d33p.js (@d33pjs@infosec.exchange)
Digitale Inkompetenz in sensiblen Bereichen – ein persönlicher Frustbericht
Wir schreiben das Jahr 2025.
Und doch fühlt es sich in vielen Bereichen an wie 1995.
Ich musste kürzlich indirekt mit einer Klinik in Kontakt treten – es geht um eine medizinische Angelegenheit. Im Vorfeld sollen relevante Unterlagen übermittelt werden: über 30 MB an PDF-Dateien, voll mit Befunden, Laborwerten, Anmeldeinformationen – alles höchst sensible, personenbezogene - ja, KRITISCHE - Gesundheitsdaten.
Die Klinik bietet keine Plattform für den sicheren digitalen Austausch an. Kein Patientenportal, keine verschlüsselte Uploadmöglichkeit, kein Hinweis auf DSGVO-konforme Alternativen. Gar nichts.
Also nutze ich, wie schon in anderen Fällen, unsere eigene kleine Nextcloud-Instanz. DSGVO-konform, selbst gehoste... Dateien hochgeladen, Freigabelink erstellt und per E-Mail verschickt.
Was dann passiert, ist ein Symptom:
Ein Mitarbeiter*in der Klinik meldet sich zurück – es kann nicht auf den Link zugegriffen werden. Keine Details. Kein Hinweis, was genau nicht funktioniert. Nur: „Es geht nicht.“
Zusätzlich scheint es die mündliche(?) Regel zu geben, keine Bilder ansehen zu dürfen. Bilder? Zu dem Link hat Apple Mail das Standardlogo von Nextcloud („icon.png“) angehängt. Kein Trackingpixel, kein Skript, kein Link dahinter. Einfach nur ein Logo. Und dieses PNG-File soll ein Sicherheitsrisiko darstellen? Während die 30+ MB sensibelster Daten lieber unsicher per E-Mail verschickt werden sollen? Nochmal zum Verständnis: PNGs: NO! PDFs: GO!
Ernsthaft: In welcher Welt stellt ein Bild ein Sicherheitsrisiko dar? Und in welcher Welt stellen PDFs dann kein Risiko dar? Der völlige Verzicht auf ein sicheres Datenübertragungsverfahren ist okay?
Ich erlebe das leider nicht zum ersten Mal. Besonders in medizinischen, sozialen oder behördlichen Einrichtungen scheint moderne IT-Sicherheit und digitale Kommunikation immer noch als überflüssiger Luxus oder „technisches Gedöns“ gesehen zu werden. Statt aktiver Problemlösung regiert das Prinzip: „Haben wir noch nie so gemacht – also lassen wir’s.“
Dabei geht es nicht nur um meine Frustration als technikaffiner Mensch, sondern um etwas viel Tieferes:
- Menschen in schwierigen Lebenslagen müssen sich durch bürokratische, technische oder schlichtweg ignorante Hürden kämpfen, obwohl sie eigentlich Hilfe bräuchten. "Wenn wir die Daten nicht erhalten, können (=wollen) wir Ihnen nicht helfen". Datensicherheit ist zweitrangig.
- Daten mit höchster Schutzbedürftigkeit werden regelmäßig per E-Mail oder Fax durch die Republik geschoben. Obwohl wir nicht nur sicherere, sondern auch einfacherere, und effizientere Lösungen hätten.
- Kliniken, Behörden und Praxen bremsen aktiv sinnvolle digitale Prozesse aus – oft aus Inkompetenz, Desinteresse oder weil irgendeine Compliance-Regel falsch interpretiert wird.
Und dann ist da noch die andere Seite:
Ich will der betreffenden Sachbearbeiter*in Person nicht einmal per se Böswilligkeit unterstellen. Wahrscheinlich ist es schlicht Überforderung. Hat nie eine Schulung erhalten. Sieht IT als (zu) „komplex“ oder „fremd“.
Das ist auch ein strukturelles Problem. Kliniken und soziale Einrichtungen müssen Menschen im Kundenkontakt digital schulen. Es ist nicht optional.
Wenn jemand an der Schnittstelle zu Patienten oder Angehörigen sitzt – und dann nicht weiß, wie man einen Link aufruft oder einen sicheren Datentransfer durchführt – dann liegt der Fehler nicht bei der Person allein, sondern beim System, das sie dort arbeiten lässt. Ohne Support, ohne Schulung, ohne Bewusstsein.
Aber irgendwann ist es natürlich auch eine persönliche Verantwortung.
Wenn ich Auto fahren will, muss ich auch wissen, wie ich tanken oder laden kann.
Wenn ich die Schnittstelle zum Kunden darstelle und digitale Kommunikation abwickle – dann muss ich zumindest die Grundlagen kennen. Oder mir Hilfe holen. Oder sagen: „Ich verstehe das nicht, ich brauche Unterstützung.“
Aber einfach „geht nicht“ zu sagen – ohne zu hinterfragen – ist in so einem Kontext schlicht unprofessionell. Und ich unterstelle 2025 jedem das Wort "Datensicherheit" mal gehört zu haben.
Was mich besonders ärgert:
Es ist ohnehin gerade eine herausfordernde Zeit. Es ist für viele Personen wahrscheinlich bereits emotional belastend, überhaupt mit einer Klinik zu tun zu haben. Und obwohl viele Menschen auf Hilfe angewiesen sind, habe ich das Gefühl, deren Prozesse tragen dazu bei, dass alles noch schwerer wird.
Weil sie es seit über 15 Jahren verpassen, eine vernünftige IT-Strategie umzusetzen.
Weil sie Sicherheit mit Inflexibilität verwechseln.
Weil sie glauben, „Compliance“ heißt, alles zu blockieren, was man nicht versteht – statt echte Lösungen zu ermöglichen. Statt ECHTE Security umzusetzen.
Dabei gäbe es diese Lösungen längst:
- Open Source Tools wie Nextcloud, CryptPad, Seafile etc.
- DSGVO-konforme Cloudlösungen, selbst gehostet oder professionell betrieben
- Zwei-Faktor-Authentifizierung, verschlüsselte Links, zeitlich begrenzte Freigaben
- Klare Prozesse für Datenaustausch mit Patienten, Angehörigen, Dritten
- Und vor allem: Menschen, die geschult werden, damit sie all das auch nutzen können
All das kostet weniger, als man denkt. Und bringt mehr, als die meisten ahnen.
Fazit:
Ich bin müde, jedes Mal auf technische Inkompetenz zu stoßen, wenn es ernst wird. Wenn Menschen mit psychischen, körperlichen oder sozialen Problemen auf ein funktionierendes System angewiesen sind – und dann an „Wir brauchen die Daten, aber wir haben keine Möglichkeit die Daten sicher zu übertragen“ scheitern.
Wir brauchen echte digitale Kompetenz – gerade im Gesundheits- und Sozialwesen.
Wir brauchen weniger Blockadehaltung und mehr Verantwortungsgefühl.
Und wir brauchen ein Ende dieser tief sitzenden Angst vor allem, was mit IT zu tun hat. Denn wer heute in diesen Bereichen arbeitet, muss digitale Kompetenz als Teil der beruflichen Grundausstattung begreifen.
Sonst versagen wir dort, wo es am meisten zählt.
#security #itsecurity #sicherheit #kliniken #klinik #gesundheitspolitik #gesundheitswesen #gesundheit #soziales #sozialwesen #it #informationsecurity #informationsicherheit #compliance #patienten #dsgvo #DSGVOFail #nextcloud #fax #datensicherheit #datenschutz
Leipziger Zeitung
d33p.js
Verfassungklage@troet.cafe
Spabetti
Tino Eberl
Genera1Klaus
☕ 🏳️🌈 schlackenfuchs
Niedersachsen Nachrichten
Johann