Gesundheitsdaten von US-Veteranen werden unverschlüsselt versandt
Untersuchungen des Inspector General’s Office zeigten auf, dass medizinische Krankenhäuser und Gesundheitszentren für US-Veteranen sensible und persönliche Daten der Patienten und deren Verwandten völlig unverschlüsselt über das öffentliche Internet verschicken.
Diese Vorwürfe werden zwar vom Office of Information Technology im US Department of Veterans Affairs bestritten, jedoch scheinen die Indizien eindeutig zu sein. Ein Team des Inspector General’s Office ging einer Beschwerde nach, die behauptete, dass drei medizinische Zentren des Midwest Health Care Network persönliche und vor allem klar zuzuordnende Daten unverschlüsselt versenden.
Die Untersuchung zeigte, dass diese Anschuldigungen wahr waren. Der Sicherheitsvorfall betrifft Sozialversicherungsnummern, Geburtsdaten und Gesundheitsinformationen von Veteranen und ihren Angehörigen. Diese wurden von den Gesundheitszentren an andere gesundheitliche Einrichtungen über das öffentliche Internet verschickt und könnten so von Cyberdieben eingesehen und abgefangen werden.
Eine Institution versandte Röntgenaufnahmen und radiologische Bilder stets über denselben unverschlüsselten Zugang und setzte somit bewusst die sensiblen Daten einem Risiko aus. Im Rahmen der Untersuchung bestätigten IT-Mitarbeiter der Gesundheitszentren, dass dies eine gängige Praxis, sogar im Austausch mit externen Geschäftspartnern, sei.
Dies verstößt gegen interne Sicherheitsregeln und führte bei den Einrichtungen und dem Federal Information Security Management zu großem Unmut. Sie sagten, dass trotz der Anordnungen keine Kontrollmechanismen zur Sicherstellung einer Verschlüsselung persönlicher Daten installiert wurden.
Nach der Einschätzung der Untersucher können die gefährdeten Daten betrügerisch verwendet werden. Sie forderten deshalb einen sofortigen Schutz der Daten. Roger Baker, ein IT-Beauftragter der veterinärmedizinischen Zentren, versicherte jedoch, dass keinerlei sensitive Daten einem Hackerangriff ausgesetzt gewesen seien, und bestritt somit das Ergebnis der Untersuchung.
Die persönlichen Informationen der Patienten und deren Angehörigen seien ausschließlich über private Netzwerke versendet worden und daher geschützt gewesen. Zwar gab er zu, dass die Daten nicht explizit verschlüsselt waren, stellte jedoch klar, dass sie nicht über eine öffentliche Verbindung transportiert wurden.
Die Untersuchungen in dieser Angelegenheit dauern weiterhin an und es wird sichergestellt, dass weitere Sicherheitstests angeordnet werden.
Siehe auch:
- Fremde Kontoinformationen versendet
- Patientendaten 15 Monate an falsche Firma gefaxt
- Persönliche Daten sechs Monate lang an falschen Empfaenger gefaxt
Artikel von computerworld.com, 08.03.2013: VA disputes charge that it transmits unencrypted personal data over public Internet
Artikel von fcw.com, 07.03.2013: Encryption failures at VA put vets‘ data at risk