Gesundheitsdaten nur bedingt sicher

KIM = Kaos in der Medizin

Eigentlich sollte KIM ein sicherer E-Mail Service für die Medizin, also die Kommunikation zwischen Krankenkassen und Ärzten sein. Etwas ähnliches gibt es auch seit Jahren im Bereich der Justiz für Gerichte und Anwälte. Insofern handelt es sich nicht um die grandiosiste Innovation. 

Trotzem ging es schief. Wie auf dem 37. CCC Kongress in Hamburg von dem Münsteraner Sicherheitsforscher Christoph Saatjohann vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Münster und Sebastian Schinzel berichtet wurde, haben insgesamt acht Krankenkassen durch die Gematik den gleichen S/MIME-Key erhalten. Sichere E-Mail beruht auf dem seit den 80-iger Jahren von Phil Zimmermann entwickelten Public-Private-Key Verfahren. In öffentlichen Einrichtungen geschieht das nach dem Standard X.509, während im privaten Umfeld Jede/r seine Schlüsselpaare selbst generieren kann.

Wenn jedoch die Zertifizierungsstellen (CAs) für verschiedene Akteure die gleichen Schlüssel verteilen, dann war es das mit der Sicherheit sensibler medizinischer Daten. Das ist der GAU in der PKI - der Public Key Infrastructure.

Laut den Sicherheitsforschern hatten, wie Heise.de schreibt, einmal drei Krankenkassen denselben im September 2021 ausgestellten Schlüssel, bei einem zweiten Schlüssel fünf. 28% der Bürgerinnen und Bürger seien über diese acht Krankenkassen versichert gewesen. Dieser Vorfall war nicht der erste mit KIM. 2022 wurde eine Log4J-Schwachstelle im KIM-Clientmodul von T-Systems gefunden.

Künftig werden die Schlüssel nun monatlich auf Dopplungen geprüft.

Mehr dazu bei https://www.heise.de/news/37C3-Schluessel-fuer-E-Mail-Dienst-KIM-fuer-das-Medizinwesen-mehrfach-vergeben-9583275.html

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3y7 Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html

Allianz Risk Barometer: Cyber-Attacken Top-Risiko 2024

Cybervorfälle, wie Ransomware-Attacken, Datenpannen und IT-Ausfälle sind für Unternehmen weltweit in diesem Jahr das größte Risiko. Die damit eng verknüpften Betriebsunterbrechungen folgen auf dem zweiten Platz. Für das aktuelle Allianz Risk Barometer wurden mehr als 3.000 Risikoexperten aus 92 Ländern nach ihren Top-Unternehmensrisiken befragt. Unter den deutschen Teilnehmenden der Studie belegen Cyber-Attacken und Betriebsunterbrechungen ebenfalls die Plätze 1 (2023: 2) und 2 (2023: 1). Anders als weltweit bilden allerdings Änderungen von Gesetzen und Vorschriften – etwa Zölle, Sanktionen oder protektionistische Bestrebungen – Platz 3 (2023: 4). Auffällig ist, dass in Deutschland der Fachkräftemangel als großes Risiko wahrgenommen wird: Hierzulande liegt er auf Platz 4 und steigt gegenüber dem Vorjahr um zwei Positionen auf. Weltweit erreicht der Fachkräftemangel als Risiko lediglich Platz 10. Cyberattacken als Risiko Nr. 1 –  3 Jahre in Folge Cyber-Vorfälle (36 Prozent) sind zum dritten Mal in Folge und erstmals mit deutlichem Abstand von fünf Prozentpunkten das Hauptrisiko für Unternehmen. In 17 Ländern, darunter Australien, Deutschland, Frankreich, Indien, Japan, Großbritannien und den USA, stufen Expertinnen und Experten Gefahren durch Cyber-Attacken als größtes Risiko ein. 59 Prozent der Befragten nennen Datenpannen als die besorgniserregendste Bedrohung noch vor Angriffen auf kritische Infrastruktur oder Vermögenswerte mit 53 Prozent. Ransomware-Attacken treiben ebenfalls mehr als die Hälfte der Unternehmen um, da diese im vergangenen Jahr deutlich zugenommen haben. 2023 sind Schadenfälle gegenüber 2022 um mehr als 50 Prozent gestiegen. „Kriminelle suchen stets Mittel und Wege um neue Technologien, wie Generative AI, zur Automatisierung und Beschleunigung von Angriffen mit effektiverer Malware und Phishing einzusetzen. Die steigende Anzahl an Vorfällen aufgrund von schwacher Cyber-Sicherheit, hauptsächlich bei mobilen Endgeräten, wird in diesem Jahr erneut die Anzahl der Cyber-Vorfälle erhöhen. Fehlende Cyber-Fachkräfte und die zunehmende Abhängigkeit kleinerer Unternehmen von IT-Outsourcing befeuern diesen Trend zusätzlich“, erklärt Scott Sayce, Global Head of Cyber bei Allianz Commercial.   Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Elektronische Patientenakte für Datenmissbrauch

Die elektronische Patientenakte (ePA) fördert den Datenmissbrauch - kritisiert der Autor am 14.07.2023 in der Berliner Zeitung Elektonische Patientenakte - Schaufenster auf Ihre Gesundheit Andreas Heyer* Bislang sehen offenbar nur wenige Patienten einen Nutzen darin, ihre Gesundheits- und Behandlungsdaten zentral auf einem Server in einer elektronischen Patientenakte speichern zu lassen. Zwei Jahre nach Einführung der elektronischen Patientenakten haben sich bis Ende Januar 2023 nur 595.000 Versicherte dafür entschieden – das entspricht unter einem Prozent aller Versicherten. Aus Sicht der Bundesregierung reicht das nicht aus, um einen möglichst vollständigen Datensatz mit Gesundheitsdaten der Versicherten zu erstellen und diesen Institutionen aus öffentlicher und kommerzieller Forschung zur Auswertung zur Verfügung stellen zu können. Deshalb plant die Bundesregierung, das Prinzip umzukehren, sodass für alle Versicherten, die nicht ausdrücklich widersprechen, eine elektronischen Patientenakte angelegt wird. Das Portal Netzpolitik veröffentlichte Ende Juni die Referentenentwürfe des Bundesgesundheitsministeriums zum Digitalgesetz und zum Gesundheitsdatennutzungsgesetz. Gemäß Entwurf des Digitalgesetzes wären ab Januar 2025 die gesetzlichen Krankenversicherungen dazu verpflichtet, elektronische Patientenakten (ePA) für alle Versicherten anzulegen, die dem nicht ausdrücklich widersprochen haben (eine sogenannte Opt-Out-Regelung). Gleichzeitig sollen gemäß dem Gesetzentwurf Ärzte, Psychotherapeuten und andere Leistungserbringer des Gesundheitssystems dazu verpflichtet werden, ihre Behandlungsdaten auf die Server der Anbieter von elektronischen Patientenakten zu übertragen. Keine Kontrolle über den Verbleib der Daten Der Entwurf verpflichtet Ärzte und Psychotherapeuten ausdrücklich, Daten zu HIV-Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen in die ePA zu übermitteln. Bei diesen besonders sensiblen Daten soll es jedoch (im Gegensatz zur Übermittlung anderer Behandlungsdaten) eine Hinweispflicht des Behandlers auf die Widerspruchsrechte des Patienten geben. Das Grundkonzept einer Speichermöglichkeit digitalisierter Dokumente für Patienten, um ihren unterschiedlichen Fachärzten einen einfachen und zeitnahen Zugriff auf Vorbefunde von Kollegen zu ermöglichen, wenn dies der Patient befürwortet, kann durchaus sinnvoll sein. Entgegen früheren Vorschlägen werden die elektronischen Patientenakten jedoch nicht auf den Versichertenkarten der Patienten gespeichert, bei denen diese physisch die Kontrolle über den Verbleib ihrer Gesundheitsdaten behalten würden. Stattdessen wurde ein System eingeführt, in dem die ePA auf den Servern privater IT-Anbieter (in einer „Cloud“) gespeichert wird, mit denen die jeweilige Krankenkasse einen Vertrag abgeschlossen hat. Im Falle der Techniker Krankenkasse und der Barmer werden die elektronischen Patientenakten auf Servern des Unternehmens IBM gespeichert. Die Telematikinfrastruktur genannte digitale Infrastruktur des Gesundheitssystems wird über die Server der Bertelsmann-Tochter Arvato betrieben. Anfällig für Datenpannen Entgegen der Beteuerungen des Gesundheitsministeriums und der IT-Partner, dass die digitale Infrastruktur sicher sei, sind bereits zahlreiche Datenpannen aufgetreten. So wurde bekannt, dass seit der vor kurzem erfolgten Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung ca. 116.000 Datensätze durch einen Software-Fehler statt an die Krankenkassen an eine einzelne Arztpraxis versendet worden seien. In Finnland wurden Psychotherapie-Daten bei einem Cyberangriff gehackt und Patienten teilweise von den Cyber-Kriminellen zu Bitcoin-Zahlungen erpresst. In Australien seien die Gesundheitsdaten von 9,7 Millionen Versicherten einer Krankenversicherung von Hackern im Darknet veröffentlicht worden. Bereits dieses Jahr sind gesetzliche Krankenversicherungen dazu verpflichtet, ihre Abrechnungsdaten inklusive der Diagnosen, Medikation und Dauer der Behandlung ihrer Versicherten pseudonymisiert an das Forschungsdatenzentrum Gesundheit zu übertragen. Dabei ist kein Widerspruchsrecht von Versicherten vorgesehen. Behandlungsdaten zu Forschungszwecken Gemäß dem Gesetzentwurf zum Gesundheitsdatennutzungsgesetz sollen demnächst auch die Behandlungsdaten in den elektronischen Patientenakten über eine noch zu schaffende „Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten“ Universitäten und Unternehmen zur Auswertung für Forschungszwecke zugänglich gemacht werden können. Auch hierfür wird eine Regelung diskutiert, die die pseudonymisierte Datenweitergabe grundsätzlich erlauben würde, solange der Versicherte dem nicht aktiv widerspricht. Im Gegensatz zur Anonymisierung von Daten gilt die Pseudonymisierung jedoch unter Datenschutzaspekten als unsicherer, da durch enthaltene Angaben wie Geburtsjahr, Geschlecht und Postleitzahl des Patienten die Person aus den Pseudonymen in vielen Fällen rekonstruiert werden könnte. Weitergabe sensibler Daten erst nach ausdrücklicher Zustimmung? Man kann argumentieren, dass das Bundesgesundheitsministerium für das Ziel, möglichst große Gesundheitsdatenbanken zur Auswertung durch öffentliche und kommerzielle Forschung aufzubauen, durch die geplanten Opt-Out-Regelungen auf unmündige Bürger setzt, die sich nicht über Risiken der digitalen Übermittlung ihrer Gesundheits- und Behandlungsdaten informieren oder aus Bequemlichkeit der zentralisierten Datenspeicherung in der Cloud nicht aktiv widersprechen werden. Gleichzeitig betont die Politik, dass durch die geplante Opt-Out-Regelung jeder Versicherte die Möglichkeit behalte, der Übermittlung seiner Daten durch Ärzte und Psychotherapeuten in eine elektronische Patientenakte zu widersprechen. Um die bisherigen Prinzipien der ärztlichen Schweigepflicht zu bewahren, wäre es wichtig, dass die Weitergabe sensibler Behandlungsdaten durch Ärzte und Psychotherapeuten wie bisher nur nach ausdrücklicher Zustimmung durch Patienten erlaubt bleibt. Wenn jedoch die Opt-Out-Regelungen politisch durchgesetzt werden sollten, bleibt Patienten die Möglichkeit, sich als mündige Bürger über Chancen und Risiken der geplanten Übermittlung ihrer Gesundheitsdaten in zentrale Datenbanken zu informieren und zu entscheiden, ob sie der Verwendung ihrer Daten widersprechen möchten oder nicht. *Der Autor arbeitet als Psychologischer Psychotherapeut mit tiefenpsychologisch-fundierter Fachrichtung in eigener Praxis. Der Beitrag erschien zuerst in der Berliner Zeitung unter dem Titel: "Medizin vs. Digitalisierung: Welche Gefahren birgt die elektronische Pateientenakte?" Dieser Beitrag unterliegt der Creative Commons Lizenz (CC BY-NC-ND 4.0). Er darf für nicht kommerzielle Zwecke unter Nennung des Autors und der Berliner Zeitung und unter Ausschluss jeglicher Bearbeitung von der Allgemeinheit frei weiterverwendet werden. * * * Nachtrag vom 06.02.2024: Der Bundesrat billigte zwei Gesetzentwürfe des Bundesgesundheitsministeriums zur umfassenderen Nutzung des elektronischen Rezepts (E-Rezept) und der elektronischen Patientenakte (ePA).  Lesen Sie den ganzen Artikel

Tweeted

Teilnehmer für Online-Studie gesucht! Thema: "Studie über Datenpannen im Gesundheitssektor" https://t.co/UZ1xADok1w via @SurveyCircle #unigoettingen #pretest #versicherungen #datenschutzvorfall #datenpannen #masterthesis https://t.co/QnIgJCEFx9

— Daily Research @SurveyCircle (@daily_research) May 2, 2023

64.000 weitere Patienten von Omnicell-Datenpanne betroffen - Wie sieht dein Aktionsplan für Datenpannen aus?

64.000 weitere Patienten von Omnicell-Datenpanne betroffen – Wie sieht dein Aktionsplan für Datenpannen aus?

Im April 2022 meldete Omnicell eine Datenpanne, von der fast 62.000 Patienten betroffen waren. Das Unternehmen hat bekannt gegeben, dass weitere 64.000 Personen von dem Vorfall betroffen sind. Damit steigt die Gesamtzahl der betroffenen Patienten auf über 126.000. Wirst du das nächste Opfer wie Omnicell sein? Wenn du die Bedeutung des Datenschutzes vernachlässigst, können Angreifer dich im…

View On WordPress

Deutschland auf Rang 2 der meisten Datenpannen in Europa

Deutschland auf Rang 2 der meisten Datenpannen in Europa

Fast die Hälfte (47%) der Firmen geben an, dass Nachforschungen am meisten von fehlenden Ressourcen beeinflusst werden

Der führende Anbieter für Ethik- und Compliance-Software und -Dienstleistungen, NAVEX Global®, hat einen neuen Bericht über Datensicherheit und Compliance in Unternehmen veröffentlicht. Dabei ergab sich, dass zwischen Mai 2018 und Januar 2019 in Deutschland…

View On WordPress

#Dagegen #Datenpannen #Euch #Ihr #Könnt #Schützen #Und #Wie #ReviewsAndNews

6 Datenpannen – und wie ihr euch dagegen schützen könnt

Wikipedia listet seit dem Zeitpunkt dem Jahr 2004 mehr denn 235 Datenpannen weltweit. Die Pannen nach sich ziehen Konsequenzen zu Händen die attackierten Organisationen, trotzdem im gleichen Sinne zu Händen deren Kunden und Mitglieder. Manche Fälle sorgen sofort z. Hd....

Read More on http://dietech-welt.com/6-datenpannen-und-wie-ihr-euch-dagegen-schuetzen-koennt/

Multi-Faktor-Authentifizierung mit Microsoft 365: App-Kennwörter E-Mail-Anwendungen erstellen

Mehrstufige Authentifizierung – ohne Kosten für Sie Schützen Sie Ihr Unternehmen vor Datenpannen, die durch verlorene oder gestohlene Anmeldeinformationen verursacht werden. Ein Klick genügt, um alle Ihre Apps zu schützen.

Unternehmen, die auf Microsoft 365 setzen, sollten darauf achten die Multi-Faktor-Authentifizierung zu aktivieren. Anschließend kann es aber notwendig sein bei bestimmten Apps die Kennwörter zu enden, zum Beispiel bei Scannern, die automatisiert Dokumente versenden. Aktivieren Administratoren die Multifaktor-Authentifizierung, müssen sich Anwender nach der Anmeldung an Microsoft 365-Diensten…

View On WordPress

CCC Kongress wieder analog

CCC in Hamburg wieder zum "Anfassen"

So richtig analog und zum Anfassen startet in den letzten Tagen des Jahres wieder der CCC Kongress und diesmal (wieder) in Hamburg. Trotzdem werden die Veranstatungen auch im Stream zu sehen sein.  Das Motto des 37. Chaos Communication Congress ist "Unlocked". Mehr als 130 Veranstaltungen finden vom 27. bis 30. Dezember im Congress Center Hamburg (CCH) statt. Netzpolitik.org berichtet über das Programm und die Highlights.

Die Themen sind

Gesundheitsdigitalisierung,

Online-Werbeindustrie,

digitaler Migrationskontrolle

KI,

Killerroboter,

Pushbacks,

Chatkontrolle,

das Hacken für die Zukunft,

und vieles mehr ...

Mehr zu den einzelnen Veranstaltungen entweder direkt auf den Seiten des CCC oder in den verlinkten Artikeln von netzpolitik.org.

Mehr dazu bei https://netzpolitik.org/2023/chaos-communication-congress-netzpolitik-org-auf-dem-37c3/ und https://netzpolitik.org/2023/37c3-unsere-tipps-fuer-den-chaos-communication-congress/

Kategorie[26]: Verbraucher- & ArbeitnehmerInnen-Datenschutz Short-Link dieser Seite: a-fsa.de/d/3y5 Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8631-20231227-ccc-kongress-wieder-analog.html

Cybervorfälle – Geschäftsrisiko Nummer 1

Cybervorfälle bleiben auch 2024 das größte Geschäftsrisiko weltweit, so das aktuelle Allianz Risk Barometer. Darunter fallen Datenpannen, aber vor allem Angriffe auf kritische Infrastrukturen oder Vermögenswerte sowie Ransomware-Attacken. Das Allianz Risk Barometer nennt auf Platz zwei der Umfrage in Deutschland Betriebsunterbrechungen. Mittlerweile bildet die IT die Basis für nahezu alle Geschäftsprozesse. So sind bei einer Kompromittierung oder Störung direkt alle oder viele Unternehmensbereiche betroffen und Betriebsunterbrechungen schnell die Folge – was ihren Platz auf dem Barometer erklärt. Durch die Einstufung von Cyberrisiken als größtes Geschäftsrisiko, kommt der Risikobewertung eine bedeutende Rolle zu und so ist naturgemäß die Zuständigkeit bei der Unternehmensleitung anzusiedeln. Alle Risiken können nicht vermieden werden. Das Besondere bei IT-Risiken ist allerdings, dass sie sich dynamisch verändern und deshalb eine Abwägung durch die Geschäftsführung häufig und teilweise ohne Vorwarnung erfolgen muss. Cybersecurity als Business Enabler Kein CEO kommt heute darum herum, sich mit Cyberrisiken auseinanderzusetzen und sie in ihrer Relevanz für das eigene Unternehmen einzuschätzen. Hier ist der Chief Information Security Officer (CISO) als wichtigster Berater gefragt, der an der Seite des Geschäftsführers über die relevanten IT-Security-Informationen verfügt. Dieser benötigt für eine fundierte Risikobewertung eine Analyse interner und externer IT-Security-Informationen. Unternehmen müssen ihre IT-Umgebung und mögliche Schwachstellen genau kennen und diese in Relation mit aktuellen Angriffsmustern und Gefahren betrachten. Indem sie die individuell für ihr Unternehmen größten Risiken identifizieren und priorisieren, können sie genau die Security-Ressourcen effizient dort einsetzen, wo sie diese am dringendsten benötigen. Eine aktuelle Studie von Trend Micro in Zusammenarbeit mit dem Brandenburgischen Institut für Gesellschaft und Sicherheit (BIGS) unterstreicht, dass Investitionen in Cybersicherheit weit mehr als eine rein defensive Maßnahme darstellen. Sie sind ein bedeutender Hebel für Geschäftswachstum und Kundenzufriedenheit. Die Studie untermauert, wie wichtig eine ganzheitliche und vorausschauende Herangehensweise ist: Cybersecurity ist somit ein zentrales Element für den unternehmerischen Erfolg, schafft Mehrwert für Kunden und fördert innovative Geschäftsmodelle. Die richtige Cybersecurity-Strategie wird so zum Business Enabler der Zukunft. Fachkräftemangel als wachsendes Risiko Der demografische Wandel, der besonders durch das Ausscheiden der Generation der Baby Boomer aus dem Arbeitsmarkt in allen Branchen geprägt ist, zeigt sich auch im aktuellen Allianz Risk Barometer. Weltweit wird die Verschärfung des Fachkräftemangels weniger als Geschäftsrisiko gesehen (Platz 10), in Deutschland dagegen belegt er Platz vier. In vielen Ländern ist die Arbeitslosenquote weiterhin sehr niedrig; in Deutschland beispielsweise lag sie 2023 bei 5,7 Prozent, einer der niedrigsten Werte der letzten 18 Jahre. Unternehmen suchen in fast allen Branchen nach Mitarbeitern. Besonders groß sind die Lücken bei den offenen Stellen für IT- und Datenexperten. Laut BITKOM waren im Dezember 2023 in Deutschland 149.000 Stellen im IT-Bereich unbesetzt. KI-Tools bieten Entlastung Um mit dem Fachkräftemangel in Sicherheitsteams, die mit der schieren Menge, Komplexität und schnellen Entwicklung von Bedrohungsdaten zu kämpfen haben, umzugehen, gibt es eine Reihe technologischer Unterstützungsmöglichkeiten. Der Einsatz generativer KI-Tools, wie „Trend Companion“, kann helfen. Solche Tools, die in einfacher Sprache zu bedienen sind, reduzieren die Komplexität von Sicherheitsmeldungen und -reports, was Sicherheitsabläufe beschleunigt. Außerdem kann Extended Detection and Response (XDR) bestehende Sicherheitssysteme in Unternehmen um wertvolle Automatisierungsfunktionen erweitern. KI-gestützte XDR kann die Effizienz im unternehmenseigenen Security Operation Center (SOC) insgesamt steigern und interne Fachkräfte entlasten. Indem Unternehmen die technischen Möglichkeiten der modernen Detection und Response ausschöpfen und sich maximal durch Automatisierung und KI unterstützen lassen, können sie sich am besten vor der wachsenden Bedrohung durch Cyberangriffe schützen. Ransomware bleibt als "die Bedrohung" Insbesondere Ransomware-Attacken bleiben für Hacker ein lukratives Geschäftsmodell. Solche Vorfälle werden häufig erst entdeckt, wenn es bereits zu spät ist. Das ist vor allem in kleineren Unternehmen der Fall, denen schlichtweg die Ressourcen für eine ausgereifte Cyber-Defense-Strategie fehlen. Um sich zu schützen, können Unternehmen auf Beratung durch Managed Security Service Providern (MSSP) verstehen, wie sie den Fachkräftemangel kompensieren und für eine umfassende Security-Strategie sorgen. Denn größenunabhängig ist kaum ein Unternehmen heute noch in der Lage, die wachsenden Security-Herausforderungen allein zu stemmen.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Elektronische Patientenakte für Datenmissbrauch

Die elektronische Patientenakte (ePA) fördert den Datenmissbrauch - kritisiert der Autor am 14.07.2023 in der Berliner Zeitung Elektonische Patientenakte - Schaufenster auf Ihre Gesundheit Andreas Heyer* Bislang sehen offenbar nur wenige Patienten einen Nutzen darin, ihre Gesundheits- und Behandlungsdaten zentral auf einem Server in einer elektronischen Patientenakte speichern zu lassen. Zwei Jahre nach Einführung der elektronischen Patientenakten haben sich bis Ende Januar 2023 nur 595.000 Versicherte dafür entschieden – das entspricht unter einem Prozent aller Versicherten. Aus Sicht der Bundesregierung reicht das nicht aus, um einen möglichst vollständigen Datensatz mit Gesundheitsdaten der Versicherten zu erstellen und diesen Institutionen aus öffentlicher und kommerzieller Forschung zur Auswertung zur Verfügung stellen zu können. Deshalb plant die Bundesregierung, das Prinzip umzukehren, sodass für alle Versicherten, die nicht ausdrücklich widersprechen, eine elektronischen Patientenakte angelegt wird. Das Portal Netzpolitik veröffentlichte Ende Juni die Referentenentwürfe des Bundesgesundheitsministeriums zum Digitalgesetz und zum Gesundheitsdatennutzungsgesetz. Gemäß Entwurf des Digitalgesetzes wären ab Januar 2025 die gesetzlichen Krankenversicherungen dazu verpflichtet, elektronische Patientenakten (ePA) für alle Versicherten anzulegen, die dem nicht ausdrücklich widersprochen haben (eine sogenannte Opt-Out-Regelung). Gleichzeitig sollen gemäß dem Gesetzentwurf Ärzte, Psychotherapeuten und andere Leistungserbringer des Gesundheitssystems dazu verpflichtet werden, ihre Behandlungsdaten auf die Server der Anbieter von elektronischen Patientenakten zu übertragen. Keine Kontrolle über den Verbleib der Daten Der Entwurf verpflichtet Ärzte und Psychotherapeuten ausdrücklich, Daten zu HIV-Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen in die ePA zu übermitteln. Bei diesen besonders sensiblen Daten soll es jedoch (im Gegensatz zur Übermittlung anderer Behandlungsdaten) eine Hinweispflicht des Behandlers auf die Widerspruchsrechte des Patienten geben. Das Grundkonzept einer Speichermöglichkeit digitalisierter Dokumente für Patienten, um ihren unterschiedlichen Fachärzten einen einfachen und zeitnahen Zugriff auf Vorbefunde von Kollegen zu ermöglichen, wenn dies der Patient befürwortet, kann durchaus sinnvoll sein. Entgegen früheren Vorschlägen werden die elektronischen Patientenakten jedoch nicht auf den Versichertenkarten der Patienten gespeichert, bei denen diese physisch die Kontrolle über den Verbleib ihrer Gesundheitsdaten behalten würden. Stattdessen wurde ein System eingeführt, in dem die ePA auf den Servern privater IT-Anbieter (in einer „Cloud“) gespeichert wird, mit denen die jeweilige Krankenkasse einen Vertrag abgeschlossen hat. Im Falle der Techniker Krankenkasse und der Barmer werden die elektronischen Patientenakten auf Servern des Unternehmens IBM gespeichert. Die Telematikinfrastruktur genannte digitale Infrastruktur des Gesundheitssystems wird über die Server der Bertelsmann-Tochter Arvato betrieben. Anfällig für Datenpannen Entgegen der Beteuerungen des Gesundheitsministeriums und der IT-Partner, dass die digitale Infrastruktur sicher sei, sind bereits zahlreiche Datenpannen aufgetreten. So wurde bekannt, dass seit der vor kurzem erfolgten Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung ca. 116.000 Datensätze durch einen Software-Fehler statt an die Krankenkassen an eine einzelne Arztpraxis versendet worden seien. In Finnland wurden Psychotherapie-Daten bei einem Cyberangriff gehackt und Patienten teilweise von den Cyber-Kriminellen zu Bitcoin-Zahlungen erpresst. In Australien seien die Gesundheitsdaten von 9,7 Millionen Versicherten einer Krankenversicherung von Hackern im Darknet veröffentlicht worden. Bereits dieses Jahr sind gesetzliche Krankenversicherungen dazu verpflichtet, ihre Abrechnungsdaten inklusive der Diagnosen, Medikation und Dauer der Behandlung ihrer Versicherten pseudonymisiert an das Forschungsdatenzentrum Gesundheit zu übertragen. Dabei ist kein Widerspruchsrecht von Versicherten vorgesehen. Behandlungsdaten zu Forschungszwecken Gemäß dem Gesetzentwurf zum Gesundheitsdatennutzungsgesetz sollen demnächst auch die Behandlungsdaten in den elektronischen Patientenakten über eine noch zu schaffende „Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten“ Universitäten und Unternehmen zur Auswertung für Forschungszwecke zugänglich gemacht werden können. Auch hierfür wird eine Regelung diskutiert, die die pseudonymisierte Datenweitergabe grundsätzlich erlauben würde, solange der Versicherte dem nicht aktiv widerspricht. Im Gegensatz zur Anonymisierung von Daten gilt die Pseudonymisierung jedoch unter Datenschutzaspekten als unsicherer, da durch enthaltene Angaben wie Geburtsjahr, Geschlecht und Postleitzahl des Patienten die Person aus den Pseudonymen in vielen Fällen rekonstruiert werden könnte. Weitergabe sensibler Daten erst nach ausdrücklicher Zustimmung? Man kann argumentieren, dass das Bundesgesundheitsministerium für das Ziel, möglichst große Gesundheitsdatenbanken zur Auswertung durch öffentliche und kommerzielle Forschung aufzubauen, durch die geplanten Opt-Out-Regelungen auf unmündige Bürger setzt, die sich nicht über Risiken der digitalen Übermittlung ihrer Gesundheits- und Behandlungsdaten informieren oder aus Bequemlichkeit der zentralisierten Datenspeicherung in der Cloud nicht aktiv widersprechen werden. Gleichzeitig betont die Politik, dass durch die geplante Opt-Out-Regelung jeder Versicherte die Möglichkeit behalte, der Übermittlung seiner Daten durch Ärzte und Psychotherapeuten in eine elektronische Patientenakte zu widersprechen. Um die bisherigen Prinzipien der ärztlichen Schweigepflicht zu bewahren, wäre es wichtig, dass die Weitergabe sensibler Behandlungsdaten durch Ärzte und Psychotherapeuten wie bisher nur nach ausdrücklicher Zustimmung durch Patienten erlaubt bleibt. Wenn jedoch die Opt-Out-Regelungen politisch durchgesetzt werden sollten, bleibt Patienten die Möglichkeit, sich als mündige Bürger über Chancen und Risiken der geplanten Übermittlung ihrer Gesundheitsdaten in zentrale Datenbanken zu informieren und zu entscheiden, ob sie der Verwendung ihrer Daten widersprechen möchten oder nicht. *Der Autor arbeitet als Psychologischer Psychotherapeut mit tiefenpsychologisch-fundierter Fachrichtung in eigener Praxis. Der Beitrag erschien zuerst in der Berliner Zeitung unter dem Titel: "Medizin vs. Digitalisierung: Welche Gefahren birgt die elektronische Pateientenakte?" Dieser Beitrag unterliegt der Creative Commons Lizenz (CC BY-NC-ND 4.0). Er darf für nicht kommerzielle Zwecke unter Nennung des Autors und der Berliner Zeitung und unter Ausschluss jeglicher Bearbeitung von der Allgemeinheit frei weiterverwendet werden. Lesen Sie den ganzen Artikel

Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird

Bald entscheidet der Bundesrat über das Patientendatenschutzgesetz. Doch die aktuelle Fassung schützt vorallem die Verantwortlichen möglicher ­Datenpannen. Read more www.heise.de/news/…... www.digital-dynasty.net/de/teamblogs/…

http://www.digital-dynasty.net/de/teamblogs/warum-es-bei-kunftigen-datenpannen-in-der-medizin-keine-schuldigen-geben-wird

Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird via /r/de

Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird https://ift.tt/31xexu6 Submitted August 27, 2020 at 10:22PM by KabaIntravenoes via reddit https://ift.tt/3hAGIhr

Security-Automatisierung senkt die Kosten von Datenpannen beträchtlich Deutschland führt weltweit in der Security-Automatisierung – das zeigen die neuesten Ergebnisse der von IBM Security und dem Ponemon Institut veröffentlichten „Cost of a Data Breach“- Studie.

2019, das schlimmste Security-Jahr?

Ob es nun das schlimmste Jahr war oder nicht, passiert ist auf jeden Fall einiges. Mit diesem Januar Blogpost, möchte ich euch einen kurzen Jahresrückblick zu verschiedenen Themen geben.

Windows 7 - End of Life

Da noch immer sehr viele Windowsbenutzer, Windows 7 auf ihren Geräten installiert haben, möchte ich dieses Thema kurz aufgreifen.

Microsoft hat nach über 10 Jahren den Betrieb für Windows 7 eingestellt. Eure Geräte werden in Zukunft noch funktionieren, erhalten jedoch keine Updates mehr.

Ouuu, das habe ich nicht gewusst!! Was kann ich tun?

Ich persönlich würde die Situation nutzen und eure Geräte komplett mit Windows 10 neu installieren.

Alternativ könnt ihr auch ein Backup erstellen und das Upgrade direkt von der aktuellen Installation aus starten.

Beliebteste Passwörter

Das Hasso Plattner Institut auch dieses Jahr wieder die 20 beliebtesten Passwörter der Deutschen veröffentlicht.

Warum benutzen Menschen im Jahr 2020 noch immer solche Passwörter?

Ja das ist die Frage... Ich kann es nicht wirklich nachweisen, aber meiner Meinung nach ist es meistens aus Bequemlichkeit und ab und zu noch immer wegen Unwissenheit.

Egal aus welchem Grund, Personen die sich angesprochen fühlen, sollten nochmal meinen Blogbeitrag über Passwörter lesen.

Malware

Kaspersky Labs hat im Dezember von einem Anstieg identifizierter Malware von 21643946 auf 24610126 berichtet. Das bedeutet, dass im Jahr 2019 13.7% mehr schädliche Programme entwickelt wurden.

Etwas Positives gibt es jedoch zu berichten. Da sich die User über die Gefahren immer bewusster werden, müssen sich die Malwareentwickler immer wieder neu orientieren.

Datenpannen

IBM Security veröffentlicht seit einigen Jahren einen Report über die durchschnittlichen Kosten, welche eine Datenpanne bei Firmen auslöst.

Die USA führt die Liste mit $8.19 Millionen an, gefolgt von dem mittleren Osten mit $5.97 Millionen und Deutschland mit $4.78 Millionen.

Wie entstehen solche Kosten?

Grundsätzlich werden 4 Faktoren miteingerechnet.

1)    Der grösste Teil nennt sich «lost business». Darin enthalten sind Aktivitäten im Zusammenhang mit Kosten für verlorene Geschäfte einschließlich Einnahmeverlust, Betriebsunterbrechung, Systemausfallzeiten und Neukundengewinnung.

2)    «Detection and escalation» ist der zweitgrösste Teil. Dieser beinhaltet Aktivitäten, die es einem Unternehmen ermöglichen, den Verstoß aufzudecken und den entsprechenden Mitarbeitern zu melden.

3)    «Post breach» ist der dritte Posten. In dieser Kategorie befinden sich die Kosten für Prozesse zur Unterstützung der Kundenkommunikation (z.B. Call Center), sowie die Kosten verbunden mit Schadenersatz und Wiederherstellung von Systemen.

4)    Am wenigsten kostet dann die Kategorie «Notification». Das sind Aktivitäten, die es dem Unternehmen ermöglichen, Personen, deren Daten bei dem Verstoss kompromittiert wurden, und die Regulierungsbehörden zu benachrichtigen.

Durch was wird so eine Datenpanne ausgelöst?

Nehmt euch mal 30 Sekunden Zeit und ratet einfach mal drauf los.

  Hast du geraten?

 Wirklich?

 Ok! 51% sind nach wie vor böswillige oder kriminelle Angriffe. Diese beinhalten Hacks, Malware & Phishing Angriffe etc.

25% werden von Systemfehlern und 24% durch menschliche Fehler ausgelöst.

Und wie betrifft uns so eine Datenpanne?

Bis Dezember 2019 gingen 7.9 Milliarden Datensätze verloren oder sie wurden gestohlen. Darunter Kreditkartennummern, Wohnadressen, Telefonnummern, Namen und andere hochsensible Informationen. Leider sind das auch nur die, welche gemeldet wurden. Die Dunkelziffer ist noch um einiges höher.

Verteilt eure Daten also nach wie vor möglichst sparsam. Auch wenn ihr alles richtig macht, heisst es nicht, dass die Plattform die ihr verwendet alles richtig macht.

Wie ihr sehen könnt, bleibt die IT-Welt im Wandel. Ich werde auch im Jahr 2020 wieder versuchen, euch mit Informationen und Tipps und Tricks zur IT-Sicherheit beizustehen.

Bei Fragen stehe ich natürlich gerne wie immer zur Verfügung.

Bleibt sicher, euer Peter