E-Mail-Funktionskonten mit Trivialpasswörtern – ein teures Risiko

Der Datenschutz im Gesundheitswesen ist ein sensibler Bereich – und E-Mail-Funktionskonten mit schwachen Passwörtern können sich dabei als tickende Zeitbomben entpuppen. Ein aktueller Fall in Niedersachsen zeigt, wie mangelnder Zugriffsschutz bei E-Mail-Konten zu erheblichen Datenschutzproblemen führen kann.

Was ist passiert?

Ein anonym eingereichter Hinweis an den Landesbeauftragten für Datenschutz in Niedersachsen, brachte ans Licht, dass drei E-Mail-Funktionskonten eines Krankenhauses nur unzureichend gesichert waren. Mittels Trivialpasswörtern wie „123456“ oder „Passwort“ war es möglich, auf das Haupt-E-Mail-Postfach „info@…“ und weitere Konten zuzugreifen.

Insgesamt enthielt das Haupt-Postfach über 7.500 E-Mails, darunter sensible Gesundheitsinformationen. Das Klinikum wurde umgehend informiert und man änderte die Passwörter. Leider war dies nicht der einzige Vorfall: Wenige Wochen später zeigte ein zweiter Hinweis, dass mindestens sieben weitere Funktionskonten mit schwachen Passwörtern versehen waren.

Warum sind Trivialpasswörter ein Problem?

  • Leichte Erratbarkeit: Trivialpasswörter bieten kaum Schutz vor unbefugtem Zugriff. Gerade im Gesundheitswesen, wo besonders sensible personenbezogene Daten verarbeitet werden, ist dies ein erhebliches Risiko.
  • Fehlende Überprüfung: Trotz einer maschinellen Kontrolle nach dem ersten Vorfall stellte sich später heraus, dass nicht alle Konten überprüft worden waren – ein weiterer Schwachpunkt im Sicherheitskonzept.

Wie reagierte das Krankenhaus?

    Das Klinikum reagierte zügig und leitete umfangreiche Maßnahmen ein:

    • Händische Prüfung von über 100 Funktionskonten.
    • Umstellung auf sichere Passwörter.
    • Abschaffung der „Outlook im Web“-Funktion (OWA), um künftige Angriffsflächen zu reduzieren.

    Die Zusammenarbeit des Krankenhauses mit der Datenschutzaufsicht verlief dabei vorbildlich.

    Welche Lehren können aus dem Vorfall gezogen werden?

    • Passwortrichtlinien durchsetzen: Trivialpasswörter sollten nie verwendet werden. Unternehmen müssen dafür sorgen, dass initial vergebene Passwörter sofort durch sichere ersetzt werden.
    • Regelmäßige Stichproben: Selbst nach maschinellen Prüfungen sind Stichproben notwendig, um Sicherheitsmaßnahmen auf ihre Wirksamkeit zu überprüfen.
    • Sensibilisierung: Verantwortliche sollten IT-Teams und Mitarbeitende regelmäßig für das Thema Datenschutz sensibilisieren.

    Fazit

    Schwache Passwörter sind ein Einfallstor für Datenlecks – besonders im Gesundheitswesen, wo sensible Informationen verarbeitet werden. Die DSGVO verpflichtet Verantwortliche, technisch-organisatorische Maßnahmen zu implementieren, die den Schutz solcher Daten sicherstellen.

    Der Vorfall zeigt, wie wichtig es ist, nicht nur Maßnahmen zu ergreifen, sondern auch deren Wirksamkeit konsequent zu kontrollieren. Nur so können ähnliche Datenschutzverstöße in Zukunft vermieden werden.

    Dieser Beitrag wurde unter Arbeitgeber, Arbeitnehmer, Betriebsrat, Betroffene Personen, Unternehmen veröffentlicht. Setze ein Lesezeichen auf den Permalink.