Datenschutzverletzungen im Gesundheitswesen verbreiten sich weiterhin mit alarmierender Geschwindigkeit

Daten, die Gesundheitseinrichtungen und ihren Geschäftspartnern anvertraut werden, unterliegen einer Vielzahl von (bundes-)staatlichen Regelungen. Die umfassendste dieser Regelungen in den Vereinigten Staaten ist die HIPAA Omnibus Rule von 2013 („HIPAA“), durch die die eigenständigen, aber eng verwandten HIPAA- und HITECH-Gesetze von 1997 und 2009 modernisiert und kombiniert wurden. Vor dem Inkrafttreten der Omnibus Rule gab es Lücken in den Sicherheitsanforderungen und Strafen bei Nichteinhaltung von Vorschriften hinsichtlich medizinischer Unterlagen und damit verbundenen Daten.

Das öffentlichkeitswirksamste Resultat der HIPAA-Verordnung ist möglicherweise die Tatsache, dass Datenschutzverletzungen im Gesundheitswesen regelmäßig Schlagzeilen machen. CVS Health hat kürzlich mehr als eine Milliarde Datensätze offengelegt, darunter auch einige, die E-Mail-Adressen von Patienten enthielten. CaptureRX berichtete von einer Datenschutzverletzung, bei der Daten von mehr als 1,6 Millionen Patienten in 21 Gesundheitseinrichtungen offengelegt wurden. In anderen Berichten wird allerdings davon ausgegangen, dass Daten von mehr als 1,9 Millionen Patienten und 28 Einrichtungen betroffen waren. Die Accellion-Datenschutzverletzung hat zur Kompromittierung von 10 Gesundheitseinrichtungen und Daten von mindestens 3,47 Millionen Patienten geführt. Die Liste geht weiter und weiter. Die Vorfälle haben sich über das Jahr verteilt ereignet, aber die oben genannten Enthüllungen stammen alle aus Medienberichten dieses Monats.

5 potenzielle Formen der Datenschutzverletzung im Gesundheitswesen

Die meisten der großen Datenschutzverletzungen im Gesundheitswesen werden unter „Hacking/IT-Vorfälle" kategorisiert, aber es gibt noch viele andere Wege zu einer Datenschutzverletzung:

IT-Recycling (IT Asset Disposal): Die korrekte Entsorgung von veralteten Geräten ist einer der Punkte, die viele Unternehmen entweder nicht berücksichtigen oder nicht an die relevanten Parteien kommunizieren. Ein Beispiel hierfür ist der Datenschutzverstoß aus dem Jahr 2012, der durch einen Anbieter verursacht wurde, der Patientendaten im Müll entsorgte. Ein noch häufigeres Szenario ist ein Verfahren für das Recyceln von Computern, bei dem ein Prozess zur ordnungsgemäßen Vorbereitung von Speichergeräten fehlt. ITAD wird im aktuellen CISA-Bericht behandelt: „Defending Against Software Supply Chain Attacks“.

Falsch konfigurierte Anwendungen: Anwendungen, die nicht ordnungsgemäß gesichert wurden, können öffentlich zugänglich sein oder von bösartigen Bots gefunden werden. Aufgrund einer nicht passwortgeschützten Datenbank bei CVS Health sind 1 Milliarde Daten an die Öffentlichkeit geraten. Durch Vernachlässigung der im Vertrag mit dem staatlichen Gesundheitsministerium festgelegten Sicherheitsprotokolle veröffentlichte Insight Global die Contact-Tracing-Daten zur Ermittlung von COVID-Kontaktpersonen von mehr als 72.000 Bewohnern aus Pennsylvania.

Gerätediebstahl: Das Speichern sensibler Daten auf Arbeitsgeräten stellt immer ein Risiko dar. Wenn beispielsweise Patientendaten auf einem Laptop gespeichert werden, den man in seinem Auto liegen lässt, ist mit äußerst schwerwiegenden Konsequenzen zu rechnen. Bei einer Non-Profit-Organisation zur Suchtbehandlung in Kansas waren etwa 52.076 Patienten betroffen, als der Laptop eines Mitarbeiters aus dessen Auto gestohlen wurde. Zu den offengelegten Daten gehörten Namen, Sozialversicherungsnummern, Verschreibungsinformationen und mehr. Ein ähnlicher Vorfall im US-Bundesstaat Indiana führte zu einem potenziellen Datenschutzverstoß von mehr als 200.000 Patientenakten.

Fehler von Mitarbeitern: Irrtümer sind bekanntlich menschlich. Dennoch gibt es Fehler, die um einiges gravierender sind als andere. Beispielsweise wurden 91.000 Patientenakten offengelegt, als ein Mitarbeiter der Washington State Health Care Authority bei einer Tabelle um Hilfe bat, die vertrauliche Gesundheitsinformationen enthielt. Ein Mitarbeiter des Independence Blue Cross stellte versehentlich 16.762 Teildatensätze von Patienten auf einer öffentlich zugänglichen Website ein. Darüber hinaus lud ein Mitarbeiter des Wyoming Department of Health unbeabsichtigt COVID-19-Testdaten von über 164.000 Personen in das GitHub-Repository der Abteilung hoch.

Sonstige: Mitarbeiter des Radiology Regional Center in Florida konnten über 483.000 Krankenunterlagen aus dem Gebiet „rund um Fowler Street in Fort Myers“ wiedererlangen.  Die Unterlagen waren auf dem Weg zu einer Verbrennungsanlage aus einem Lastwagen gefallen. Bei einem anderen Vorfall erhielten Tausende von Klienten des Versicherers Aetna ein per Post versandtes Schreiben über eine Änderung der Leistungen. Dabei war der HIV-Status des Empfängers durch das Fenster auf dem Umschlag sichtbar.

Rekordgeschwindigkeit bei Datenschutzverletzungen

Im HIPAA Journal wurden kürzlich Aufzeichnungen aus einem Zeitraum von über 10 Jahren untersucht. Dabei wurde festgestellt, dass „Hacking-/IT-Vorfälle“ sowie „Unbefugte Zugriffe/Offenlegungen“ momentan die Hauptgründe für Datenschutzverstöße in Gesundheitseinrichtungen sind. Die Recherche ergab auch, dass zwischen 2009 und 2020 über 268.189.693 Datensätze aus dem Gesundheitswesen offengelegt wurden. Dabei lag die durchschnittliche Anzahl von Verstößen im Jahr 2020 bei 1,76 pro Tag. Es ist jedoch zu beachten, dass im HIPAA Journal nur über Datenschutzverletzungen berichtet wird, die 500 oder mehr Datensätze betreffen.

2020 war ein Rekordjahr für Datenschutzverletzungen im Gesundheitswesen, wobei seit 2009 – mit Ausnahme des Jahres 2015 – jedes Jahr ein Rekordjahr war. Unterm Strich ist jedoch das Jahr 2015 bis dato unübertroffener Spitzenreiter: Damals wurden nämlich mehr als 113,27 Millionen Datensätze kompromittiert, hauptsächlich aufgrund drei massiver Datenschutzverstöße bei Krankenkassen.

Die Anzahl von Datenschutzverstößen steigt auch 2021 kontinuierlich. Die Gesamtzahl der Datenschutzverletzungen im US-Gesundheitssystem zwischen dem 1. Januar und dem 31. Mai beträgt 264. Insgesamt sind 17.722.372 Gesundheitsdaten betroffen. Die aktuelle Melderate hat seit März 2 Meldungen pro Tag überschritten.

Selbst wenn es sich bei Ransomware auch weiterhin um eine wachsende Bedrohung handelt, gibt es zahlreiche weitere Ursachen für Datenverluste. Hier sind drei Aspekte, die Sie bei der Evaluierung Ihrer Compliance- und Sicherheitsstrategien beachten sollten:

1. E-Mail-Sicherheit. Barracuda bietet KI-basierte Anti-Phishing-Technologien, die vor Angriffen auf den Posteingang schützen können. Data Leak Protection verhindert, dass wichtige Daten per E-Mail an Außenstehende gesendet werden.  Der Office 365 Email Threat Scanner ermittelt alle Bedrohungen, die sich bereits in Ihren Posteingängen von Office 365 verstecken.


2. Schutz für Anwendungen: Die Barracuda Web Application Firewall (WAF) und WAF-as-a-Service können Ihre Web-Applikationen vor bösartigen Bots und Angriffsversuchen schützen. Der Barracuda Vulnerability Manager and Remediation Service ist ein kostenloses Tool, das automatisch Sicherheitslücken behebt, die in Scans erkannt werden. So können Sie sicherstellen, dass Ihre Datenbanken geschützt und nicht für die Öffentlichkeit zugänglich sind.


3. Datenschutz: Barracuda Backup schützt Ihre Daten – überall. Daten können an externe Standorte repliziert werden, u. a. auch an einen Speicherort des unbegrenzten Barracuda Cloud Storage. Barracuda Cloud-to-Cloud Backup ist eine SaaS-Lösung, die Daten aus Microsoft Teams, Exchange, SharePoint und OneDrive schützt. Der Barracuda Backup Configurator gewährleistet einen umfassenden Schutz sämtlicher Daten.

Cybersecurity- und Datenschutztechnologien schützen nicht vor schlecht designten Briefumschlägen und auch nicht davor, dass Dokumente aus einem Lastwagen fallen.  Sie sorgen jedoch dafür, dass Daten vor Hacking, Angriffsversuchen und versehentlichen Datenverlusten geschützt sind.  Besuchen Sie unsere Website, um herauszufinden, wie wir Ihrem Unternehmen bei der Aufrechterhaltung von Sicherheit und Compliance helfen können.