1,2 Millionen Patientendateien "geknackt"

Versicherungsnummer, Anschrift, Geburtstag, Personenmaße und Kranken- und Behandlungsgeschichte: alle Daten von sage und schreibe 8 Prozent der niederländischen Bevölkerung konnten die drei Gruppen bekommen, die zwei Krankenhäusern mit Zentraldateien "getestet" hatten - ein Fiasko. Denn natürlich war eigentlich alles ganz sicher. Der kurze (englische, mit deutscher Zusammenfassung) Bericht "Hospitals hacked" vom 10. September 2005 über die "Politech" Mailingliste.

Hospitals hacked - over 1.2 million patient records retrieved - risks of national EPR database

In a hack of two hospitals, computer security experts of ITSX, Fox-IT and Madison Gurkha retrieved over 1.2 million electronic patient records, i.e. the medical records of 8% of the entire Dutch population. The hospitals had agreed to the test on condition that their names would not be revealed.

One of the hospitals involved has developed a regional electronic patient database in which a number of hospitals and general practioners co-operate and exchanmge information over the internet; the other, an academic hospital, is a participant in the newly developing national electronic patient database which will be accessible for health care workers, also using the internet. Th experts could retrieve all information regarding these 1.2 million people: insurance number, address, date of birth, length, weight, illnesses, history of treatment, past and current medication, etc. The experts were able to alter or delete this information (but of course refrained from soing so).

The test was part of a new project of Dutch ISP XS4ALL, called 'The Next Ten Years', a series of books dealing with the social aspects of developing internet technologies. The first book, 'Medical secrets', deals with the pros and cons of electronic patient records (EPRs) and was written by TNTY-editor in chief Karin Spaink. She also organised the hospital security tests.

A national system for EPRs will be implemented in the next years, starting Januari 2006. There has not yet been any public debate about EPRs, nor has there been a proper assessment of the risks of making medical information available over the internet.

The Dutch minister of Health Hans Hoogervorst was questioned on the matter a few days after the hack, and wrote it off to 'poor internal procedures and administration', not to his lack of investment in a solid infrastructure. Considering that all medical information is stored unencrypted, that hospitals use uncompartimentalised database systems (which allows all databases - and thus, all intruders - to freely exchange information), and often only rely on firewalls against outside invasion, developing a more robust system will only be possible if serious financial commitments will be made.

The Dutch national institute that is supposed to guide the implementation of a national EPR database, Nictiz, denied all responsibility too, stating that 'the integrity and safety of medical data is not our responsibility, but that of the health care institutions from which they originate'. Nictiz failed to explain how a reliable structure can be built upon unsafe building blocks.

Deutsche Zusammenfassung

ITSX, Fox-IT und Madison Gurkha sind drei Gruppen von Computer-Sicherheitsexperten, die die Datenbanken zweier niederländischer Krankenhäuser - eines mit einer regionalen Datensammlung und eines, das Teil der in den Niederlanden bereits für 2006 beschlossenen nationalen Patienten-Datenbank ist, aufgeknackt haben.

Was alle Kritiker solcher Dateien immer gesagt haben. und keineswegs nur in den Niederlanden, erweist sich somit als zutreffend: diese Datensammlungen können gar nicht sicher sein.

Dieser Hackversuch war Bestandtteil einer Studienreihe des niederländischen Alternativ-Providers XS4ALL (Access for all) die "Die nächsten zehn Jahre" heisst und sich mit sozialen Aspekten der Internet-Technologie befasst. Das erste Buch der darüber geplanten Reihe heisst bezeichnenderweise "Medizinische Geheimnisse". Die Herausgeberin Karin Spaink hat auch diesen Hospitaltest organisiert.

Der niederländische Gesundheitsminister war in seiner öffentlichen Antwort auf den "Vorfall" so originell, ihn "mangelhafter Verwaltung" zuzuschreiben... Das für die Datensammlung verantwortliche Institut Nictiz erklärte, nichts mit der Sicherheit zu tun zu haben - diese besteht nur aus Firewalls...die Daten sind unverschlüsselt gesammelt, wg Sparmaßnahmen.

(hrw)