Noch ein Nachtrag vom Wochenanfang. Unbekannte haben es wohl geschafft, E-Mail-Adressen der Universitätsmedizin Mainz von einem IT-Dienstleister zu entwenden. Konkret handelt es sich wohl um Log-Dateien, die die Mail-Adressen der Sender und Empfänger sowie Zeiten des Versands enthalten. Der Datensatz wird inzwischen im Darknet zum Verkauf angeboten, wodurch der Hack erst aufgefallen ist. Betroffen sind die Daten von ca. 280.000 Menschen, die der Universitätsmedizin Mainz E-Mails geschickt haben.
Anzeige
Die Universitätsmedizin Mainz
Bei der Universitätsmedizin Mainz handelt es sich die einzige medizinische Einrichtung der Supramaximalversorgung in Rheinland-Pfalz, die der Johannes Gutenberg-Universität Mainz angegliedert ist. Sie umfasst mehr als 60 Kliniken, Institute und Abteilungen, die fächerübergreifend zusammenarbeiten und jährlich mehr als 345.000 Menschen stationär und ambulant versorgen. Hochspezialisierte Patientenversorgung, Forschung und Lehre bilden in der Universitätsmedizin Mainz eine untrennbare Einheit.
Mehr als 3.500 Studierende der Medizin und Zahnmedizin sowie rund 670 Fachkräfte in den verschiedensten Gesundheitsfachberufen, kaufmännischen und technischen Berufen werden hier ausgebildet. Mit rund 8.700 Mitarbeitenden ist die Universitätsmedizin Mainz zudem einer der größten Arbeitgeber der Region und ein wichtiger Wachstums- und Innovationsmotor, und ein international anerkannter Wissenschaftsstandort.
Ausgelagerte Daten abgeflossen
Die IT der Universität hat wohl Daten bei einem IT-Dienstleister ausgelagert. Es handelt sich um Protokolldateien mit den E-Mail-Adressen von Absendern und Empfängern, dem Betreff und dem Zeitstempel des Versands. Laut einer Meldung des SWR, der sich auf eine Mitteilung der Universitätsmedizin Mainz bezieht, wurden diese Daten von einem Unbekannten gestohlen.
Betroffen sind wohl 280.000 Personen, deren E-Mail-Adressen vom Hack betroffen sind und die nun im Darknet gehandelt werden. Die E-Mails selbst oder Anhänge der Mails sind von diesem Datenschutzvorfall nicht betroffen, da keine Mails bei diesem Dienstleister lagerten. Die Unimedizin Mainz warnt davor, dass die Privatsphäre der Betroffenen verletzt werden könnte. Mit den gestohlenen Daten bestehe das Risiko, dass Passwörter abgefischt würden. Daher werden alle 280.000 Betroffenen von der Universitätsmedizin per E-Mail informiert.
2015
Ohne Worte.
Kann man nun eigentlich generell die EPA ablehnen?
Gibt es da Standard Vorlagen?
Kommt mir wie ein großes, gewolltes Durcheinander vor.
Die elektronische Patientenakte wird für alle gesetzlich Versicherten eingeführt, wenn Sie dies nicht ausdrücklich ablehnen. Sie können der Speicherung Ihrer Gesundheitsdaten widersprechen.
+ Um die elektronische Patientenakte zu kündigen beziehungsweise die Nutzung zu widerrufen, muss eine angemessene Mitteilung an Ihre Krankenkasse erfolgen.
+ Einige Krankenkassen stellen spezielle ePA-Anwendungen bereit. Bei der AOK können Sie Ihre elektronische Patientenakte beispielsweise über die "AOK Mein Leben"-App einsehen. gematik hat eine Liste herausgegeben zu den verfügbaren Apps der Krankenkassen herausgegeben.
+ Prüfen Sie zunächst, ob Sie die elektronische Patientenakte über die entsprechende Anwendung Ihrer Krankenkasse widerrufen können.
+ Ist dies nicht der Fall, muss der Widerruf über den postalischen Weg oder den E-Mail-Service Ihrer Krankenkasse erfolgen.
+ Ihr Widerruf kann beispielsweise so aussehen: "Sehr geehrte Damen und Herren, ich möchte Ihnen hiermit mitteilen, dass ich gegen die Erstellung einer elektronischen Patientenakte für meine Person bin. Falls bereits eine elektronische Patientenakte angelegt wurde, bitte ich höflich um deren Löschung."
Quelle Chip
"Kann man nun eigentlich generell die EPA ablehnen?"
1. ja, zur Zeit: keine beantragen ;)
2. nach "Scharfschaltung" des "opt-out"-Verfahrens – Widerspruch bei der Krankenkasse einlegen
3. falls möglich, "privat" versichern – anderes Innenverhältnis zum Versicherer ! (noch)
subtiler und m.E. am einfachsten: nach "Zwangs"-einführung der ePA jeglichen Zugriff durch Leistungsanbieter "lächelnd" verwehren – Verarbeitung der Daten Widersprechen
Was haben "Protokolldateien mit den E-Mail-Adressen von Absendern und Empfängern, dem Betreff und dem Zeitstempel des Versands" bei einem externen Dienstleister verloren?
Externer Mailscan wäre hier ein Beispiel, der Anbieter leitet die Mail durch und hebt für Logzwecke die wichtigsten Protokolldaten auf, damit der Kunde XY Tage lang diese einsehen kann.
Hierzu gäbe es mehrere Szenarien: Von gehosteter Emailumgebung, externer Sicherheitsprüfung a'la Email-Filtering (zB Spam), Callcenter oder Support, Anbindung von multiplen Devices über Dienstleister per IMAP-Zugriff…
Über den Umfang und Datensparsamkeit mag man diskutieren, über die Architektur, Zulässigkeit der Implementierung oder defizitäres Management auch. Die meisten Emailprovider von GMX bis WEB haben die o.g. Metadaten defacto ebenso.
Hier wäre im Detail zu schauen – sind wir froh, daß es keine prallen Postfächer mit Content sind.
Billig muß er sein, der externe Dienstleister. Kompetenz stört hier nur. So geht Digitalisierung in Deutschland.
Deutschland ≠ Digitalisierung
War es nicht, ist es nicht und wird es nie sein!
Sind doch alle nur auf ihr eigenes Wohl bedacht. Aber es ist schon zum Teil Wucher und Abzocke was manche Dienstleister mit den Aerzen abziehen.
Wer die Tage eine Emailvon Dropbox bekommt, sollte diese ernst mehmen, die wurden gehackt. https://winfuture.de/news,142587.html
Danke, aber das ist offtopic. Poste das bitte unter Diskussion, dann kann Günther Born entscheiden, ob er einen Artikel draus macht.
Falls immer noch nicht so bewusst:
Die Bundespost und auch jeder private Briefdienst fotografiert jeden Brief, den sie transportieren. Die Post zusätzlich noch mit einer eindeutigen Seriennummer auf jeder einzelnen Briefmarke.
Der Zweck ist klar:
Die Privaten benutzen den Scan für die Abrechnung und dem Nachweis ihrer Tätigkeit. Die Post zusätzlich noch für die Benachrichtigung des Empfängers.
Diese Daten sollen bei der Post m.W. mit erfolgreicher Zustellung gelöscht werden, bei den Privaten nach Abrechnung.
Insofern ist die Existenz solcher Logodaten wahrscheinlich legal, die Frage ist:
Wurden sie rechtzeitig gelöscht.
Diese Frage muss der DSB beantworten.
Sagte da wer "Totale Überwachung aller Lebensvorgänge"?
Sie haben doch nichts zu verbergen?