KHZV Rundschreiben: Neue Entwicklungen zum möglichen Datendiebstahl

Mitarbeiter belastet, unberechtigten Datenzugriff aus eigenem Haus

Sehr geehrte Damen und Herren, mit Rundschreiben Nr. 18/2018 vom 16.04.2018 haben wir Sie über einen möglichen Datendiebstahl beim Krankenhauszweckverband Rheinland e. V. informiert. In direktem Bezug auf dieses Schreiben möchten wir Sie über den aktuellen Sachstand des Vorfalls in Kenntnis setzen.

Vorfall:
Am Mittwoch, dem 11. April 2018, wurde der khzv anonym informiert, dass eine Internetplattform mutmaßlich illegal erlangte Daten einer großen Anzahl von Krankenhäusern in ausgewerteter Form öffentlich zur Verfügung stelle. Eigenen Angaben nach ist es das Ziel dieser Plattform, „die ungute Ökonomisierung im Krankenhausbereich aufzudecken“. Eine „journalistische Veröffentlichung“ stehe „demnächst“ bevor.
Da wir nicht ausschließen konnten, dass es sich um unsere Daten und damit auch potenziell um Daten unserer Mitglieder handelt, haben wir sofort Maßnahmen eingeleitet.

Bereits getroffene Maßnahmen:

• fachanwaltliche beratung am 11.04.
• Information der Staatsanwaltschaft am 12.04. und die Erstattung einer Anzeige gegen Unbekannt am 13.04. bei der Kölner polizei
• Beauftragung der Wirtschaftsprüfungsgesellschaft Ernst & Young mit der internen Untersuchung nach unberechtigten Datenzugriffen
• ständiger Kontakt zu anderen Stellen, wie zum Beispiel Landeskrankenhausgesellschaften, um die Aufklärung zu koordinieren

Über diese Sofortmaßnahmen haben wir unsere Mitglieder im vorherigen Rundschreiben informiert.
Weitere Maßnahmen seit dem letzten Rundschreiben vom 16.04.2018:

Beschuldigter/Verdächtiger:
Inzwischen gibt es belastbare Hinweise, dass es einen unberechtigten Datenzugriff aus unserem Haus gab. Für einen externen Zugriff (im Sinne einer Cyberattacke) gibt es aktuell keine Hinweise.
Durch die IT-forensische Prüfung der beauftragten Wirtschaftsprüfer wurden Indizien festgestellt, die einen unserer Mitarbeiter belasten. Der Mitarbeiter wurde nach Anhörung mit sofortiger Wirkung freigestellt. Arbeitsrechtliche Maßnahmen laufen.
Zudem hat die Staatsanwaltschaft Köln ermittlungen gegen ihn eingeleitet. Im Fokus der Ermittlungen stehen mutmaßliche Straftaten gemäß § 17 UWG und § 202a StGB. Wir arbeiten vollumfänglich mit den ermittelnden Behörden zusammen. Zusätzlich behalten wir uns weitere zivilrechtliche Schritte vor.

Um welche Daten könnte es sich handeln:
Nach aktuellen Erkenntnissen handelt es sich um Daten gemäß § 21 krankenhausentgeltgesetz und Auswertungen, die sich daraus ableiten. Weiterhin handelt es sich nach aktuellem Kenntnisstand um anonymisiert verarbeitete Daten und somit nicht um Patientendaten. Darüber hinaus verfügt der Betreiber nach eigenen Angaben über erweiterte Daten zu Finanzen, Personal, Fluktuation und Ausfallzeiten von über 300 Krankenhäusern.
Nach eigenem Bekunden der Plattform ist keine Veröffentlichung einzelner Daten von Krankenhäusern oder patienten vorgesehen. Dennoch ist die Aneignung, Zugänglichmachung, Veröffentlichung oder die geplante Veröffentlichung solcher Daten in deutschland rechtswidrig und zum Teil auch strafbar. Der Verdächtige hat sich möglicherweise Daten des KHZV unrechtmäßig angeeignet und mutmaßlich über eine Internetplattform Dritten zur Verfügung gestellt, bzw. weitere Veröffentlichungen geplant. Dies kann zum aktuellen Zeitpunkt nicht abschließend geklärt werden. Daher handeln wir mit größtmöglicher Konsequenz und nach dem Vorsichtsprinzip.

Maßnahmen gegen die Plattform:
Wir gehen bereits gegen die Plattform vor. Derzeit prüfen wir rechtliche Schritte gegen den Registrar der Domain, den Registranten, sowie den mutmaßlichen Betreiber der Website, um eine potenzielle Veröffentlichung der Daten mit allen uns zur Verfügung stehenden Mitteln zu verhindern.

Generelle Maßnahmen zu Datenschutz und Datensicherheit:
Diese Daten sind von unserer Seite besonders geschützt. Elemente unseres Sicherheitssystems beinhalten unter anderem aber nicht abschließend eine Managed Firewall, aktuelle und stets Up-to-date Hard- und Software, ein aktuelles Patch-Management, eine aktualisierte Endpoint-Protection, Userrights-Management, ein dediziertes und verschlüsseltes VPN und eine Zugangs- und Zutrittskontrolle.
Dennoch werden wir unsere Sicherheitsvorkehrungen genauestens überprüfen und gegebenenfalls verschärfen.
Über die Emailadresse hinweise@khzv.de können Sie uns und unseren Ermittlern Hinweise melden, die uns bei der Aufklärung helfen.
Über die Emailadresse presse@khzv.de können uns Journalisten kontaktieren.

Rundschreiben: khzv.de

Weitere Medienberichte zum Datendiebstahl und der Webpräsenz medileaks.cc

• Enthüllungsplattform „Medileaks“: Ermittlungen wegen Datenlecks in hunderten Krankenhäusern
• Patientendaten gestohlen und im Netz veröffentlicht – Futurezone.de