Bei internen Untersuchungen hat die Region Süddänemark vier Verstöße gegen den Datenschutz im Zusammenhang mit personenbezogenen Daten festgestellt – und diese selbst der Datenschutzaufsichtsbehörde gemeldet.

Wie die Region, die für das Krankenhaus- und Rettungswesen in der Region zuständig ist, am Dienstag mitteilt, sind die Verstöße aufgefallen, weil die Region selbst im Frühjahr eine „gründliche Untersuchung der Gefahr von Sicherheitsverstößen in sämtlichen Netzwerken der Region“ eingeleitet hat.

Bereits zuvor hatte die Region zwei Verstöße festgestellt und gemeldet – die jüngsten vier Fälle sind am 18. August den Behörden mitgeteilt worden.

IT-Chef: Kein Hinweis auf unbefugten Zugang

„Ich möchte unterstreichen, dass wir durch unsere Untersuchungen keinerlei Verdachtsmomente haben, die darauf hinweisen, dass Unbefugte Zugang zu Informationen durch unsere Systeme erhalten haben“, sagt der IT-Chef der Region, Morten Lundgaard.

Es würde „außergewöhnlich tief gehende IT-Kenntnisse und außergewöhnliches Glück“ voraussetzen, auf die gefundenen Sicherheitslücken zu stoßen und sie zur Datenbeschaffung zu nutzen, meint er.

Vier Systeme betroffen

Betroffen sind die Systeme Mosaiq, Callisto Eye, DICOM sowie hörgerätespezifische Daten.

Mosaiq wird in der Krebsbehandlung eingesetzt und verwaltet unter anderem Buchungen, Bestrahlungspläne und Gesundheitsdaten in der Onkologischen Abteilung am Uniklinikum in Odense. Das Loch wurde am 10. Juli gestopft – habe allerdings bereits seit Januar 2017 offen gestanden, so die Region.

Das System Callisto Eye verwaltet Patientendaten in den Augenabteilungen in Odense und Sonderburg. Auch diese Lücke, die seit Juni 2020 bestand, wurde geschlossen – am 9. Juli.

Das Sytem DICOM verwaltet Scanning-Aufnahmen und personenbezogene Daten aus der Kieferchirurgie am Uniklinikum Odense. Auch diese Lücke wurde laut Region am 9. Juli geschlossen, auch sie habe seit Juni 2020 bestanden.

Die hörgerätespezifischen, personenbezogenen Daten, die am Uniklinikum Odense verwaltet werden, sind „kurz nach dem Verstoß im DICOM-Bilderserver“ entdeckt worden und der Zugung zum System sei am 12. August abgeschaltet worden. Da die Fehlerursache hier noch unbekannt ist, bleibt das System abgeschaltet.

IT-Chef mahnt zu Aufmerksamkeit

In allen vier Fällen war es möglich, dass andere Mitarbeiter als jene, die dem betreffenden Patienten zugeordnet waren, Dokumente aus dem Netzwerklaufwerk des Systems abzurufen. In zwei der Systeme war es sogar möglich, Angaben in diesen Dokumenten zu ändern. Es sei jedoch in keinem der vier Fälle möglich gewesen, Zugriff auf personenbezogene Daten auf den gemeinsamen Servern zu erlangen.

Zudem sei der Zugriff für Unbefugte durch technische Einschränkungen weiter begrenzt gewesen. Und die Daten, zu denen sich Unbefugte Mitarbeiter hätten Zugang verschaffen können, seien für Unkundige nur schwerlich bestimmten Personen zuzuordnen gewesen.

In ihrer Pressemitteilung legt die Region genau dar, wie Unbefugte sich Zugang hätten verschaffen können – und wie unwahrscheinlich dies gewesen sei.

Dennoch mahnt IT-Chef Lundgaard, dass Patienten, die im Zeitraum 2017 bis Juni 2020 in obengenannten Abteilungen in Behandlung waren, die Behörden darauf hinweisen sollten, wenn sich zum Beispiel Vorfälle wie Identitätsdiebstahl ereignen oder Unbefugte sich mittels der CPR-Nummer Zugang zu Bankdaten verschafft haben und dergleichen.

Laut Region sollen die internen Untersuchungen unvermindert weitergeführt werden.