Thema: Datenpanne mit sensiblen Patientendaten

[SiLæncer]

Rund 2500 hochsensible Patientendaten psychisch schwer kranker Menschen aus Schleswig-Holstein sind frei im Internet abrufbar gewesen. "Wir haben die Daten gesichert und die Firma kontaktiert", sagte der Kieler Landesdatenschutzbeauftragte Thilo Weichert am Donnerstag. Zuvor hatten die Lübecker Nachrichten berichtet, dass Behörden- und Klinikbriefe, medizinische Befunde und psychologische Dokumentationen sogar heruntergeladen werden konnten.

Auslöser sei eine Sicherheitslücke bei einem Internetdienstleister in Rendsburg gewesen, der Datenbanken für insgesamt fünf soziale Dienste und Behörden in ganz Deutschland betreibe. "Wir haben bislang keine Erklärung, wie das passieren konnte", sagte ein Firmensprecher der Zeitung.

Nach Recherchen des Blattes waren die Daten offenbar monatelang einsehbar. "Für uns waren die Daten abrufbar", sagte Weichert. "Wie lange dieses Loch bestanden hat, können wir aber noch nicht sagen." Es werde nun ermittelt. Einen vergleichbaren Fall habe es in Schleswig-Holstein noch nicht gegeben. Nach den Angaben der Zeitung hat der Betreiber den Server nach einem Hinweis der Zeitung aus Sicherheitsgründen vorübergehend komplett abschaltet.

Quelle : www.heise.de

[Jürgen]

Alle schreiben voneinander ab...  

Die originale Meldung ist allerdings detaillierter und aufgrund Nennung von Firmennamen nicht ganz ohne...
Daher hier kein aktiver Link

h**p://www.ln-online.de/lokales/luebeck/3280039/daten-skandal-psychisch-kranke-im-internet-blossgestellt

Besonders bemerkenswert ist darin allerdings, dass offenbar der anderswo so genannte "Internetdienstleister in Rendsburg" eine Tochterfirma der am stärksten betroffenen Einrichtung ist.
So hat zumindest diese die Lücke wohl letztlich selbst zu vertreten.

Mir drängt sich die Frage auf, ob die dortigen Admins und Sicherheitsexperten u.U. selbst in den Patientenlisten zu finden wären...
Zumindest sollten solche aber stets mit den ihnen anvertrauten Daten genau so vorsichtig umgehen, als wäre es so.

Jürgen
- der bekanntlich auch schon Daten einer ähnlichen Einrichtung in Hamburg gefunden und natürlich sofort dem zuständigen Datenschutzbeauftragten übergeben hat -

[SiLæncer]

Schleswig-Holsteins oberster Datenschützer Thilo Weichert will mit einem Prüfteam klären, wie tausende hochsensible Patientendaten psychisch schwer kranker Menschen ins Internet gelangen konnten. Das Team des Unabhängigen Landeszentrums für Datenschutz (ULD) werde am Montag den verantwortlichen Internet-Dienstleister, die Rebus Consulting und Verwaltungs GmbH in Rendsburg, aufsuchen, sagte Weichert.

Es gehe dabei um Ermittlungs- und Sicherungsmaßnahmen sowie die Klärung, ob rechtswidriges Verhalten vorliege. Als mögliche Sanktionen können die Datenschützer ein Bußgeld verhängen oder eine Unterlassungserklärung verlangen. Die Staatsanwaltschaft Kiel hat unterdessen einen Prüfvorgang angelegt. Die Behörde stehe mit dem ULD in enger Verbindung, "um gegebenenfalls im Hinblick auf strafrechtliche Verantwortlichkeiten in Ermittlungen einzutreten", teilte Oberstaatsanwältin Birgit Heß mit.

Das Sozial- und Therapiezentrum Brücke in Rendsburg ist am stärksten von dem Datenleck betroffen. Laut Weichert wurden dem ULD 2500 ins Internet gestellte Patienten-Datensätze zur Sicherstellung übermittelt, dann sei die Übermittlung abgebrochen. Nach Angaben der "Lübecker Nachrichten", die Weichert über den Daten-Skandal informiert hatten, konnten insgesamt 3593 Dokumente der Brücke im Internet abgerufen werden. Dabei handle es sich um Behörden- und Klinikbriefe, medizinische Befunde und psychologische Dokumentationen. Laut Weichert waren die Daten bis Donnerstag im Internet abrufbar. Betroffen von dem Datenleck ist auch eine Psychiatrie-Einrichtung im baden-württembergischen Winnenden. 162 Patienten-Dokumente dieser Einrichtung seien ins Internet gelangt, sagte Weichert.

Rebus-Geschäftsführerin Heike Rullmann betonte, dass die Dokumente nicht über eine Webseite hätten abgerufen werden können, allerdings übers Internet, "wenn man den genauen Weg wusste". Laut Rullmann waren nicht die besonders sensiblen Daten zur Pflege öffentlich zugänglich, also nicht das Herzstück der Datenbank, sondern Begleitdokumente wie ärztliche Notwendigkeitsbescheinigungen. "Wir haben bislang keine Erklärung, wie das Leck passieren konnte", sagte Rullmann. Rebus, ein Tochterunternehmen der Brücke-Gruppe, betreibt Datenbanken für mehrere soziale Dienste und Behörden in ganz Deutschland.

Quelle : www.heise.de

[SiLæncer]

Persönliche Daten und medizinische Befunde von tausenden Psychatriepatienten aus Schleswig Holstein standen monatelang, vielleicht sogar über Jahre hinweg völlig ungeschützt im Netz. Nachdem die Tageszeitung Lübecker Nachrichten das Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) über dieses Problem unterrichtet hatte, nahm das ULD einen Kontrollbesuch beim verantwortlichen Internet-Dienstleister Rebus vor und fand den Angaben zufolge vor allem eines vor: Chaos.

Die vorläufige Bestandsaufnahme der Datenschützer fällt vernichtend aus: "Beteiligt sind mehrere Einrichtungen bzw. Stellen, zwischen denen die Arbeitsverhältnisse und Verantwortlichkeiten unklar geregelt sind", teilte das ULD am Montag in Kiel mit. Qualitätskontrollen beim IT-Einsatz hätten nicht stattgefunden. "Eingesetzt wurde eine spezielle Software, deren Sicherheit anscheinend nie ernsthaft hinterfragt wurde." Die vorläufige Bestandsaufnahme habe ergeben, "dass fast alle Anforderungen an ein funktionsfähiges Datenschutzmanagement nicht beachtet wurden".

Zumindest aktuell bestehe jedoch keine Gefahr mehr, denn der Server mit den sensiblen Daten wurde abgeschaltet, erklärte Thilo Weichert, Leiter des ULD. Allerdings stehen die Patientendaten damit auch für den regulären Betrieb nicht mehr zur Verfügung.