Datenlecks im Gesundheitswesen sind ein großes Problem

Bangkok — Ein Cyber­sicher­heit­sex­perte hat nach ein­er Rei­he größer­er Daten­lecks Besorg­nis über Daten­lecks im Gesund­heitswe­sen geäußert, von lokalen Kranken­häusern bis hin zu Ministerien.

Der let­zte hochkarätige Fall ereignete sich am 7. Okto­ber, als auf raid​fo​rums​.com, einem Forum zum Teilen von Daten­banken und einem Mark­t­platz, ein Post­ing veröf­fentlicht wurde, der Dat­en über 100.000 Men­schen aus thailändis­chen Kranken­häusern anbot.

Dies geschah einen Monat, nach­dem ein Benutzer auf der­sel­ben Web­site ange­boten hat­te, 16 Mil­lio­nen Daten­sätze mit thailändis­chen Patien­ten­dat­en zu verkaufen.

In Bezug auf den Fall vom 7. Okto­ber sagte Dr. Sutee Tuvi­rat, ein Arzt und zer­ti­fiziert­er Sicher­heits­fach­mann für Infor­ma­tion­ssys­teme, der Bangkok Post, dass die Dat­en vom Gesund­heitsmin­is­teri­um durch­gesick­ert sein könnten.

Er sagte, die Dat­en von 100.000 Per­so­n­en stam­men aus 11 Kranken­häusern, was darauf hin­deutet, dass Dat­en von regionalen oder zen­tralen Behör­denebe­nen durch­gesick­ert sein könnten.

Die ver­ant­wortlichen Stellen kön­nen die Ver­ant­wor­tung nicht leug­nen, obwohl das Gesetz zum Schutz per­so­n­en­be­zo­gen­er Dat­en noch nicht voll­ständig in Kraft getreten ist, sagte er und fügte hinzu, dass die Opfer zumin­d­est vor dem Ver­stoß gewarnt wer­den sollten.

Die Dat­en kön­nen von Tätern ver­wen­det wer­den, um Bankkon­ten für Geld­wäsche zu eröff­nen oder Straftat­en zu bege­hen, und die Opfer laufen Gefahr, ohne ihr Wis­sen strafrechtlich ver­fol­gt zu wer­den, sagte Dr. Sutee.

Organ­i­sa­tio­nen, die für Daten­lecks ver­ant­wortlich sind, müssen die volle Ver­ant­wor­tung in Bezug auf Entschädi­gun­gen und andere Reha­bil­i­ta­tion­s­maß­nah­men übernehmen, fügte er hinzu.

In Sin­ga­pur wird im Falle ein­er Daten­schutzver­let­zung im öffentlichen Gesund­heits­di­enst eine Unter­suchung ein­geleit­et und eine öffentliche Mel­dung erstellt. ​“In Thai­land ver­suchen wir vielle­icht, alles zu beruhi­gen und ver­schwinden zu lassen”, sagte Dr. Sutee.

In der Zwis­chen­zeit gab die Nation­al Cyber​Secu­ri­ty Agency (NCSA) an, dass der Fall vom 7. Okto­ber Dat­en bet­rifft, die vom Amt für öffentliche Gesund­heit der Prov­inz Sisaket durch­gesick­ert sind.

Group Cap­tain Amorn Chom­choey, amtieren­der stel­lvertre­tender Gen­er­alsekretär der NCSA, sagte, der Gesund­heitssek­tor sei eines der Hauptziele von Hack­ern, während einige lokale Kranken­häuser nur einen Cyber­sicher­heits­beauf­tragten haben, der sich um 200 – 500 Com­put­er in ihren Ein­rich­tun­gen kümmert.

Die NCSA hat mit dem Min­is­teri­um für dig­i­tale Wirtschaft und Gesellschaft und Dr. Bor­din Sap­som­boon, einem Mit­glied des Nation­al Cyber­se­cu­ri­ty Com­mit­tee, zusam­mengear­beit­et, um den Stan­dard der Hos­pi­tal Accred­i­ta­tion Infor­ma­tion Tech­nol­o­gy (HAIT) zu fördern, um die IT-Sicher­heit­sprak­tiken in Kranken­häusern zu verbessern. Kranken­häuser mit HAIT erhal­ten finanzielle Anreize.

„Wir brauchen Richtlin­ien, um öffentliche Kranken­häuser zu unter­stützen“, sagte er.

Laut Gp Capt Amorn fand die Agen­tur min­destens 20 Fälle, in denen Hack­er Web­serv­er von staatlichen Behör­den nutzten, um gefälschte Web­sites zu erstellen und Opfer dazu zu brin­gen, wichtige Dat­en zu hinterlegen.

Thailand habe immer noch keine klare Struktur, um Opfer zu entschädigen, wenn ihre Daten missbraucht werden. In anderen Ländern werden sogenannte Credit-Watch-Betreiber von Unternehmen beauftragt, um zu überprüfen, ob die Daten ihrer Kunden kompromittiert wurden, und werden bei Verstößen entschädigt.