Update: Schwarzmarkt für Patientendaten

Wieso eigentlich dieses ganze Gewese um Datenschutz im Gesundheitswesen? Klar, die ärztliche Schweigepflicht muss gewahrt werden, aber geht es dabei nicht eher darum, den Patienten vor neugierigen Verwandten, Nachbarn oder Arbeitgebern zu schützen? Anders gefragt: Hat irgendjemand außerhalb des persönlichen Umfeldes eines Patienten ein Interesse daran, unrechtmäßig Einblick in seine (elektronische) Akte zu nehmen?

Nachweislich: ja – siehe auch „Black market value of patient data“ (BalCCon 2k16) bei YouTube und meinen Artikel „Patientendaten auf dem Schwarzmarkt“ im aktuellen E-Health-Compass IT-Sicherheit (S. 22) der E-HEALTH-COM.

Nach wie vor ist der Schwarzmarkt – naturgemäß – nur unter Schwierigkeiten statistisch zu erfassen oder anders zu erforschen. Es arbeiten aber noch andere an dem Thema: US-amerikanische Sicherheitsforscher vom Institute for Critical Infrastructure Technology (ICIT) haben in der letzten Woche einen Report über die Verwertung gestohlener Patientendaten im Darknet veröffentlicht: Your Life, Repackaged and Resold. The Deep Web Exploitation of Health Sector Breach Victims.

Schon Ende September hat das ICIT den US-Senat über die Ergebnisse der Untersuchung gebrieft. Der bisher größte Datendiebstahl im Gesundheitswesen im Juni 2016 – auch hier im Blog bereits besprochen – scheint also offizielle Stellen aufgerüttelt zu haben.

Der Bericht fasst noch einmal sehr schön zusammen, warum einerseits Krankenhäuser und andere Gesundheitsversorger nur mittelmäßig motiviert sind, mehr Ressourcen in ihre IT-Abwehr zu stecken:

  • Das Krankenhaus kann nach einem Datendiebstahl (anders als beispielsweise nach einer Ransomware-Attacke) den Betrieb in der Regel ungestört weiterführen oder nach kurzer Verzögerung wieder aufnehmen.
  • Ob Betroffene vor Gericht ziehen, ist ungewiss; wenn ja, ist ebenso ungewiss, ob und in welcher Höhe eine Geldbuße gegen das Krankenhaus verhängt wird.
  • Neben einer möglichen Geldbuße führt ein Datendiebstahl allenfalls zu einem Gesichtsverlust in der Öffentlichkeit – eine negative Folge, deren finanzielle Auswirkungen schwer zu konkretisieren sind.

Die Auswirkungen auf die betroffenen Patienten können dagegen schwerwiegend sein:

  • Die mit einer Patientenakte in falsche Hände gerateten Informationen können vom Patienten nicht geändert oder zurückgerufen werden wie beispielsweise im Fall einer gestohlenen Kreditkarte oder eines Passworts. Eine Anamnese bleibt eine Anamnese bleibt eine Anamnese, und eine Blutgruppe bleibt eine Blutgruppe bleibt eine Blutgruppe.
  • Wenn mit Hilfe der gestohlenen Daten ein Identitätsdiebstahl begangen wird, können die finanziellen Folgen für den Betroffenen ruinös sein.
  • Auch die gesundheitlichen Folgen eines Identitätsdiebstahls können katastrophal sein, wenn der Dieb sich unter falschem Namen in medizinische Behandlung begibt und beispielsweise andere Risikofaktoren und Vorerkrankungen hat.
  • Auch Kinder können betroffen sein, die sich weder bewusst in eine Gefahrensituation begeben haben noch irgend etwas tun können, um der Gefahr entgegenzuwirken, und die dennoch möglicherweise für den Rest ihres Lebens an den Folgen zu tragen haben.
  • Die Hilfen, die den Betroffenen von der Regierung (in diesem Fall der US-Regierung) und dem Gesundheitswesen zur Verfügung gestellt werden, sind unzureichend, weil der Verbraucherschutz im Bereich des Gesundheitswesens noch nicht gut definiert ist. (Hier wäre zu untersuchen, wie die Verhältnisse in Deutschland sind.)

Zitat aus dem Report:

The entire brutal impact of the incident that resulted from poor cybersecurity and inadequate cyber-hygiene on behalf of the healthcare organization is forced onto the shoulders of the victim to deal with for the rest of their life.

(„Die ganzen grausamen Auswirkungen eines solchen Zwischenfalls – verursacht durch unzureichende IT-Sicherheit und Cyberhygiene auf Seiten des Gesundheitsversorgers – lasten auf den Schultern des Opfers, das für den Rest seines Lebens mit den Folgen zu tun haben wird.“)