Diebstahl von Patientendaten in den USA – eine Warnung auch für Deutschland

Bei einem Einbruch beim US-Dienstleister Community Health Systems wurden die Sozialversicherungsnummern und andere Daten von 4,5 Millionen Patienten gestohlen. Solche Diebstähle können auch hier passieren.

healthcare

Ein Hacker-Einbruch bei dem amerikanischen Dienstleister Community Health Systems zeigt, wie groß die Gefahr durch miteinander verbundene medizinische Geräte ist: Es wird vermutet, dass chinesische Hacker hinter dem Diebstahl von Patientendaten und Sozialversicherungsnummern von 4,5 Millionen Patienten stecken.

 

Erinnern Sie sich an Heartbleed?

Die Heartbleed genannte Sicherheitslücke in OpenSSL, die vor einigen Monaten für Aufsehen sorgte, betraf über 60 Prozent des Internet und gab Angreifern die Möglichkeit, eine gewisse Menge Informationen aus der Datenverbindung zwischen Computer und Server zu stehlen. Nun, der aktuelle Vorfall ist wahrscheinlich der erste Schlagzeilen machende Fall von Kriminellen oder staatlichen Hackern, die diese Sicherheitslücke für ihre Zwecke ausgenutzt haben. Sie haben einen Exploit entwickelt, der es ihnen erlaubte, Heartbleed zu nutzen, um Login-Daten für Community Health Systems zu stehlen.

Wie konnte das passieren?

Bei dem Einbruch stahlen die Hacker allgemeine Daten (keine medizinischen oder Zahlungsinformationen) von 4,5 Millionen Patienten, die bei Ärzten waren, die in den letzten fünf Jahren mit Community Health Systems zusammenarbeiteten. Und auch wenn keine medizinischen Daten gestohlen wurden, so wurden doch die Sozialversicherungsnummern der Patienten gestohlen, was nicht gerade gut ist. Zudem fielen den Angreifern Patientennamen, Adressen Geburtsdaten und in manchen Fällen Informationen zu Arbeitgebern oder Bürgen sowie Telefonnummern in die Hände.

Ein Lichtblick in diesem Fall mag allerdings sein, dass die Angreifer mit einer so genannten fortgeschrittenen, andauernden Bedrohung (Advanced Persistent Threat, APT) arbeiteten. Sie haben also wahrscheinlich gar nicht nach Sozialversicherungsnummern der Patienten gesucht. Mehrere Experten der Sicherheitsfirma Crowdstrike und anderer Unternehmen sagten dazu, dass die Angreifer wahrscheinlich nach geistigem Eigentum medizinischer Systeme suchten, die China für die Pflege der eigenen älteren Bevölkerung einsetzen könnte. In Bezug darauf hat die genutzte „APT 18“ (auch bekannt als „Dynamite Panda“) versagt. Es ist schwer zu sagen, was die Angreifer mit der erbeuteten Unmenge vertraulicher Informationen anfangen werden.

Ein größeres Problem

Patientendaten werden immer wieder gestohlen und die Fälle werden in Zukunft sicher nicht weniger werden. Denn wenn es um die Sicherheit medizinischer Geräte geht, spricht man über einen recht düsteren Bereich: Da gibt es Berichte von aus der Ferne gehackten Insulinpumpen und Herzschrittmachern – Mord per Laptop. Zum Glück für alle, denen ein solches medizinisches Gerät, das oft mit anderen per Funk verbunden ist, implantiert wurde, ist die Wahrscheinlichkeit eines Mordanschlags per Laptop – wie ein aktueller Black-Hat-Vortrag zeigte – unendlich gering. Und auch Jay Radcliffe von Rapid7, ein ausgewiesener Experte bei der Sicherheit medizinischer Geräte, sagte, dass solche verbundenen medizinischen Geräte mehr Gutes als Schlechtes bewirken.

Das Problem ist vorerst systembedingt und wächst. Das hat mehr mit der Art zu tun, wie Ärzte, Krankenhäuser und medizinische Geräte die Patientendaten speichern, teilen und den Zugriff darauf ermöglichen. Wie Radcliffe in einer Diskussion anmerkte, ist das wahrscheinlichste Szenario, dass ein Patient falsch behandelt wird, da seine medizinischen Daten verändert worden sind – entweder durch einen Hacker oder aus Versehen.

In einem Interivew mit der Radiosendung Fresh Air with Terry Gross in der vergangenen Woche sagte der Kardiologe und Autor Dr. Sandeep Jauhar, ein wichtiger Grund, warum das US-Gesundheitssystem schlechter ist als die Systeme anderer Länder, sei, dass kaum Informationen ausgetauscht werden würden. Um das Gesundheitssystem zu verbessern – und mit dem als Obama-Care bekannten Affordable Care Act anzugleichen – müsse man eine bessere Verbindung zwischen medizinischen Geräten, eine bessere Kommunikation zwischen Ärzten, besseren Fernzugriff auf Daten sowie bessere Aufdeckung vertraulicher Gesundheitsdaten erreichen. Laut Juahar wird dies bereits in Ländern mit fortschrittlicherem Gesundheitssystem angewandt.

Patientendaten werden immer wieder gestohlen und die Fälle werden in Zukunft sicher nicht weniger werden

Aber es ist nicht alles hoffnungslos. In den USA werden mit dem Health Insurance Portability and Accountability Act (HIPAA) zumindest zum Teil die Sicherheit und Vertraulichkeit von Patientendaten gewährleistet. Krankenhäuser und Hersteller haben damit Richtlinien, denen sie folgen müssen, um mit dem Gesetz konform zu sein. Leider sind Datendiebstähle nicht hundertprozentig zu vermeiden und kein Schutz ist perfekt. Jeder – egal wie sehr er sich auch anstrengt – kann kompromittiert werden.

Tipps