Patientendaten aus französischer Medizin-Cloud offen im Internet

Kaum ein Tag vergeht ohne einem Sicherheitsvorfall. Diesmal ist ein französisches Medizinunternehmen betroffen. Fast eine Million Dateien mit Patientendaten waren offen aus Internet erreichbar. Die Ursache war, wie so oft, eine falsche Konfiguration des Speichers in der Amazon-Cloud. 

Auch dieses Daten-Leak wäre leicht zu vermeiden. Man muss nur regelmäßig alle aus Internet erreichbaren Server scannen und überprüfen, ob sie richtig konfiguriert und keine Schwachstellen vorhanden sind. Das ist heutzutage eine absolut grundlegende Sicherheitsmaßnahme und es gibt unzählige Tools und Services dafür. Jedes Unternehmen, welches eigene (on-Prem und auch in der Cloud) Infrastruktur nicht scannt, handelt fahrlässig.

Dieser Sicherheitsvorfall hat aber einen zusätzlichen Aspekt. Bei den kompromittierten Daten handelt sich um Gesundheitsdaten. Solche Daten sind laut DSGVO als besondere Kategorie der personenbezogenen Daten eingestuft und erfordern damit einen besonderen Schutz. Auf jeden Fall ist ein Unternehmen, welches solche Daten verarbeitet und speichert, verpflichtet eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Im Rahmen einer DSFA muss man bestimmen, mit welchen Risiken die Verarbeitung dieser personenbezogenen Daten für die Rechte und Freiheiten der natürlichen Personen verbunden ist. Entsprechend dieser Risikoanalyse sind auch alle notwendigen Sicherheitsmaßnahmen zu ergreifen, um diese Risiken zu minimieren. Artikel 32 von DGVO schreibt etliche Sicherheitsmaßnahmen vor, darunter auch Verschlüsselung der Daten. Ich würde sehr gerne die Ergebnisse von DSFA für diesen Fall sehen.

Der Betreiber dieser Medizin-Cloud betont auf seiner Website, dass die Firma die höchsten Ansprüche wie DSGVO, HIPPA, ISO usw. einhält. Offensichtlich nicht ganz.

Wie Heise Online berichtet gibt das Unternehmen diesen Vorfall zu. Der CEO des Unternehmens relativiert aber die Kritikalität des Vorfalls:

In einer Mitteilung des Unternehmens auf der Webseite zur Datensicherheit gesteht der CEO des Unternehmens den Datenvorfall zwar ein, aber die Einlassungen erwecken nicht den Eindruck, dass man sich dort des Ernstes der Lage bewusst ist. So wird auf die sichere medizinische Cloud sowie ein sicheres Hosting (Personal Data Hosting) verwiesen. Die Anwendung sowie die Datenverwaltungspraxis sei 2018 von einer auf GDPR (die DSGVO) spezialisierten Anwaltskanzlei geprüft worden, um die Einhaltung der angeblich 2019 in Kraft getretenen Datenverordnung zu gewährleisten, so der CEO der Firma in seiner Einlassung.

Angesicht des Vorfalls ist die Frage völlig berechtigt, ob eine Überprüfung durch eine Anwaltskanzlei ausreichend für die Erfüllung der DSGVO ist. Auf jeden Fall muss solche juristische Überprüfung durch eine regelmäßige sicherheitstechnische Überprüfung ergänzt werden.