Vernetzte Medizingeräte: 150 Schwachstellen bei IT-Sicherheitscheck identifiziert

Zehn vernetzte medizinische Geräte aus fünf Kategorien hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf IT-Sicherheit getestet. Darunter z.B. Insulinpumpen und Herzschrittmacher. Hersteller und Ärzte können aus dem Projekt über die Testergebnisse hinaus Praxisrelevantes mitnehmen.

Die Norwegerin Marie Moe hatte gerade eben noch ihren Orangensaft getrunken, als sie sich auf einmal auf dem Fußboden umgeben von zerbrochenem Glas und verschüttetem Saft wiederfand. Sie hatte keine Ahnung, was ihr passiert war und warum. Im Krankenhaus erfuhr sie, dass sie ein Problem mit dem Herz hat und ihr ein Schrittmacher eingesetzt werden musste.

Das Spezielle an Marie Moe: Sie hat einen Doktortitel in Informationssicherheit und kümmerte sich z.B. einige Jahre um Cyberangriffe gegen Norwegens kritische Infrastruktur. Seit diesem Vorfall beob­achtet sie auch ihre eigene kritische Infrastruktur: den implantierten Schrittmacher.

weiterlesen auf medical-tribune.de

Datenpanne bei Online-Terminbuchungssystem

IT-Sicherheitsexperten hatten offenbar über ein Online-Buchungssystem für Arzttermine Zugang zu Millionen Namen, Telefonnummern und geplanten Arztkontakten. Verantwortlich für die behördliche Meldung der Datenschutzverletzung ist der Auftraggeber.

Per Klick zum Arzttermin – Patienten und Praxen freuen sich über die gesparten Telefonate. Wer denkt daran, dass schon der Arztbesuch als solcher eine zu schützende Information ist: Der Gang zur Psychologin, zum Schönheitschirurgen oder ins Kinderwunschzentrum ist nichts für die Öffentlichkeit, und Arbeitgeber oder Versicherungen sollten über die verschiedenen Arztbesuche keinen Einblick in die Krankheitsgeschichte bekommen. Sie hatten ihn aber, zumindest theoretisch: Sicherheitsexperten berichteten Ende 2020 auf dem Kongress des Chaos Computer Clubs (CCC), wie sie Zugang zu Millionen Terminvereinbarungen inklusive Arzt- und Patientendaten bekamen. Wie das?

weiterlesen auf medical-tribune.de

Videoaufzeichnung vom Kongress „Remote Chaos Experience“ des Chaos Computer Clubs, 2020
> Tut mal kurz weh – Neues aus der Gesundheits-IT


Wenn die elektronische Patientenakte nicht DSGVO-konform ist – können Ärzte Probleme bekommen?

Nach Ansicht des Bundesdatenschutzbeauftragten verstößt die ePA gegen europäischen Datenschutz. Was heißt das für Ärzte, die ab Januar damit arbeiten sollen?

In einem Schreiben von Anfang November warnte der Bundesdatenschutzbeauftragte (BfDI) die gesetzlichen Krankenkassen in seinem Zuständigkeitsbereich: Bei Ausgestaltung der elektronischen Patientenakte (ePA) nach den Vorgaben des Patientendatenschutzgesetz (PDSG) würden sie gegen die Datenschutzgrundverordnung (DSGVO) verstoßen.

Der Grund: Nach den gesetzlichen Bestimmungen können Versicherte im ersten Jahr der Akte keine auf einzelne Dateien beschränkte Zugriffsberechtigungen erteilen. Und auch danach gibt es Hürden für die feingranulare Zustimmung: Wer über kein eigenes Endgerät verfügt und keinen Vertreter einsetzen möchte, wird nur ganze Kategorien von Dokumenten freigeben können. Damit verstoßen die Kassen aber gegen die Vorgaben des europäischen Datenschutzrechts.

Für Arztpraxen und Krankenhäuser sind dagegen Landesdatenschutzbehörden zuständig. Diese gehen mit der Bundesbehörde konform, dass die Regelungen zur ePA nicht der DSGVO entsprechen. Klar ist auch, dass dem Gesetz nach die Krankenkassen datenschutzrechtlich für die ePA verantwortlich sind.

> weiterlesen auf medical-tribune.de

Hackerangriff auf Uniklinik Düsseldorf: War der Ausfall der IT-Systeme vermeidbar?

Anfang September wurden 30 Server der Uniklinik Düsseldorf von Hackern lahmgelegt. Die Funktion der Klinik ist heute noch nicht vollständig wiederhergestellt. Ich habe mit Rüdiger Trost von F-Secure gesprochen. Er berät Krankenhäuser zu Sicherheitskonzepten.

Herr Trost, warum hat beim Angriff auf die Uniklinik Düsseldorf eigentlich kein Virenscanner angeschlagen?

Rüdiger Trost: Weil hier zunächst gar kein Trojaner im Einsatz war. Die Hacker haben eine kritische Sicherheitslücke im Programm Citrix NetScaler Gateway genutzt – ein häufig genutztes Programm, auch in Krankenhäusern – und sich in den Wochen zwischen Bekanntwerden der Lücke und ihrem Schließen Zugriff auf das System verschafft. Das geht mit ganz einfachen Mitteln. Über diesen Zugang haben sie sich dann z.B. einen normalen Benutzer angelegt und sich damit im Netzwerk bewegt.

Als die Klinik die Patches eingespielt hat, hätte sie kontrollieren müssen, ob zwischenzeitlich jemand eingedrungen ist.

> weiterlesen auf medical-tribune.de

Keine Atempause, es geht voran …

Das Tempo der Spahn’schen Gesetzgebung ist legendär. Doch über das zunächst vielleicht erfrischende „Es geht voran“ hinaus, gibt es auch ein: „Geschichte wird gemacht“. Für die Diskussion, von wem und für wen, bleibt da wenig Zeit. Ein Kommentar.

Eine elektronische Patientenakte nach den Vorgaben des Patientendaten-Schutz-Gesetzes (PDSG) verstößt gegen die europäische Datenschutz-Grundverordnung. Das sagt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber. Na ja, dann wird das ja jetzt angepasst, denke ich.

Nichts wurde angepasst. Entgegen der Stellungnahme des obersten Datenschützers in Deutschland wurde das PDSG von den politischen Gremien durchgewunken. Wie kann das sein?

Quasi monatlich bringen Jens Spahn und sein ­Ministerium ein neues Gesetz auf den Weg. Ohne Atempause, immer weiter. Diese Gesetze behandeln hochkomplexe Sachverhalte und haben folgenreiche Auswirkungen auf das Gesundheitswesen. Schon vor Monaten wurden Befürchtungen laut, der Minister treibe damit Ärzte, Kliniken und Kassen vor sich her. Heute möchte man hinzufügen: Er treibt offensichtlich auch demokratische Entscheidungsstrukturen und die Gesellschaft vor sich her.

> weiterlesen auf medical-tribune.de

TI-Störung: Ärzteschaft verärgert über gematik

Seit Ende Mai sorgt ein Konfigurationsfehler in der TI für Störungen in der Anbindung. Die gematik reagierte langsam, die KBV verärgert, die Ärzte je nach Betroffenheit. Ein besorgniserregender Lackmustest für Kommendes.

Mehrere Wochen nach dem Eintreten der Störung durch einen Konfigurationsfehler in der zentralen Telematik-Infrastruktur (TI) können sich weiterhin nicht alle Praxen mit der TI verbinden. Der Fehler wirkt sich in erster Linie auf das Versichertenstammdatenmanagement (VSDM) aus, kann aber auch Funktionen wie den eArztbrief oder die Übertragung der Quartalsrechnung betreffen. Der Betreibergesellschaft gematik zufolge löste ein fehlerhafter Wechsel des Vertrauensankers, der für die Auflösung von Namen in IP-Adressen notwendig ist, die Störung aus.

> Den ganzen Beitrag auf medical-tribune.de lesen

Zwanghaft ist nicht klug

Lassen sich gute Lösungen erzwingen? Eine verpflichtende Corona-App ist auf jeden Fall so kontraproduktiv wie die Zwangsrekrutierung von medizinischem Personal. Ein Kommentar.

Wer einem Infizierten nahe war, bevor dieser selbst von seiner Infektion wusste, kann nachträglich darüber informiert werden. So lassen sich Infektionsketten unterbrechen. Eine Technik, die das leistet, nennt sich PEPP-PT und wurde gerade auf europäischer Ebene entwickelt. Sie soll in verschiedene Apps einzubauen sein. Damit die Idee funktioniert, müssen allerdings geschätzt 50 Millionen Bundesbürger eine solche App installieren. Das ist viel.

Jetzt tobt die Diskussion, wie sich das erreichen lässt. Die Positionen reichen von „Vertrauen und Solidarität als Motivationsbegründer“ und „Zwangsverpflichtung-sonst-keine-Lockerungen“. Irgendwo dazwischen liegt noch die „gezwungene Freiwilligkeit“, nämlich die Zwangseinspielung der App mit Opt-out-Möglichkeit.

> Den ganzen Beitrag auf medical-tribune.de lesen

Hacker verschaffen sich Zugangsberechtigungen zur Telematik-Infrastruktur

Praxisausweis, Arztausweis, eGesundheitskarte, Konnektor: Vier Einfallstore zur Telematikinfrastruktur, derer sich jeder mit ein bisschen Fantasie bemächtigen konnte. Entdeckt wurde das von Mitgliedern des Chaos Computer Clubs. Die Verantwortlichen, in erster Linie Gematik, KBV, BÄK und Kassen, müssen ans Eingemachte.

Die Sicherheitslücken im Zugang zur Telematik-Infrastruktur, die Sicherheitsexperte Martin Tschirsich und sein Team in den letzten Tagen des vergangenen Jahres auf dem 36C3 präsentierten, haben Gematik und die kartenausstellenden Organisationen Bundesärztekammer und Kassenärztliche Bundesvereinigung aufgeschreckt. Jetzt betonen alle, wie wichtig eine schnelle Klärung sei.

> Den ganzen Beitrag auf medical-tribune.de lesen