.11.2011 | 13:09 von Denise Bergert
Bildergalerie öffnen Tausende sensible Patienten-Daten im Internet aufgetaucht
Durch ein Datenleck im Gesundheitswesen waren vertrauliche Informationen über Patienten mit psychischen Erkrankungen für jedermann im Internet einsehbar.
Ende der vergangenen Woche wurde in Schleswig-Holstein ein Datenleck mit ungeahnten Ausmaßen bekannt. Vermutlich durch technische Unkenntnis konnten persönliche Daten mehrerer tausend Patienten mit psychischer Krankheit ins Internet gelangen und waren dort für jedermann einsehbar. Am stärksten von dem Sicherheits-Skandal betroffen, ist das Sozial- und Therapiezentrum Brücke in Rendsburg.

Ursprünglich sollten nur zahlreiche Patienten-Datensätze übermittelt werden und wurden für die Übertragung ins Internet gestellt. Während des Vorgangs sei die Übermittlung jedoch abgebrochen, wodurch die empfindlichen Informationen über einen längeren Zeitraum ohne entsprechendes Login einsehbar gewesen seien. Wie die "Lübecker Nachrichten" berichten, seien bis Donnerstag gegen 16 Uhr 3.593 Dokumente von dem Datenleck betroffen gewesen. Dabei handelte es sich um medizinische Befunde, psychologische Dokumentationen und Klinik- sowie Behördenbriefe.

Wie es zu dem Vorfall kommen konnte, will nun Schleswig-Holsteins Datenschutz-Beauftragter Thilo Weichert mit einem Spezialisten-Team aufklären. Das verantwortliche Unternehmen Rebus Consulting- und Verwaltungs GmbH wird sich am morgigen Montag also den Fragen des Unabhängigen Landeszentrums für Datenschutz (ULD) stellen müssen.

Sonntag, 06.11.2011 | 13:09 von Denise Bergert
Kommentieren Kommentare zu diesem Artikel (12)
  • Thor Branke 00:01 | 08.11.2011

    Zitat: kalweit
    ...ich orakel mal: ...:popcorn:
    In Ansätzen und Details wirst Du damit vermutlich richtig liegen, aber das Chaos, von dem Weichert spricht, hat andere Ursachen. In dem Firmengeflecht der Brücke schaut kaum noch jemand durch, schon gar nicht von Nutzerseite. Es wurde in den letzten Jahren munter expandiert und ausgelagert, statt sich auf Kerngeschäfte zu besinnen und den Laden zu konsolidieren. Ich kann gerade kein Organigram finden, aber eine Idee davon bekommt man schon durch die Fülle an Angebotsstandorten. Die Folgen davon sind Kommunikations- und Wartungsprobleme, das Fehlen durchgängiger Konzepte und daraus resultierend Insellösungen, die mühsam aufeinander abgestimmt werden müssen ("social@web"). Im Hinblick auf die Betreuungssituation kann das (IMHO mit Mühe!) immer noch gehandhabt, die Vielschichtigkeit der Angebote muss sogar als großes Plus gewertet werden. Viele Einrichtungsformen sind in dieser Region alternativlos. Aber irgendwann kommt man in einem extrem komplexen Gebilde in irgendeinem Bereich an seine Grenzen, wobei hier Systemschwächen ergänzt durch einige menschliche Fehlleistungen nun zum Daten-GAU geführt haben dürften. Die großen Verlierer sind so oder so die Nutzer: einerseits diejenigen, deren Daten zugänglich waren und die nun befürchten müssen, noch in irgendeiner Form bloßgestellt zu werden. Zum anderen sämtliche Brückenutzer, falls die Strafmaßnahmen der Ordnungsbehörden nicht auch auf die Bedürfnissituation der psychisch Kranken ausgerichtet werden. Das "System Brücke" bedarf Reformen und ggf. einzelner neuer Köpfe, aber nicht Zerschlagung. Man sollte schließlich nicht vergessen, dass im Gegensatz zu so manch anderem Skandal dieser Art es sich hier nicht um ein profitorientiertes Unternehmen handelt. Was mich besonders ärgert, ist, wie sich momentan einige Politiker zu Wort melden. Es sind eben auch politische Entscheidungen in Form von Sparmaßnahmen im sozialen Sektor gewesen, die mit dazu beigetragen haben, ein System zu schaffen, das gerade an der Notwendigkeit zu ewig währender Flexibilität partiell gescheitert ist. Die Volksvertreter aller Couleur in Kiel sollten sich lieber auf die Organisation einer rundum gelungenen Landtagswahl im nächsten Jahr konzentrieren, wofür man sich gewiss mehr als genug Geld zugestanden hat.

    Antwort schreiben
  • kalweit 22:33 | 07.11.2011

    Zitat: kazhar
    bastle nie an irgendwas sicherheitsrelevanten selber herum (oder mach es gar selber),
    ...ich orakel mal: die Oberchefs haben festgestellt, dass einige Mitarbeiter in den Unternehmungen gemeinsam an die Daten kommen müssen. Das ist in den modernen Zeiten (quaken ja alle nach Clound unso) kein Problem. Es darf nur nichts Kosten und ausgebildetes Personal gibt's auch nicht dafür. Der Praktikant wird also mit der Aufgabe betraut. Er hatte erst vorgestern mit Hilfe eines Computerforums eine Festplatte an seine Fritzbox gefriemelt. Da kam ihm der Geistesblitz: wir spielen alles auf einen FTP-Server und richten für die fraglichen Mitarbeiter einen Account ein (natürlich nicht für jeden einen, das würde zu viel Arbeit machen - tut aber am Ende nichts zur Sache). Im Überschwang der Genialität seiner Lösung, hat er leider nicht bedacht, dass so ein FTP-Server in der freien Wildbahn nur selten allein vorkommt und meist seinen besten Kumpel, den Webserver, dabei hat. Dummerweise interessiert sich der Webserver nicht für die Passwörter von seinem Kumpel und schon war es passiert. :popcorn:

    Antwort schreiben
  • kazhar 21:08 | 07.11.2011

    ich hatte mal einen vortrag über programmsicherheit im netzwerk (ist schon ein paar tage her). der vortragende hat so einiges erzählt, was ich mittlerweile verdrängt habe. was aber hängen geblieben ist: bastle nie an irgendwas sicherheitsrelevanten selber herum (oder mach es gar selber), weil man in 99,99% der fälle irgendwelche uralten fehler nachbaut, die schon lang bekannt sind.

    Antwort schreiben
  • Thor Branke 20:02 | 07.11.2011

    Zitat: kalweit
    ...mei, man könnte auch einfach in die Serverlogs gucken.
    Das hat man heute im ersten Umlauf wohl getan und ist bereits jetzt zu einem vernichtenden Urteil gekommen:
    Der freie Zugang im Internet zu über 3000 hochsensiblen Psychiatrie-Datensätzen aus Schleswig-Holstein ist nach einer ersten Einschätzung von Datenschützern auf «ein organisatorisches Chaos» bei den beteiligten Firmen und Einrichtungen zurückzuführen. ... Es sei zu befürchten, dass die Datenlücke schon seit Jahren bestanden habe, sagte Weichert der Nachrichtenagentur dpa. Die vorläufige Bestandsaufnahme habe ergeben, «dass fast alle Anforderungen an ein funktionsfähiges Datenschutzmanagement nicht beachtet wurden». ... Beteiligt an dem Chaos bei Rebus sind laut Weichert mehrere Einrichtungen und Stellen, zwischen denen die Arbeitsverhältnisse und Verantwortlichkeiten unklar geregelt seien. «Aussagekräftige Dokumente konnten nicht vorgelegt werden, Qualitätskontrollen fanden beim IT-Einsatz nicht statt.» Eingesetzt worden sei eine spezielle Software, deren Sicherheit anscheinend nie ernsthaft hinterfragt wurde. «Keine der auf Unternehmensseite an der Prüfung beteiligten Personen hat einen Überblick über die erfolgte Verarbeitung der Daten der psychisch Kranken.» ... «Wir haben es hier mit einem undurchsichtigen Unternehmensgeflecht zu tun, in dem naturwüchsig und handgestrickt Lösungen erarbeitet wurden, die insgesamt keine Sicherheiten gewährleisten konnten», sagte Weichert. Quelle
    Als Kontrast noch ein O-Ton der Geschäftsführerin vom 04.11.2011 (NDR1)

    Antwort schreiben
  • kalweit 19:02 | 07.11.2011

    ...mei, man könnte auch einfach in die Serverlogs gucken. Da steht, was von wo herunter geladen wurde.

    Antwort schreiben
1165299