12.3 Gefahren durch einen Computervirus

Über Vorteile, aber auch die Gefahren der E-Mail-Benutzung berichtet der Landesbeauftragte in seinen Tätigkeitsberichten regelmäßig, zuletzt im V. Tätigkeitsbericht (Ziff. 11.3.2). Außerdem warnt er bei Beratungen, Fortbildungsveranstaltungen und Vorträgen vor den mit der Zulassung des E-Mail-Verkehrs einhergehenden vielfältigen Sicherheitsproblemen.
Ein solches Problem sind E-Mail-Computerviren.
Ein Kreiskrankenhaus hat dies bei der automatisierten Verarbeitung der Patientendaten nicht so recht ernst genommen. So erhielt der Landesbeauftragte von einer Firma in Hamburg die Mitteilung, dass das Kreiskrankenhaus offenbar von dem Internetwurm SIRCAM infiziert sei. SIRCAM versendet sich selbst an alle Einträge im Outlook-Adressbuch und an alle E-Mail-Adressen, die im Web-Browser-Cache (Temporary Internet Files) gefunden werden. Besonders unangenehm an SIRCAM ist, dass das Virus auf einen Wirt, ein Microsoft Word-Dokument aus dem Verzeichnis "Eigene Dateien", angewiesen ist, von dem es bei seiner Vermehrung Kopien mitnimmt.
So kam es, dass die genannte Firma in Hamburg und viele andere Empfänger in der ganzen Welt neben dem Virus auch eine interessante Krankengeschichte übermittelt bekamen.

Der Landesbeauftragte hatte bei seiner Kontrolle vor Ort aufgrund erheblicher Lücken beim Computervirenschutz einen Verstoß gegen § 6 Abs. 2 Ziffn. 1 und 2 DSG-LSA (Vertraulichkeit und Integrität) zu konstatieren.
Das Krankenhaus hatte zwar den Server seines Datennetzes durch veraltete Virenschutzsoftware zu sichern versucht, die 20 PC mit Internet-Anschluss und Mail-Client aber völlig schutzlos gelassen. Die ankommende Virus-Mail konnte sich dadurch verbreiten, ohne von der veralteten Antivirensoftware erkannt zu werden. Ein weiterer Fehler lag darin, die Office-Dokumente mit den Patientendaten nicht in einem Serververzeichnis zu speichern, wo sie u.a. von der regelmäßigen Datensicherung erfasst worden wären.
Schließlich wurde auch noch festgestellt, dass die Office-Makrosicherheit, z.B. in Outlook 2000 unter "Extras - Makro - Sicherheit", die zumindest ein gewisses Schutzniveau vor Makroviren bietet, nur auf niedrigem Niveau eingestellt war.

Der Landesbeauftragte hat das Krankenhaus aufgefordert,

• den Servervirenschutz in kurzen Intervallen (nicht länger als eine Woche) zu aktualisieren,
• auf den Workstations mit Internetanschluß für ebenso aktuellen Virenschutz zu sorgen,
• alle Sicherheitsmechanismen des Betriebssystems und der Office-Software auszuschöpfen,
• den Speicherort für patienten- und anderen personenbezogenen Daten auf den Server zu verlegen und die lokale Speicherung generell auszuschließen und
• vor allem die Mitarbeiter bezüglich der Computervirenproblematik zu sensibilisieren und zu schulen.

Der oberflächliche Umgang mit besonderen Daten kann eine Strafverfolgung wegen Verletzung von Privatgeheimnissen gem. § 203 Abs. 1 StGB und hinsichtlich der Versendung eines Virus wegen Computersabotage gem. § 303a StGB nach sich ziehen.