Datenschutzprobleme in Alters- und Pflegezentren
In Alters- und Pflegezentren steht der Mensch im Zentrum und nicht der Computer. Sie bearbeiten aber auch viele Gesundheitsdaten. Bei diesen besonderen Personendaten muss dem Datenschutz und der Informationssicherheit ein hoher Stellenwert zukommen. Die Datenschutzbeauftragte führte im Jahr 2023 Kontrollen in 16 Einrichtungen durch. Dabei zeigten sich Mängel, die von fehlenden Plänen zur Abwehr von Hackerangriffen bis hin zu Servern reichten, die öffentlich erreichbar waren.
Im Kanton Zürich gibt es über 300 Alters- und Pflegezentren. Für rund 160 ist die Datenschutzbeauftragte zuständig. In diesen Einrichtungen wohnen über 10 000 Menschen. Die Zentren bearbeiten eine Fülle an Daten, vor allem auch besondere Personendaten über die Bewohnenden, wie Arztberichte, die Dosierung von Medikamenten oder auch Sturzprotokolle. Um den 24-Stunden-Betrieb sicherzustellen, beschäftigen die Alterszentren viele Mitarbeitende. Zudem ist die Fluktuation in der Belegschaft sehr hoch. Diese Voraussetzungen erhöhen die Risiken im Bereich des Datenschutzes und der Informationssicherheit.
Die Datenschutzbeauftragte stellte für ihre Kontrolltätigkeit eine Stichprobe an Alters- und Pflegezentren zusammen. Sie wählte grosse und kleine Zentren sowie solche in Städten und auf dem Land aus, um eine möglichst aussagekräftige Übersicht zu bekommen. Zudem sind die kontrollierten Zentren Stiftungen oder Aktiengesellschaften oder sie machen Teil der Gemeindeverwaltung aus. Einige Organisationen wirtschaften gemeinnützig, andere gewinnorientiert.
Die 10 häufigsten Probleme
- Unpersönliche Accounts: In den meisten Alterszentren nutzen die Pflegerinnen und Pfleger gemeinsame Geräte in den Stationszimmern. Oft verwenden sie auch gemeinsame Login-Daten. Veränderungen an Daten wie E-Mails oder Dateien können so nicht nachvollzogen werden. Im schlimmsten Fall löscht beispielsweise ein Pfleger ein wichtiges E-Mail eines Arztes, das für eine andere Pflegerin gedacht war. In einigen Fällen waren die Login-Daten auf die Monitore geklebt. Die unpersönlichen Konten verhindern ein angemessenes Rollen- und Berechtigungskonzept sowie die Kontrolle der Zugriffe.
- Angreifbare Computer, Server und mobile Geräte: In Alterszentren werden viele Computer, Server, Tablets und Smartphones eingesetzt. Wenn sie nicht richtig konfiguriert sind, haben es Hacker leicht, auf die gespeicherten Daten zuzugreifen. Die Datenschutzbeauftragte entdeckte viele Fehlkonfigurationen. Bei einem Alterszentrum konnten die Server über das Internet ausgeschaltet werden. Die Orientierung an internationalen Härtungsstandards verhindert, dass Konfigurationen vergessen gehen.
- Fehlende Updates: Viele Computer und Handys spielen Updates automatisch ein. Bei den meisten Druckern und anderen Netzwerkgeräten wie Switches und Accesspoints ist dies nicht der Fall. Werden nicht sämtliche Geräte regelmässig aktualisiert und die Versionsstände geprüft, besteht ein Risiko auf Sicherheitslücken. Bei allen kontrollierten Einrichtungen fehlten definierte Prozesse dafür.
- Fehlende Zwei-Faktor-Authentifizierung: Beim Online-Banking benutzen alle eine Zwei-Faktor-Authentifizierung. Sie schützt vor vielen Gefahren wie Phishing. Doch nur zwei der kontrollierten Zentren nutzten bei Zugriffen auf Gesundheitsdaten von aussen konsequent eine Zwei-Faktor-Authentifizierung.
- Keine Konzepte zu Informationssicherheit: Daten können nur wirkungsvoll geschützt werden, wenn bekannt ist, in welchem System welche Daten gespeichert sind und wofür diese durch wen genutzt werden. Ein Informationssicherheits- und Datenschutz-Managementsystem ermöglicht einen solchen Überblick. Nur wenige Alterszentren verfügen jedoch über ein entsprechendes System. Die Datenschutzbeauftragte stellt öffentlichen Organen umfangreiche Vorlagen für ein Informationssicherheits- und Datenschutz-Managementsystem zur Verfügung.
- Kein Security Incident Management: Einige Alterszentren waren schon Ziel von Hackerangriffen. In der aktuellen Bedrohungslage stellt sich nicht die Frage, ob, sondern wann ein Alterszentrum betroffen sein wird. Darum müssen im Voraus klare Verhaltensregeln und Abläufe für solche Fälle festgelegt werden. Alle kontrollierten Zentren waren gut auf Notfälle wie Brand oder Stromausfall vorbereitet. Regeln zum Umgang mit Cybergefahren wie Hackerangriffen fehlten jedoch in allen Notfallhandbüchern.
- Zu wenig Schulung und Sensibilisierung: Im medizinischen Bereich, so auch in Alterszentren, werden die Mitarbeitenden regelmässig zu Themen wie Hygiene, neuen Pflegemethoden oder zur Bedienung von Apparaten geschult. Schulungen zum Datenschutz und zur Informationssicherheit gehören jedoch nur in wenigen Alterszentren zum Standard. Regelmässige Schulungen würden den Schutz beispielsweise gegen die althergebrachte, aber immer noch sehr erfolgreiche Angriffstechnik des Phishing sowie gegen Fehlmanipulationen im Umgang mit IKT-Systemen erhöhen.
- Kein Zugriffsprotokoll Pflegedokumentation: In Alters- und Pflegezentren müssen alle Pflegerinnen und Pfleger auf alle Informationen von allen Bewohnerinnen und Bewohnern zugreifen können. Sie dürfen jedoch nur Informationen zu Bewohnenden lesen, für die sie auch verantwortlich sind. Vor allem in kleinen Einrichtungen kennen sich die Bewohnenden, die Angehörigen und die Pflegenden oft persönlich. Die Versuchung ist gross, dass eine Pflegerin oder ein Pfleger die Medikamentenliste der Mutter der besten Freundin liest, obwohl sie oder er diese Informationen gar nicht benötigt. Darum müssen Lesezugriffe aufgezeichnet und regelmässig kontrolliert werden. Das war in keinem Alterszentrum der Fall.
- Backups ohne Verschlüsselung: Alle Alterszentren verfügen über aktuelle Backups. Diese sind teilweise nicht verschlüsselt. So könnten Dritte auf sämtliche gesicherten Daten zugreifen.
- Kein Vulnerability-Management: Die Cyberbedrohungen ändern täglich und Konfigurationsfehler sind schnell passiert. Darum sollte man alle IKT-Systeme regelmässig auf Schwachstellen überprüfen. Das betrifft besonders die Dienstleister der Alterszentren. Mit einem Scanner können Konfigurationsfehler aufgedeckt und Schwachstellen identifiziert werden. Bei zwei Dritteln aller Zentren war kein solcher Scanner im Einsatz.