Apotheker, Ärzte, Kliniken schlampen mit Patientendaten

Das ist das Ergebnis einer Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft. Danach benutzen nur 5 Prozent der Kliniken eine sichere Verschlüsselungstechnik, Apotheker und Ärzte arbeiten hingegen zu 100 Prozent mit veralteten Systemen. „Viele Mail-Server sind so eingestellt, dass sie noch Verschlüsselungen unterstützen, die schon seit mehreren Jahren veraltet und damit unsicher sind. Die neuesten Verschlüsselungstechnologien und damit einen sehr guten Schutz haben nur die wenigsten, die breite Masse hinkt der Entwicklung hinterher. Hier besteht akuter Handlungsbedarf“, heißt es in der Untersuchung.

Patientendaten sind danach bei deutschen Kliniken und Ärzten nicht sicher aufgehoben, wie ein Test der Mailserver mit dem Analysetool Cysmo ergab: Von knapp 1200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Stand der Technik. Alle anderen ließen eine Verschlüsselung des Mail-Verkehrs auch mit veralteten und unsicheren Standards zu. Wird eine solche Mail zwischen Sender und Empfänger abgefangen, könnte sie von Fremden gelesen werden.

Neun von zehn Ärzten verwenden demnach leicht zu erratende Passwörter wie „Behandlung“ oder den Namen des Arztes. Zudem finden sich von jeder zehnten Arztpraxis (9 Prozent), jeder fünften Apotheke und sogar von 60 Prozent der Kliniken E-Mail- und Passwort-Kombinationen im Darknet. Allein von einer Klinik fanden sich im Darknet sage und schreibe 185 E-Mail- und Passwort-Kombinationen. Außerdem stellt sich heraus: Viele nutzen ihre beruflichen Mail-Adressen nicht nur im beruflichen Kontext – denn allein in der Stichprobe stammen mehr als 40 Datensätze von einem Hack der Partnerbörse Badoo.

Trotzdem wiegen sich Ärzte beim Thema Cybergefahren zu 77 Prozent und 80 Prozent der Apotheker in Sicherheit. In bundesweiten Tests in 25 Arztpraxen zeigten sich erhebliche Schwächen bei der organisatorischen Sicherheit. „Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte“, erklärt Michael Wiesner, Experte für Computersicherheit und Mitglied des Chaos Computer Clubs, der die Praxis-IT im Auftrag des GDV testete. Auch bei Phishing-Attacken wären viele Praxen leichte Beute: In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte Mail, 20 Prozent klickten sogar auf einen Link oder öffneten den Anhang.

Immerhin 44 Prozent der Ärzte halten das Risiko eines Cyberangriffs auf Praxen für eher hoch bis sehr hoch. Doch lediglich 17 Prozent der Mediziner sehen dieses Risiko für die eigene Praxis. Und das, obwohl beinahe jedem die Folgen einer Cyberattacke sehr bewusst sind: Acht von zehn Arztpraxen (78 Prozent) in Deutschland müssten nach eigener Ansicht ihre Arbeit einstellen oder stark einschränken, wenn die Praxis-IT lahmgelegt würde.