Datenmissbrauch
Datenvorfall Patientendaten: Was Unternehmen daraus lernen sollten
Tausende Patientendaten öffentlich zugänglich
Ein Kommentar von Volker Sommer, Area Vice President DACH und EE bei SailPoint
Wie diese Woche bekannt wurde, waren und sind teilweise immer noch zahlreiche Patientendaten ungesichert abrufbar. Darunter fallen etwa Röntgenaufnahmen, Screenings sowie Krankenakten. Besonders brisant ist hierbei die Tatsache, dass die betroffenen Daten personalisiert sind, das heißt, die jeweiligen Aufnahmen und Dokumente können dem betroffenen Patienten zugeordnet werden. So war es auch für weniger versierte Hacker möglich, in Echtzeit auf die ungesicherten Server zuzugreifen und die Daten abzuspeichern.
Da es sich bei Daten aus dem Gesundheitsbereich um die intimsten und persönlichsten Informationen überhaupt handelt, ist dieses Datenleck besonders kritisch zu bewerten. Doch wie können sich Unternehmen, die auf die Speicherung kritischer Daten angewiesen sind, vor solchen Vorfällen in Zukunft schützen?
Ein erster Schritt wäre, dafür zu sorgen, dass die Server, auf denen die Daten lagern, nicht ohne jedwede Verifizierung zugänglich sind. Eine weitere Maßnahme kann die Einrichtung einer Lösung zur automatischen Datenklassifikation sein, die sicherstellt, dass nur berechtigte Personen Zugriff erhalten. Diese untersucht gespeicherte und zu speichernde Daten auf ihren Grad an Vertraulichkeit – das heißt, wie kritisch die in ihnen enthaltenen Informationen sind. Häufige Kriterien, nach denen Daten klassifiziert werden, sind Reguläre Ausdrücke (RegExes), Metadaten und Schlüsselwörter. Befinden sich in einem Dokument zum Beispiel die Worte „Screening“ oder „Befund“, wird es automatisch als vertraulich eingestuft.
Ist gleichzeitig eine Lösung zum Identity- und Access-Management implementiert, kann zugleich sichergestellt werden, dass nur berechtigte Personen die jeweiligen Informationen nutzen können. Hiermit trägt die Lösung dazu bei, dass nur diejenigen Personen innerhalb einer Organisation auf Daten zugreifen können, die auch wirklich auf sie angewiesen sind. Beispielsweise benötigen Angestellte aus der Buchhaltung und der IT-Security in den seltensten Fällen Zugriff auf Patientendaten. Die strengen Datenschutzbestimmungen von unternehmens- und gesetzlicher Seite werden daher auch erfüllt.
Vorfälle wie diese werden in Zukunft nicht seltener. Im Gegenteil, mit der zunehmenden Migration kritischer und wertvoller Daten in die Cloud ist davon auszugehen, dass sie häufiger auftreten werden. Mit einer Lösung zur Datenklassifikation und Zugriffskontrolle können sich Unternehmen allerdings effektiv absichern, um ihre Daten vor unberechtigtem Zugriff zu schützen.
Über SailPoint:
SailPoint, der führende Spezialist für Enterprise Identity Governance, bringt Kunden auf der ganzen Welt die Vorteile eines leistungsstarken Identity Managements. Die offene Identity-Plattform von SailPoint hilft Unternehmen, neue Märkte zu erschließen, ihre Belegschaft zu vergrößern, fortschrittliche Technologien einzuführen, Innovationen schneller umzusetzen und im globalen Wettbewerb zu bestehen. Als Branchenpionier und Marktführer im Bereich Identity Governance sorgt SailPoint für mehr Sicherheit in komplexen IT-Umgebungen, verbessert die betriebliche Effizienz und erleichtert die Compliance. Zu den Kunden von SailPoint zählen eine Reihe der weltgrößten Unternehmen aus einem breiten Spektrum von Branchen.