• Mehrere Pandemien zeitgleich sind etwas lästig. Das aktuelle, weltweite Log4Shell-Problem fällt immerhin in den Bereich EDV und nicht in den Bereich Infektiologie. Das nenne ich abwechslungsreich.
• Seit Samstag haben wir unsere Computer, unsere Mobiltelefone und unser Netzwerk umfassend abgesichert und überprüft. Niemand war eingedrungen. Mancher Sicherheitszugang stand aber offen wie ein Scheunentor. Fragen Sie lieber nicht, wie es derzeit in vielen anderen Praxen und in fast allen Krankenhäusern aussieht.
• Rechtzeitig vor Weihnachten verkünde ich die gute Nachricht: Der sicherheitshalber am letzten Freitag eingeschränkte EDV-Betrieb meiner Praxis wird ab morgen wieder vollständig aufgenommen.
• Was können Sie gegen Log4Shell tun?
• Pausieren: Kritische Systeme müssen vom Netz genommen werden.
• Patchen: Log4j auf Version 2.15.0 (oder neuer) aktualisieren oder die Produkte aktualisieren, die Log4j nutzen
• Mitigieren: Sollte Patchen nicht möglich sein, kann die Lücke durch Deaktivieren des Loggings von Lookups mitigiert werden. Hierzu könnten Sie "log4j2.formatMsgNoLookups" oder die Umgebungsvariable "LOG4J_FORMAT_MSG_NO_LOOKUPS" auf "true" setzen.
• Wurden Sie erfolgreich angegriffen? Überprüfen Sie, ob die Sicherheitslücke bereits ausgenutzt wurde. Hierbei hilft das Tool log4shell-detector. Bei erfolgreichem Angriff muss das gesamte System forensisch untersucht werden.
• Dank an alle Patienten, die für unser kleines Geschwindigkeitsproblem Verständnis hatten!
• Ein Vergnügen war es, ein paar wirklich gute Datentechniker unter den Lieferanten unserer Software auch nachts an ihren Telefonen zu finden.
• Den Kollegen, die ihre Praxen nicht selbst administrieren können, wünsche ich für die nächsten Wochen viel Glück.

Tags: Log4j, Log4Shell, Datenschutz

• Labore sollen ab jetzt Untersuchungsergebnisse aller Menschen an die Gesundheitsämter weitergeben, die auf SARS-CoV-2 sowie das seit 2002 bekannte SARS-Coronavirus getestet werden – also auch die negativen Testergebnisse. Die Labore sollen den Namen und das genaue Geburtsdatum des jeweiligen Betroffenen zwar pseudonymisieren, aber den Geburtsmonat sowie das Geschlecht und den Wohnort übermitteln. Betroffen sein könnten hiervon langfristig wohl Millionen Menschen. Der Bundesdatenschutzbeauftragte Kelber sieht hierbei einen Eingriff in die Grundrechte einer „eklatanten Anzahl von Betroffenen“, wie er mitteilte. Die Grundlage, auf der dieser Eingriff erfolgen solle, sei nicht ersichtlich. Er halte ihn deshalb weder für erforderlich, noch für verhältnismäßig.
• Kelber zufolge handelt es sich auch bei in einer nicht-namentlichen Meldung enthaltenen Angaben noch immer um personenbezogene Daten. Demnach sind diese besonders schützenswert. „Die dürftigen Angaben in der Begründung deuten darauf hin, dass eine rein statistische Erfassung den Zweck ebenso erfüllen würde“, schrieb der Datenschützer.
• In seiner Stellungnahme sprach er zudem einen Punkt an, der in Frage stellt, ob die Regelung derzeit überhaupt sinnvoll umgesetzt werden kann. Denn womöglich wird sie Gesundheitsbehörden vor massive Probleme stellen. Mehr als 90 Prozent aller Coronavirus-Tests fielen nach Angaben des Robert Koch-Instituts derzeit negativ aus, so Kelber. „Eine Meldepflicht würde also zu einer enormen Zunahme der Meldungen führen.“

Tags: IfSG, Corona, Labormedizin, SARS-CoV-2, Datenschutz

Tags: Datenschutz