Da sich die Datenpannen generell, auch im Gesundheitswesen, häufen, wird hier eine Liste dazu geführt, ohne Anspruch auf Vollständigkeit
(Beispiele für Datenpannen generell werden hier aufgeführt!).

21.11.2020: Zunehmend Cyberangriffe auf Krankenhäuser! Dies meldet der Ärztenachrichtendienst heute. Demnach registrierte die Bundesregierung 2020 bis Anfang November 43 erfolgreiche Angriffe auf Gesundheitsdienstleister, wird mit Bezug auf die „Frankfurter Allgemeine Sonntagszeitung“ (F.A.S.) berichtet. Die FDP-Fraktion hatte zu dem Thema eine kleine Anfrage gestellt. Oftmals gehe es Cyberkriminellen darum, Daten der Kliniken und anderer Einrichtungen zu verschlüsseln und anschließend eine Art Lösegeld für die Freigabe zu verlangen, heißt es in dem Bericht. Nicht nur Krankenhäuser seien von den Hacker-Attacken betroffen, sondern auch Energie- und Wasserversorger, Banken und Versicherungen sowie andere Organisationen. Insgesamt hätte man nach Angaben der „F.A.S.“ bis Anfang November 171 erfolgreiche Angriffe auf Einrichtungen der sogenannten kritischen Infrastruktur gezählt. Im vergangenen Jahr seien es demnach 121, im Jahr davor 62 gewesen.

27.10.2020: So, jetzt hat es unsere Zunft erwischt, möge es heilsam sein. Daten finnischer Psychotherapeuten wurden gehackt. Bereits 2019, bekannt geworden ist es erst jetzt, mit Berichten u.a. von der Frankfurter Allgemeinen Zeitung, auf heise.de und spiegel.de. Angeblich haben die Hacker über 40.000 Informationen von Psychotherapiepatienten gekapert, und erpressen diese damit auch. Sie sollen 200 Euro in Bitcoin zahlen, später würde die Forderung auf 500 Euro erhöht. Das Ganze ist wieder ein Lehrstück über ach so sichere zentral gespeicherte Daten. Und darüber, dass bei Datenlecks und Datenhacks gerne vertuscht und verschwiegen wird!

25.09.2020: Vielleicht ist die Wahrnehmung für Datenlecks geschärft. Oder wir haben tatsächlich inzwischen fast täglich Meldungen dazu. Man kommt kaum noch nach, das hier zu dokumentieren. Aber egal, auch wenn der Thread kilometerlang wird: Es ist eine Möglichkeit, den unkritischen digitalen Hype der heutigen Zeit kritisch zu begleiten. Meldung also auf heise.de von heute:
Gesichtserkennung: US-Ministerium räumt Hack sensibler Biometriedaten ein.  Einem Dienstleister des Department of Homeland Security sind 184.000 Bilder aus einem biometrischen Pilotprogramm abgeflossen und im Darknet gelandet.“

22.09.2020:Computerhacker haben beim Augsburger Verkehrs- und Tarifverbund (AVV) eine unbekannte Menge von Kundendaten erbeutet.“ Meldet die Süddeutsche Zeitung.

19.09.2020: Bericht im Ärztenachrichtendienst: „Slowakische Corona-Testdaten ungesichert im Netz„. Demnach sind wegen eines Datenlecks im staatlichen Gesundheitssystem persönliche Daten von nahezu 400.000 auf das Coronavirus getesteten slowakischen Bürgern ungesichert ins Internet geraten.

18.09.2020:Passdaten von 12.000 Deutschen im Netz„, melden die tagesschau und andere Medien.

17.09.2020:Datenpanne im Unterallgäu – Name, Geburtsdatum und Corona-Testergebnis an falsche Adressen gemailt„, meldet die Stuttgarter Zeitung. So sind wohl im bayerischen Landkreis Unterallgäu nahe der Grenze zu Baden-Württemberg  Coronatest-Ergebnisse mit Daten von mehr als 2000 Personen an falsche Adressen gemailt worden.

11.09.2020: Das Deutsche Psychotherapeuten-Netzwerk (DPNW) meldet in seinem wöchentlichen Newsletter eine neue Unsicherheit zur TI (siehe auch TI-Störung vom Mai 2020, unten): „Das Software-Unternehmen Hasomed warnte diese Woche in einer Rundmail seine Benutzer vor der Installation des nächsten Updates der TI-Konnektoren: ‚Seit dieser Woche steht das Konnektor-Update mit der Version 3.5.0 zur Verfügung. Sobald Ihr Konnektor das Update registriert hat, wird die Update-Lampe leuchten. Hinweis: Bitte installieren Sie dieses Update vorerst nicht! Arvato informierte uns, dass bei einem PVS-Anbieter nach dem aktuellen Update eine größere Anzahl an Geräten ausgefallen ist. Zusammen mit dem Hersteller secunet werden diese Vorfälle schnellstmöglich überprüft. Sobald mehr Informationen zu den betroffenen Geräten und den Umständen bekannt sind, werden diese mitgeteilt.'“

Die gematik als TI-Betreibergesellschaft meldet dazu am 10.09.: „Aktuell führt das E-Health-Update (Version: 3.5.0) bei weniger als 50 secunet-Konnektoren im Zusammenhang mit dem Praxisverwaltungssystem des Herstellers MediSoftware zu Fehlermeldungen.“ Nun gut, es mögen im Moment noch „weniger als 50 secunet-Konnektoren“ sein – weil noch nicht viele Praxen das Update durchgeführt haben. Aber auch weniger als 50 betroffene Praxen: das geht gar nicht!

10.09.2020: IT-Ausfall an Düsseldorfer Uniklinik. Das Computer- und Informationssystem an der Klinik war (oder ist noch?) weitgehend ausgefallen. Laut einem Bericht auf aend.de wurde die Zentralstelle für Cybercrime in Köln eingeschaltet. Einen Tag später meldet die Aachener Zeitung, dass es Hinweise auf „strafrechtlich relevantes Verhalten“ gibt.

03.07.2020: Datenleck bei Foodora – Persönliche Daten von 480.000 Nutzern einsehbar. Der Lieferdienst ist wohl 2016 laut SZ Opfer einer Hackerattacke geworden. Auch die Daten von 200.000 Deutschen waren betroffen. „Zu den Daten, die durch die Accounts ausgelesen werden konnten, zählen etwa Namen, Wohn- und E-Mail-Adressen sowie die Telefonnummern“, so der Bericht. – Da vergeht einem ja der Appetit …!

30.06.2020: Der Datenschutzbeauftragte (LfDI) Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg in einer Höhe von über 1,2 Millionen Euro. Weiter zitiert aus der Pressemitteilung des LfDI:
„Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.“

20.06.2020: Australien beklagt einen schweren Cyberangriff. Regierungsmitglieder äußerten laut SZ, dass „Australien Ziel einer Cyberattacke durch einen hoch entwickelten staatlichen Akteur ist“. Der Angriff richte sich gegen „alle Ebenen der Regierung“, die Wirtschaft, politische Organisationen, Bildungs- und Gesundheitswesen, Erbringer systemrelevanter Dienstleistungen und Betreiber kritischer Infrastrukturen, so der Bericht.

27.05.2020: Beginn einer Störung der deutschen Telematikinfrastruktur (TI), so dass rund 80.000 Praxen den Versichertenstammdatenabgleich nicht durchführen können. Was den Betrieb natürlich aufhält. Und wer die Kosten für die IT-Reparatur, die in jeder Praxis mit Updates vorzunehmen ist, bleibt über drei Wochen lang unklar. Wenn ab 2021 dann auch e-Rezept und e-AU über dieses Datennetz laufen, wird man bei solchen Störungen noch froh sein, wenn es noch TI-freie Praxen gibt.

Nachtrag vom September: die Störung bestand über sieben Wochen. Die CGM-Konnektoren waren wohl kaum betroffen. Um hier weiteren Ausfällen vorzubeugen, wurde hier nun mit einem neuen Update auf das Sicherheitszertifikat DNSSEC verzichtet, das bei anderen Konnektoren offenbar mit dem Ausfall reagiert hat. „Man schaltet Sicherheitsfunktionen aus, damit es bei Pannen nicht zum Ausfall kommt. Und das auch noch kostenpflichtig, unglaublich“, so Silke Lüder, stv. Vorsitzende der Freien Ärzteschaft in einem Kommentar. Und die Kosten? Selbst Anfang September wurde von der gematik nur die Erstattung von 150 Euro pro betroffener Praxis zugestanden, obwohl die IT-Firmen natürlich oft mehr abgegriffen haben. Ob doch mehr erstattet wird, ist mir zumindest nicht bekannt.

12.03.2020: „Forscher fanden eine Datenbank, deren Inhalt Rückschlüsse auf die Identität von Millionen Whisper-Nutzern zuließ. Bizarre Datenauswertungen inklusive“, so heise.de. Der Unternehmensgründer hatte die App 2014 als „sichersten Ort im Internet“ bezeichnet. Jetzt aber war aber eine Whisper-Datenbank ohne Passwortschutz im Internet zugänglich. 900 Millionen Datensätze sollen seit 2012 hier gesammelt worden sein. Als beunruhigend wird in dem Bericht die große Zahl unterschiedlicher Metadaten im Leak bezeichnet, die Rückschlüsse auf die Urheber der oft intimen Beiträge und Videos zulassen würden. –
Alles super-sicher? Unbemerkt entstehende Metadaten? All das sind Fragen auch bei Telematikinfrastruktur und elektronischer Patientenakte!

01.02.2020: c’t berichtet auf heise.de von einem Datenleck an der Universität Erlangen-Nürnberg. Demnach wurden am Lehrstuhl für Gesundheitsmanagement persönliche Daten von über 800 Studenten auf einem Webserver freigegeben – darunter Passwörter im Klartext.

23.01.2020: 250 Millionen Kundendaten sind laut techbook.de bei Microsoft ins Internet gelangt. Betroffen waren personenbezogene Support-Anfragen aus dem Zeitraum 2005 bis Dezember 2019. Die Daten haben wohl auch E-Mail-Adressen, IP-Adressen und Standortdaten beinhaltet. –
Wenn man daran denkt, dass gerade 2019 sich Anfragen wegen der Umstellung auf Windows 10 gehäuft haben dürften, und dass über Windows 10 wohl mehr Daten unbemerkt abfließen als vorher unter Windows 7, ist das schon sehr pikant!

22.01.2020: Daten-Leak bei Autoverleih Buchbinder: 3 Millionen Kundendaten offen im Netz. Betroffen seien, so heise.de, auch andere Autovermieter gewesen. Ursache des Lecks sei ein Konfigurationsfehler bei einem Backup-Server gewesen. Der Port 445, der Zugriffe über das Netzwerkprotokoll SMB erlaube, habe offen gestanden. –
Nun sind Ärzte keine Autovermieter, aber mit Kunden haben wir es ja als sog. „Leistungserbringer“ nun auch zu tun, und offen stehende Ports sind beim Telematik-Anschluss durchaus schon diskutiert worden!

14.01.2020: Eine Lücke in der VPN-Software Citrix, die auf Empfehlung vieler Kassenärztlicher Vereinigungen auch von uns Ärzten zur Übermittlung der verschlüsselten Quartalsabrechnung verwendet worden war, erlaubt es Angreifern unbemerkt in Systeme einzudringen. Betroffen war die TI von Tausenden Firmen, darunter auch Betreiber kritischer Infrastruktur (zur Erinnerung: auch für Telematikinfrastruktur und elektr. Patientenakte werden VPN-Tunnels genutzt!). SZ-Bericht: hier!

13.01.2020:Weltweites Datenleck bei Patientendaten größer als bisher angenommen„, so heise.de. „Forscher haben insgesamt über eine Milliarde personenbezogene Patientendaten auf unsicher konfigurierten Servern im Internet gefunden. Das sei jedoch noch nicht die endgültige Zahl. Bereits im November 2019 sorgten Berichte über das Datenleck, das weltweit mehrere Millionen Patientendaten betraf, für Aufsehen“. Schuld seien unsicher konfiguierte Communication System-Server.

09.01.2020: „Neues Informatik-System hat Fass zum Überlaufen gebracht“ – zwar keine Datenpanne, aber der Bericht aus der Klinik Luzern zeigt, wie sehr die zunehmende Digitalisierung oft eine Verkomplizierung und Überforderung darstellt: hier!

27.12.2019: Beim Chaos Computer Club und anschließend in etlichen Medien wird darüber berichtet, wie einfach es ist, an elektronische Arzt- und Praxisausweise zu kommen, die für die Telematikinfrastruktur nötig sind: hier!
In einem Bericht des „heute-journals“ wird zudem berichtet, dass das Klinikum Fürth Mitte Dezember durch einen Virenangriff (emotet) EDV-technisch lahmgelegt wurde; zum Beitrag: hier!

22.11.2019: Der Server einer Celler Arztpraxis war längere Zeit online zugänglich, dank ungünstig eingestellter Zugriffsrechte am Server, aber auch dank offener Ports am Telekom-Router. Link zum Bericht: hier!

13.11.2019: Google wertet in den USA Gesundheitsdaten von Millionen Menschen aus. Das ist zwar keine technische Panne, aber letztlich eine politische! Link zur Info: hier!

11.10.2019: Die Gesundheitsapp „Ada“ soll Daten an Dritte, u. a. an Facebook, versandt haben. SPIEGEL online berichtet.

17.09.2019: Diesmal geht es um 46 Länder, 7.000 Patienten aus Bayern, 13.000 Datensätze aus Deutschland, 16 Millionen Datensätze weltweit.

06.09.2019: Die SZ meldet: „Nummern weg, Geld weg.“ 419 Millionen Telefonnummern von Facebook-Nutzern waren demnach ungesichert auf einem Internet-Server gelegen, wie ein Sicherheitsforscher herausgefunden hatte: hier!

27.08.2019: Bayerisches Rotes Kreuz – Blutspendedienst übermittelt heikle Daten an Facebook: hier!

03.08.2019: Laut SZ-Report gibt es beispielsweise 1000 Cyber-Angriffe auf Siemens pro Monat. Und im Frühjahr hätten Hacker den größten Aluminiumhersteller der Welt, einen norwegischen Konzern, mit Ransomware erpresst (hierbei werden meist mittels Trojaner Daten verschlüsselt und erst gegen Lösegeldzahlungen wieder geöffnet).
Berichtet wird weiter, dass einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) zufolge 2018 jedes dritte Unternehmen Ziel von Cyberattacken gewesen war. Report hier!

29.07.2019 Im Internet lassen sich offenbar Krankenakten, Arzneimittel-Verschreibungen und Passkopien von mehr als 2.000 Thailand-Reisenden abrufen. Betroffen sein sollen auch deutsche Touristen. Aus den im Internet aufgetauchten Unterlagen ließen sich unter anderem Details zu Krebserkrankungen, Herzleiden, Methadon-Behandlungen und selbst psychiatrischer Klinik-Aufenthalte herauslesen, wie die „Bild am Sontag“ berichtet. Ebenfalls ungeschwärzt abrufen ließen sich Mobilnummern und private Email-Adressen der Betroffenen. Internet-Spezialisten sprechen von einem „Supergau für die IT-Sicherheit.“

19.07.2019: Durch Ransomware sind 13 deutsche Kliniken zeitweise komplett vom Internet abgeschnitten. Sie waren Opfer eines Angriffs mittels Verschlüsselungstrojaner geworden: hier!

17.07.2019: Cyberangriff auf Kliniken des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz

22.06.2019: Meldung darüber, dass dänische Patientendaten in den USA landen. Eine größere Gruppe von US-amerikanischen IT-Mitarbeitern hat über die dänische Gesundheitsplattform Zugang zu persönlichen Daten von Patienten auf Seeland (größte Insel der Ostsee und Dänemarks, mit 2,3 Mio Einwohnern): hier!

08.05.2019: In den USA wurde eine Radiologie-Praxis gehackt: hier!

30.04.2019: Die Stuttgarter IT-Firma Citycomp wird laut US-Portal Motherboard und dem Geschäftsführer von Deutor Cyber Security Solutions von Hackern erpresst. Dem Bericht zufolge behaupten die Hacker, im Besitz von 312.570 Dateien in 51.025 Ordnern zu sein. In dem Datenbestand von über 516 Gigabyte befänden sich finanzielle und private Informationen. Zu den Kunden gehören demnach Ericsson, Leica, Toshiba, UniCredit, British Telecom, Hugo Boss, NH Hotel Group, Oracle, Airbus, Porsche und Volkswagen. Auch die Supermarktketten Rewe und Kaufland seien betroffen.

04.04.2019: Die Bayer AG wurde von Hackern (Winnti-Gruppe) ausgespäht.

Ende Januar 2019 sind in Singapur Daten von 14.200 Menschen mit HIV öffentlich geworden. Gedeihen konnte das Datendesaster vor allem, weil im Stadtstaat ein extrem konservatives Klima herrscht.

22.01.2019: „Report Mainz“ lässt unter anderem einen McAfee-Chef zu Wort kommen mit der Aussage, auch ein deutscher Politiker schon gehackt worden, seine Gesundheitsdaten betreffend, die dann auch gegen ihn verwendet worden seien. Link zur „Report“-Sendung: hier!

Zum Jahreswechsel 2018/19 wird publik, dass ein junger Erwachsener quasi aus seinem Kinderzimmer heraus Politiker und Prominente gehackt hat. Hundertfach wurden entsprechende Daten veröffentlicht: hier!

30. November 2018: Namen, Anschriften, Passnummern und Kreditkartendaten: Hacker haben Daten von fast einer halben Milliarde Hotelgästen einer Tochter der Marriott-Kette erbeutet: hier!

Im September 2018 wurde das Klinikum Fürstenfeldbruck in Bayern gehackt und alle Rechner lahmgelegt.

Am 06.08.2018 berichtete die ARD über geklaute Fingerabdrücke zur Identifikation und darüber, dass auch die deutschen Systeme nicht sicher sind: hier!

Am 24.07.2018 wurde in der FAZ wieder über einen Patientendatenklau berichtet: Diesmal das Gesundheitssystem in Singapur.

Am 21.07.2018 wurde über den Diebstahl von Daten eines deutschen Autobauers berichtet: hier!

Am 20.07.2018 war der zentrale Server der KFZ-Zulassungsbehörden in Deutschland zeitweise nicht funktionstüchtig: hier!

April 2018:  Meldung: Die Österreichische Bundesregierung will die Daten ihrer Versicherten verkaufen. Darunter sind auch sensible Daten der Elektronischen Gesundheitsakte (ELGA), die es in Österreich schon gibt. Infos dazu: hier!

Im März 2018 wurde das Auswärtige Amt gehackt und Daten entwendet.

Januar 2018 In Norwegen sind 2,9 Mio Gesundheitsakten entwendet worden. Infos dazu: hier!

Mai 2017: Weltweite Cyberattacken legen das britische Gesundheitssystem lahm. Zahlreiche Krankenhäuser konnten etwa nicht auf die Daten von Krebs- und Herzpatienten zugreifen. Britische Kliniken mussten Patienten nach Hause schicken. Betroffen waren weltweit fast 100 Länder. In Deutschland kam es zu Systemausfällen bei der Deutschen Bahn. Infos dazu: hier!

2016 In Dänemark wurden zwei CDs mit fast allen medizinischen Daten des Landes aus Versehen an die chinesische Visa-Stelle geschickt. Berichtet wurde dazu 2019 in der FAZ. Weiter steht hier: 2014-2017 wurden für die elektronischen Patientenakten in den USA 363 Datenlecks gemeldet. Dazu die Erkenntnis, dass die Gesundheitsakte Vivy nicht sicher ist. Infos dazu: hier!