Handelsblatt

MenüZurück
Wird geladen.

26.09.2016

09:53 Uhr

Brisantes Datenleck bei Hamburger Feuerwehr

„Weibliche Person, 66 Jahre, Verdacht auf Herzinfarkt“

VonCarina Kontio

Per Funk werden sensible Gesundheitsdaten samt Adresse an viele Notarzt- und Rettungswagen übermittelt. Recherchen des NDR haben jetzt ein brisantes Datenleck bei der Hamburger Feuerwehr entdeckt – und Hacker lesen mit.

Personenbezogene Gesundheitsdaten können nach NRD-Recherchen kinderleicht abgefangen werden. dpa

Datenleck gefunden

Personenbezogene Gesundheitsdaten können nach NRD-Recherchen kinderleicht abgefangen werden.

DüsseldorfDie Rettungsleitstelle der Feuerwehr Hamburg sendet nach Recherchen des NDR Verbrauchermagazins „Markt“ sensible personenbezogene Daten unverschlüsselt an ihre Einsatzkräfte. Gesundheitsdaten sind nach den Landesdatenschutzgesetzen besonders sensibel und bedürfen eines besonderen Schutzes.

„Weibliche Person, 66 Jahre, Verdacht auf Herzinfarkt“ - zusammen mit der Adresse werden solche Daten per Funk an viele Notarzt- und Rettungswagen übermittelt. Das Personal kann sie auf Meldeempfängern auslesen und zum Einsatz ausrücken. Doch diese Datenübertragung ist offenbar nicht sicher, die Meldedaten können mit geringem technischem Aufwand abgefangen und ausgelesen werden. Ein Hacker stellte rund 280.000 Hamburger Einsatzmeldungen monatelang zum Mitlesen ins Internet. Mittels einer eingebauten Suchfunktion konnten User nach Namen, Straßen oder Verdachts-Diagnosen forschen.

Zehn Tipps für mehr IT-Sicherheit

Geschäftsleitung involvieren

Oft beschneidet das Management aus Renditegründen das Budget. Daher: Informieren und sicherstellen, dass die Firmenlenker die Tragweite des Sicherheitsprojekts erkennen.

Bestandsanalyse durchführen

Geräte und Lösungen sowie ihre Eignung für die Abwehr von Cyberattacken katalogisieren - ebenso Rechteverwaltung, Sicherheitsbewusstsein sowie interne und externe Gefahren.

Einsatzteam aufbauen

Eine zentrale Abteilung stimmt alle sicherheitsrelevanten Punkte aufeinander ab. Silos sind wenig effizient und übersehen Sicherheitslücken. Ratsam: einen Chief Information Security Officers ernennen.

Sicherheitsstrategie entwickeln

Wie viel darf welche Sicherheitsmaßnahme kosten, welche Risiken werden in Kauf genommen? Anschließend Budget- und Personal-Szenarien entwerfen.

Budgets verhandeln

Je früher Führungskräfte in das IT-Sicherheitsprojekt eingebunden sind, desto besser können sie nötige Ausgaben nachvollziehen - und desto konstruktiver gestalten sich Verhandlungen.

Sicherheitsrichtlinien ausarbeiten

Und zwar unternehmensweit: Diese sollten auch alle notwendigen Compliance- und sonstigen gesetzgeberischen Aspekte berücksichtigen.

Systeme und Updates installieren

Nicht nur moderne Systeme und Lösungen, die es mit fortschrittlichen Attacken aufnehmen, sind essenziell - aktuelle Updates sind es ebenfalls.

Schulungen vorsehen

Auf Basis eines mittelfristigen Schulungsplans festlegen: Wer wird wie oft zu welchen Themen aus- beziehungsweise fortgebildet?

Der Geschäftsleitung berichten

Dann bleibt sie dem Sicherheitsprojekt gewogen. Eine grafische Aufbereitung der Sicherheitslogs sensibilisiert nachhaltig.

Kontrollschleife einbeziehen

Regelmäßig die Effizienz neuer Maßnahmen und Strukturen durchleuchten. Dabei neue Gefahren, Lösungen am Markt sowie Organisationsveränderungen berücksichtigen.

Quelle

Schluss mit dem Silodenken: Geht es nach den Experten von Dell, sollten Mittelständler ihre Sicherheitsstrategie im Rahmen eines abteilungsübergreifenden Projekts auf einheitliche Füße stellen - und zwar mit folgenden zehn Schritten (erschienen im Magazin creditreform 06/2016):

Inzwischen ermittelt die Hamburger Staatsanwaltschaft gegen den illegalen Datensammler. Doch nach Recherchen von „Markt“ können die Daten noch immer kinderleicht abgefangen werden. Die Hard- und Software dafür ist in Deutschland frei verkäuflich. Abhilfe könnte die Anschaffung verschlüsselungsfähiger Meldeempfänger bringen. Der Hamburger Beauftragte für Datenschutz, Johannes Caspar, pocht gegenüber den NDR-Reportern jedenfalls auf die Einhaltung des Datenschutzes bei der Feuerwehr: „Das Hamburger Datenschutzgesetz sieht schon vor, dass technische und organisatorische Maßnahmen zu ergreifen sind von demjenigen, der verantwortlich Daten verarbeitet, die Unbefugte daran hindern, ohne große Schwierigkeiten Zugriff zu diesen personenbezogenen Daten von Bürgerinnen und Bürgern zu bekommen. Insofern ist schon auch eine Verpflichtung natürlich der verantwortlichen Stelle, und hier in diesem Falle der Feuerwehr Hamburg, gegeben.“

Die Feuerwehr Hamburg schreibt auf Anfrage von „Markt“: „Datenmissbrauch ist strafbar. Es ist Aufgabe der Strafverfolgungsbehörden, dies zu unterbinden und zu ahnden. Unabhängig davon nutzt die Feuerwehr Hamburg technische Erneuerungen, um mögliche Innovationen oder notwendige Schutzmaßnahmen dem Stand der Technik anzupassen und einem Missbrauch vorzubeugen.“ Andere Rettungsleitstellen im Norden sind jedoch schon weiter. Dort wird die gesamte Übermittlung der sensiblen Einsatzdaten verschlüsselt - und das schon seit Jahren. Mehr zum Thema sendet der NDR heute Abend, 26. September, um 20:15 Uhr in der Sendung „Markt.“

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×