Anzeige
Danksagungen unserer in den Ruhestand gegangenen, langjährigen Mitglieder
,,Ich danke Ihnen sehr für die immer freundliche und positiv zugewandte Unterstützung, sei es in Form von Fortbildungen oder berufspolitischen Informationen. Herzlichen Dank für Ihr wertvolles Engagement!"
Dr. A. L., Allgemeinmedizinerin
,,Auf diesem Wege nochmals herzlichen Dank für all die Jahre Engagement für uns und vor allem für die Organisation wirklich hochkarätiger Fortbildungsveranstaltungen, die immer Spaß gemacht haben."
G. R.-M., Allgemeinmedizinerin
,,Ich bedanke mich für die langjährige, angenehme und immer einwandfreie Betreuung."
A. H., Allgemeinmediziner & Psychoterapeut
,,Vielen Dank für die vielen Jahre und die tollen Fortbildungsveranstaltungen. Wir wünschen dem Gesundheitsverbund alles Gute und weiterhin viel Erfolg in diesen bewegten Zeiten des Gesundheitswesens."
S. und Dr. B. S., Allgemeinmedizinerin und Internist
,,Ich möchte mich hiermit ausdrücklich für die vielfältige Unterstützung meiner ärztlichen Tätigkeit in den vielen Jahren meiner Mitgliedschaft bedanken. Die regelmäßigen Fortbildungsangebote haben mich lange begleitet und waren sehr wertvoll für mich. Für die weitere Arbeit wünsche ich allen Mitgliedern und besonders Herrn Dr. Lorenz viel Elan und Erfolg."
A. M., Augenärztin
,,Für die gute Zusammenarbeit und Ihr stetes Engagement für uns Ärzte, bedanke ich mich herzlich."
Dr. M. T., Allgemeinmediziner
,,Herzlichen Dank für die jahrelange sehr gute Vertretung und die sehr engagierte Arbeit."
J. M., Allgemeinmediziner und Chirurg
,,Ich bedanke mich gerne für die Interessenwahrnehmung des GVBs im Praxisalltag."
M. L., Allgemeinmediziner
Wir bedanken uns, bei allen ehemaligen Mitgliedern für die langjährige Treue und auch bei unseren jetzigen Mitgliedern, für die Unterstützung unseres Vereins.
Über jedes neue Mitglied, zum Erhalt unserer Fortbildungsveranstaltungen und des Vereins, würden wir uns sehr freuen.
Werden auch Sie bei uns Mitglied. Unser Anmeldeformular finden Sie unter folgenden Link: https://www.gesundheitsverbund.de/index.php/mitglied-werden.html
D-Trust: Mutmaßlich Daten von mindestens 10.000 Ärzten ausgelesen
Das Unternehmen D-Trust (Bundesdruckerei) stellt unter anderem den elektronischen Praxisausweis her, mit dem sich unter anderem Praxen oder Krankenhäuser für den Zugriff auf Daten im Gesundheitswesen autorisieren.Von dem Datenleck betroffen sind mindestens folgende Daten von Antragstellern, die Heilberufsausweise (eHBA) und elektronische Praxisausweise (SMC-B-Karten) beantragt haben:
- Vor- und Nachname
- E-Mail-Adresse
- Geburtsdatum
- Adressdaten
- Ausweisdaten
Angaben der Landesärztekammern zur Anzahl der betroffenen Ärzten:
- Westfalen-Lippe: 1.700
- Hessen: 757
- Rheinland-Pfalz: 431
- Niedersachsen: 1.432
- Sachsen-Anhalt: 303
- Sachsen: 549
- Nordrhein: 2.000
- Brandenburg: 300
- Bayern: 2.100
- Tühringen: 390
- Bremen: 112
Was können Betroffene jetzt tun?
Betroffene sollten in nächster Zeit auf ungewöhnliche Vorgänge achten, denn die entwendeten Daten könnten möglicherweise für Betrugsversuche genutzt werden.
Zudem können Sie mögliche Auskunfts-, Schadenersatz- und Unterlassungsansprüche prüfen lassen:
- Sie haben nach Art. 15 Abs. 1 DSGVO das Recht, Auskunft darüber zu erhalten, ob und in welchem Umfang Sie von dem Datenleck betroffen sind.
- Betroffenen entsteht infolge eines Datenlecks auch ein sogenannter immaterieller Schaden. Es muss also kein finanzieller Schaden entstanden sein. Nach der DSGVO genügt ein immaterieller Schaden, um Ansprüche geltend machen zu können.
- Geschädigte haben einen Anspruch auf Unterlassung und können der Verarbeitung Ihrer Daten widersprechen.
5-Punkte-Plan für d(on't)-trust, SMC-B (Praxisausweisen), eHBA (Arztausweisen)
Mit bedeutungsschwangerer Cyber-Rhetorik will d-trust von der Verantwortung für ein großes Datenleck ablenken. Der CCC erklärt die Hintergründe und fordert Konsequenzen.<LINK zum Beitrag des CCC>
CCC fordert Ende der ePA-Experimente am lebenden Bürger
Sicherheitsmängel begleiten die elektronische Patientenakte (ePA) seit ihrer Einführung im Jahr 2020. Mit der Umstellung von Opt-In auf Opt-Out kommt nun die Patientenakte „für alle“: Gesundheitsdaten von über 70 Millionen Versicherten werden ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Datenbank zusammengeführt. Doch auch die „ePA für alle“ kann ihre Sicherheitsversprechen nicht halten. Beim 38C3 wird demonstriert, wie unberechtigte Personen mit wenig Aufwand massenhaften Zugang zur ePA für alle erlangen können.
Der Chaos Computer Club (CCC) begleitet die Lösungen aus dem Hause Gematik seit Jahren mit einer morbiden Faszination. Von geplanter Obsoleszenz bei den Konnektoren [1] über das Ident-Verfahren [2] bis zu dem von Anfang an bescheinigten bedenklichen Kosten-Nutzen-Verhältnis [3] waren die Projekte um die ePA von Turbulenzen begleitet.
Eine erneute Analyse des aktuellen Stands [4] ergab nun wieder Bedenkliches:
Sicherheitsforscher zeigen unter anderem, wie sie sich mit wenig Aufwand und zum wiederholten Male gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Ursächlich sind erneut Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Feld. Diese wurden bereits auf dem 36C3 [5] demonstriert.
Zudem demonstrieren die Forscher, wie Mängel in der Spezifikation es ermöglichen, Zugriffstoken für Akten beliebiger Versicherter zu erstellen. Dies ist möglich, ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen. Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten.
LINK zum Beitrag des CCC
Und damit nicht genug, Das Zentrale Vertrauen der Telematikinfrastruktur beruht auf den SMC-B (Praxisausweisen), eHBA (Arztausweisen) LINK
Diese werden unter anderem von der Bundesdruckerei ausgestellt. Deren Sicherheit wurde nun vor kurzem auf eine leichte Probe gestellt, und ist glatt durchgefallen.
LINK
e-Mail NEWS der Freie Ärzteschaft e.V
NEWSLETTER Freie Ärzteschaft e.V
Liebe Kolleginnen und Kollegen,
wir arbeiten mit in einem breiten Bündnis von Patientenvertretern, Datenschützern und Bürgerrechtsorganisationen, welches gestern eine Pressemitteilung zur ePA veröffentlicht hat, diesmal aus der Sicht von Patienten und Bürgern.
Zur Information für Sie hier:
wir arbeiten mit in einem breiten Bündnis von Patientenvertretern, Datenschützern und Bürgerrechtsorganisationen, welches gestern eine Pressemitteilung zur ePA veröffentlicht hat, diesmal aus der Sicht von Patienten und Bürgern.
Zur Information für Sie hier:
ePA für alle - das Risiko trägt der Patient
Die elektronische Patientenakte (ePA) kommt - Risiken und Nebenwirkungen werden nicht thematisiert. Datenschützer empfehlen: informieren und widersprechen.
Werbekampagne für die ePA, keine ehrliche Information
Derzeit erhalten gesetzlich Krankenversicherte von ihren Krankenkassen Informationsschreiben darüber, dass sie ab 15. Januar 2025 automatisch eine elektronische Patientenakte bekommen - es sei denn, sie widersprechen. "Diese Kurzinformationen", so Uta Schmitt, Co-Vorsitzende des Vereins Patientenrechte und Datenschutz e.V. "erfüllt in keiner Weise den gesetzlichen Auftrag der Aufklärung für die Versicherten. Die Krankenkassen werben mit unrealistischen Versprechungen für die ePA, erwähnen die Risiken aber mit keinem Wort."
Datensicherheit und Privatsphäre sind gefährdet
Die massenhafte zentrale Speicherung von Patientendaten ist ein attraktives Ziel für Hacker und nur schwer gegen unbefugte Zugriffe abzusichern. So wurden Anfang 2024 bei einem Angriff auf einen Dienstleister amerikanischer Krankenversicherungen die Daten von fast einem Drittel der US-Bevölkerung gestohlen und seitdem mehrfach für Erpressungen benutzt.[1] Im deutschen Gesundheitswesen waren es 2024 durchschnittlich eine Datenpanne oder ein Cyberangriff pro Monat.[2]
Doch schon die ePA selbst implementiert den Schutz der Privatsphäre nur ansatzweise: "Wenn Sie sich die Voreinstellungen anschauen, sehen Sie, dass künftig alle 2 Millionen Mitarbeiter im Gesundheitswesen nach bloßem Stecken der Versichertenkarte Zugriff auf die gesamte Akte haben. Künftig kann jede Mitarbeiterin der Apotheke lesen, was in meinem Bericht vom Frauenarzt oder von der Psychologin steht, sobald ich dort ein elektronisches Rezept eingelöst habe", so Uta Schmitt, "das führt die ärztliche Schweigepflicht ad absurdum“.
Und die Kontrolle durch die Versicherten?
"Selbst auf Ihre Akte zugreifen können Versicherte nur, wenn Sie über ein aktuelles Smartphone mit der ePA-App der Krankenkasse verfügen", kritisiert Jan Kuhlmann, Jurist und IT-Fachmann aus Hamburg, "und selbst dann ist die Steuerung der Zugriffsrechte auf Dokumente aufwändig und alles andere als intuitiv. Viele Patienten werden daher Schwierigkeiten haben, ihre Akte auch nur einzusehen".
Problematisch ist laut Datenschützer Kuhlmann auch der Rechtsstatus der ePA: "Da sie nicht vom Arzt geführt wird, genießt sie nicht denselben gesetzlichen Schutz wie eine arztgeführte Patientenakte. Insbesondere unterliegt sie nicht dem Beschlagnahmeverbot."
Forschung zur Gewinnmaximierung, nicht zum Patientenwohl
Ebenfalls kaum bekannt ist, dass die gesammelten Patientendaten in der ePA für Forschung und weitere wirtschaftliche Zwecke verwertet werden sollen. Die Ausleitung der Daten an ein Forschungsdatenzentrum ist in den Voreinstellungen der Akte standardmäßig erlaubt und soll - sofern die ePA-Inhaber nicht widersprechen - ab 15. Juli 2025 erfolgen.
Allerdings sind als "Nebenprodukt" ärztlicher Behandlungen entstandene Patientendaten laut Gerd Antes, Experte für evidenzbasierte Medizin, nicht als Ausgangsmaterial für medizinische Studien geeignet, so dass der Nutzen für Forschung und Patienten überschaubar bleiben wird.[3]
Profitieren können hingegen Firmen, die die ePA-Inhalte für datenhungrige Geschäftsmodelle, wie z.B. das Training von KI, verwenden wollen. Hiervon verspricht man sich auf deutscher wie europäischer Ebene eine bessere Konkurrenzfähigkeit gegenüber Unternehmen aus Ländern wie China, die auf Datenschutz oder andere Grund- und Bürgerrechte keine Rücksicht zu nehmen brauchen. "Dafür, dass er die 'Zweitverwertung' der ePA-Daten ermöglicht hat, hat Lauterbach zu Recht der 'Big Brother Award' für Datenkraken gewonnen", meint Uta Schmitt.
LINK NEWSLETTER Freie Ärzteschaft e.V
Sicherheitsvorfälle Q4 2024
Deutschland
Am 6. November 2024 proklamierte die Helldown-Ransomware-Gang das Haus des Stiftens als Opfer. Sie veröffentlichten 153 GB an Daten auf ihrer Leaksite. Da die Gruppe keine genauen Angaben zu ihrem Angriff machte, ist unklar, ob es sich um den Vorfall handelt, den das Sozialunternehmen im September 2024 meldete.
Deutschland
CAS Software, Am 31. Oktober 2024 fügte die Ransomware-Gang "Sarcoma" das den CRM-Software-Anbieter CAS Software ihrer Opferliste hinzu. Die Täter haben angeblich 6 GB an Daten exfiltriert. Darunter SQL-Datenbanken und E-Mails aus einem MS Exchange-System. Sie setzten dem Unternehmen eine Frist, die am 21. November 2024 endet. Nach Ablauf dieser werden eventuell erbeutete Daten vermutlich veröffentlicht. <LINK>
Deutschland
ScopeSET, ein Dienstleister für Software- und System-Engineering, wurde Opfer eines Ransomware-Angriffs. Am 29. Oktober 2024 listete die Ransomware-Gruppe "Apt73" das deutsche Unternehmen auf ihrer Leak-Seite im Darknet. Die Angreifer kompromittierten sensible Daten und setzten eine Frist bis zum 7. November 2024 zur Zahlung eines Lösegeldes in unbekannter Höhe. Andernfalls drohen die Täter mit der Veröffentlichung der gestohlenen Daten. Das Ausmaß und die Art der exfiltrierten Informationen sind derzeit unklar.
Deutschland
Am 28. Oktober 2024 wurde der Apothekengroßhändler AEP GmbH angegriffen. Dabei wurden dessen IT-Systeme teilweise verschlüsselt. Die betroffenen Systeme wurden heruntergefahren. Das Unternehmen ist nicht per Telefon und auch per E-Mail nur sehr eingeschräntk erreichbar. Die Medikamentenversorgung sei jedoch nicht gefährdet. <LINK>
Vereinigte Staaten von Amerika
Am 24. Oktober 2024 meldete OnePoint Patient Care einen Sicherheitsverstoß an den Generalstaatsanwalt von Texas. Ein Cyberangriff vom 6. bis 8. August 2024 ermöglichte einer unbefugten Person den Zugriff auf sensible Daten von 795.916 Personen. Zu den betroffenen Informationen gehören Namen, Sozialversicherungsnummern und Diagnosen. <LINK>
Am 24. Oktober 2024 meldete OnePoint Patient Care einen Sicherheitsverstoß an den Generalstaatsanwalt von Texas. Ein Cyberangriff vom 6. bis 8. August 2024 ermöglichte einer unbefugten Person den Zugriff auf sensible Daten von 795.916 Personen. Zu den betroffenen Informationen gehören Namen, Sozialversicherungsnummern und Diagnosen. <LINK>
Deutschland
Die Augsburger SRS-Stahl GmbH fiel offenbar einer Ransomware-Attacke zum Opfer. Am 25. Oktober 2024 erschien der deutsche Stahlhändler auf der Opferliste der Ransomware-Gruppe „Sarcoma“ im Darknet. Die Angreifer behaupten, 64 GB sensible Daten gestohlen zu haben, darunter Finanzdaten, Rechnungen, Gehaltsdaten und mehr. Als Beweis veröffentlichten die Täter Screenshots einiger gestohlener Dokumente. Das Unternehmen muss bis zum 17. November 2024 ein nicht näher bekanntes Lösegeld zahlen, sonst droht die Veröffentlichung der Daten.
Deutschland
Cyberkriminelle der MEDUSA-Gruppe griffen die deutsche Lakesight Technologies Holding GmbH mit Ransomware an und listeten das Unternehmen am 25. Oktober 2024 auf ihrem Blog im Darknet. Sie behaupten, vertrauliche Unternehmensdaten zu besitzen und drohen, diese am 4. November 2024 zu veröffentlichen. Als Beweis stellten sie Screenshots verschiedener Dokumente online. Die Frist ließ sich für 10.000 USD um einen Tag verlängern. Für 100.000 USD boten die Täter an, die Daten vollständig zu löschen oder für denselben Preis zum direkten Herunterladen bereitzustellen. <LINK>
Deutschland
IDEA, eine evangelische Nachrichtenagentur, wurde am 21. Oktober 2024 Opfer einer Ransomware-Attacke, bei der ein Teil ihrer Server erfolgreich verschlüsselt wurde. Sie nennen eine "osteuropäsische Hackergruppe" als Täter. Es habe eine Lösegeldforderung gegeben, das vermutlich nicht gezahlt wurde. Eine Kompromittierung hinterlegter Daten wird nicht ausgeschlossen, ist aber bislang nicht bestätigt. <LINK>
Vereinigte Staaten von Amerika
Am 6. September 2024 erlitt Boston Children's Health Physicians (BCHP) ein Datenleck. Ein Sicherheitsvorfall bei dem externen IT-Dienstleister ATSG Inc. ermöglichte unbefugten Dritten den Zugriff auf die Systeme des Gesundheitsdienstleisters. Dabei wurden mutmaßlich sensible Patientendaten wie Sozialversicherungsnummern und Patientenaktennummern gestohlen. BCHP betonte jedoch, dass der Cyberangriff nicht die elektronischen Gesundheitsakten beeinträchtigte, da diese auf einem separaten Netzwerk gehostet werden. Die Ransomware-Gruppe BianLian bekannte sich auf ihrem Opferblog im Darknet zu dem Angriff und forderte ein Lösegeld. Das Unternehmen informierte die betroffenen Patienten umgehend über den Vorfall. <LINK>
Am 6. September 2024 erlitt Boston Children's Health Physicians (BCHP) ein Datenleck. Ein Sicherheitsvorfall bei dem externen IT-Dienstleister ATSG Inc. ermöglichte unbefugten Dritten den Zugriff auf die Systeme des Gesundheitsdienstleisters. Dabei wurden mutmaßlich sensible Patientendaten wie Sozialversicherungsnummern und Patientenaktennummern gestohlen. BCHP betonte jedoch, dass der Cyberangriff nicht die elektronischen Gesundheitsakten beeinträchtigte, da diese auf einem separaten Netzwerk gehostet werden. Die Ransomware-Gruppe BianLian bekannte sich auf ihrem Opferblog im Darknet zu dem Angriff und forderte ein Lösegeld. Das Unternehmen informierte die betroffenen Patienten umgehend über den Vorfall. <LINK>
Deutschland
Gaggenauer Altenhilfe: In der Nacht vom 12. auf den 13. Oktober 2024 wurde die Gaggenauer Altenhilfe Opfer eines Ransomware-Angriffs, der sie zur Abschaltung mehrerer Systeme zwang. Es habe eine Lösegeldforderung gegeben. Die Pflegeheime und anderen Einrichtungen der gemeinnützigen GmbH mussten temporär auf Papierarbeit umstellen. Regelmäßige Back-Ups ermöglichten die Wiederherstellung betroffener Systeme. Bis zum 15. Oktober war unter anderem die Telefonanlage jedoch nur eingeschränkt erreichbar. <LINK>
Vereinigte Staaten von Amerika
Am 27. und 28. Januar 2024 hatten Hacker bei Signature Healthcare Services Zugriff auf personenbezogene Daten einer unbekannten Anzahl von Menschen. Betroffen sind Namen, Geburtsdaten, Gesundheitsakten, behandelnde Ärzte, durchgeführte Behandlungen sowie wahrgenommene Termine. <LINK>
Vereinigte Staaten von Amerika
Weiser Memorial Hospital, Am 5. September 2024 meldete das Weiser Memorial Hospital eine Cyberattacke auf die eigenen Systeme. Der Angriff, der vermutlich der Ransomware-Gruppe Embargo zuzuschreiben ist, sorgte dafür, dass das Krankenhaus noch am 17. September 2024 mit der Wiederherstellung beschäftigt war. Ob und inwiefern personenbezogene Daten betroffen sind, wird noch untersucht. <LINK>
Deutschland
Lyomark Pharma, Das deutsche Pharmaunternehmen Lyomark Pharma aus Oberhaching wurde offenbar Opfer einer Ransomware-Attacke. Die Ransomware-Gruppe "Dragonforce" listete das Unternehmen am 3. Oktober 2024 auf ihrem Opferblog im Darknet. Die Angreifer behaupten, 51,31 GB sensible Firmendaten erbeutet zu haben und drohen, diese am 5. Oktober 2024 zu veröffentlichen. Ob es eine Lösegeldforderung gibt, ist nicht bekannt. <LINK>
Deutschland
GALAB Laboratories, Die GALAB Laboratories wurde vermeintlich Opfer einer Ransomware-Attacke. Die Erpressergruppe Cactus konnte nach Angaben vom 1. Oktober 2024 auf ihrer Darkweb-Seite bei dem Angriff 120 GB Daten des Unternehmens exfiltrieren. Darunter sollen sich Datenbank-Backups, Unternehmensdaten, Zeichnungen und Projektdaten befinden.
Deutschland
Thoraxzentrum Münnerstadt, Cyberkriminelle haben Anfang Oktober 2024 das Thoraxzentrum in Münnerstadt angegriffen. Durch den Vorfall funktionieren IT-Systeme innerhalb der Lungenfachklinik nur eingeschränkt. Eine Untersuchung und Wiederherstellungsmaßnahmen wurden umgehend eingeleitet. Laut einer Mitteilung der Einrichtung ist eine Patientenversorgung gewährleistet. <LINK>
