Sicherheitsleck im Rettungswagen

09.04.2018
G DATA Blog

Wer einen Rettungswagen ruft oder auf selbst auf schnelle Hilfe angewiesen ist, hat in der Regel andere Sorgen als den Schutz seiner persönlichen Daten. Daher müssen sich alle Beteiligten darauf verlassen, dass die eingesetzten Geräte sicher sind. Dass das jedoch nicht immer der Fall ist, zeigt ein aktuelles Beispiel.

In Rettungsdiensten sind zunehmend digitale Helfer im Einsatz. Das kann eine Menge Zeit einsparen – in vielen Fällen ist die Besatzung eines Rettungswagens bereits unterwegs, während der Anrufer noch am Telefon ist. Die Leitstelle kann mit Hilfe des Internets und entsprechend ausgestatteter Fahrzeuge neue Informationen wie Adressen oder Patientendaten in Echtzeit an die Rettungswagenbesatzung übermitteln. Zugleich kann der Rettungsdienst diese Informationen für Auswertungs- und Abrechnungszwecke nutzen.

Anfängerfehler?

Ein Unternehmen, das Softwarelösungen für die Notfallmedizin anbietet, hat sich hier einen schwerwiegenden Patzer geleistet: Informationen für die Online-Plattform, mit der die Geräte kommunizieren, wurden fest in die App eingebaut, ohne Möglichkeit diese zu verändern. Einem Bericht des Heise-Verlages zur Folge wäre es so möglich gewesen, echte Einsatzdaten abzurufen – teilweise sogar inklusive Patientendaten. Der Hersteller hat bereits reagiert und ein Update herausgegeben, das den Missstand behebt.
Dieses Ereignis bildet die Fortsetzung in einer Reihe beunruhigender Berichte über die Angreifbarkeit medizinischer Geräte. Forscher haben beispielsweise in der Vergangenheit demonstriert, dass Narkosegeräte unter den richtigen Voraussetzungen angreifbar sind. Herzschrittmacher mit Sicherheitslücken sind ebenfalls keine Neuigkeit mehr.

Eine Frage der Organisation

In Deutschland ist der Rettungsdienst nicht einheitlich organisiert. Die Verwaltung von Rettungsdiensten und Feuerwehren findet auf Landes- und kommunaler Ebene statt. Nicht immer wird der Rettungsdienst auch von der Feuerwehr besetzt – oftmals wird er auch von Hilfsorganisationen wie dem Roten Kreuz oder von privat betriebenen Rettungsdiensten gestellt. Das Beschaffungswesen ist ebenfalls auf kommunaler Ebene geregelt – so hat bisweilen jede Stadt / jeder Landkreis eine eigene Beschaffungspolitik. Die hier beschriebene Softwarelösung wird also nur vereinzelt eingesetzt. In vielen Fällen ist der Datenaustausch zwischen Rettungsdienst und Krankenhaus noch papierbasiert und wird per Fax und Formular abgewickelt.

Lebensaufgabe

Die Gesundheitsbranche hat die Warnung verstanden . Es wird  aber noch viel Wasser den Rhein hinab fließen, bis flächendeckend neue Verfahrenswege bei der IT-Sicherheit etabliert sind. Die Tatsache, dass Ärzte und Psychotherapeuten, die bisher bevorzugt „offline“ gearbeitet haben, nun zwangsweise an ein Telematik-Netzwerk zur Verwaltung von Patientenakten angeschlossen werden sollen, ruft Unbehagen bei Medizinern und Datenschützern hervor.  Gerade weil diese Gruppen besonders auf die Vertraulichkeit und Integrität der Daten angewiesen sind.
Genau diese beiden Komponenten – Vertraulichkeit und Integrität - gehören jedoch neben der Verfügbarkeit zu den wichtigsten Pfeilern, wenn es um den Schutz von Daten geht. Wenn Patienten ihren Ärzten vertrauen, die Ärzte jedoch nicht den Geräten, die sie nutzen, dann ist viel Ungemach vorprogrammiert. 

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein