Digitalization

Sensible Informationen teilen Menschen nur ungern. Besonders heikel sind Gesundheitsdaten. Aber wirft man einen Blick auf den Stand der Informationssicherheit und des Datenschutzes bei Arztpraxen oder Kliniken, wird schnell klar: Hacker haben hier leichtes Spiel. Aber warum gehen Arztpraxen und Kliniken so lasch mit diesen Themen um?

Vernetzte IT-Systeme sind aus dem reibungslosen Betrieb einer Arztpraxis nicht mehr wegzudenken. Sie erleichtern viele Verwaltungsaufgaben und sparen so wertvolle Zeit für die Patienten. Doch mit der zunehmenden Vernetzung steigen die Risiken. Daher muss die Infrastruktur auf dem aktuellen Stand der Technik sein, auch aus datenschutz-, straf- oder haftungsrechtlichen Gründen.

Obwohl die meisten niedergelassenen Ärzte und Apotheker wissen, dass ihre Arbeit von funktionierenden Computersystemen abhängig ist, herrscht in Arztpraxen ein überraschend geringes Risikobewusstsein. Laut einer Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) schätzen nur 17 Prozent der Praxisinhaber ihr Risiko, zum Opfer einer Cyberattacke zu werden, als hoch oder sehr hoch ein.

 

Hacker stoppen laufenden Betrieb

Ein erfolgreicher Hackerangriff hätte enorme Auswirkungen auf das Gesundheitswesen. Fast 80 Prozent aller Arztpraxen wären nicht in der Lage, ihre Patienten zu behandeln. Selbst mit geringen Einschränkungen könnte nur jede achte Praxis ihre Türen öffnen. Denn für einen reibungslosen Betrieb sind Programme zur Terminverwaltung, Bestellsoftware oder Inventarlisten essenziell. Hinzu kommt die hohe Bedeutung der digitalen Patientenakten. Deren Verlust würde unausweichlich zu einem Reputationsschaden führen.

Speziell Angriffe mit Ransomware sind für Cyberkriminelle ein lukratives Geschäftsmodell. Sind die wertvollen Daten erstmal verschlüsselt, können Hacker massenhaft größere und kleinere Beträge erpressen. Davon sind auch Arztpraxen betroffen – weltweit. In der vergangenen Woche berichtete die Ärztezeitung von zwei Medizinern aus dem US-Bundesstaat Michigan, die ihre Praxen schlossen, nachdem Angreifer ihre Patientendaten, Termine und Abrechnungen zunächst verschlüsselt und anschließend gelöscht hatten.

 

Ärzte unterschätzen Viren

Trotz der Gefahr gehen Ärzte mit Cyberbedrohungen häufig sehr sorglos um. Der GDV testete exemplarisch die IT-Sicherheit von 25 niedergelassenen Ärzten, sowohl vor Ort als auch mit Phishing-Mails und einem Penetrationstest. Die Ergebnisse sind ernüchternd. Häufig funktionierte die Hardware zwar recht gut – dafür waren die Benutzer der Systeme eine riesige Schwachstelle. In einer Praxis dauerte es nicht einmal fünf Minuten, um die Passwörter zu knacken und Zugang zu sensiblen Daten zu erhalten.

Dabei ist ein angemessenes Sicherheitsniveau schon mit einfachen Mitteln zu erreichen. „Speziell organisatorische Maßnahmen können effizient umgesetzt werden“, sagt Björn Eibich, Leiter der Business Unit Cyber- und Informationssicherheit von TÜV Hessen. „Schon verhältnismäßig geringe Mittel tragen zu einem vernünftigen Informationsschutz bei, etwa Social Engineering-Schulungen.“

 

Informationssicherheit im Krankenhaus

Das Cyberrisiko betrifft aber nicht nur kleine Praxen, sondern auch große Krankenhäuser. Wenn Hacker die Lücken im System finden, werden die vernetzten medizinischen Geräte zu einer zusätzlichen Gefahr für die Gesundheit. Digitalisierte Kliniken sind deshalb auf ein funktionierendes Abwehrsystem angewiesen. Denn Patientendaten sind eine attraktive Beute. Sie erzielen im Darknet häufig höhere Preise als geheime Bank- und Kontoinformationen.

Eine weitere Herausforderung für die Informationssicherheit ist die Gesetzeslage. Für die meisten Krankenhäuser gibt es keine verbindlichen Sicherheitsvorgaben bei Fragen der Cybersicherheit. Nur sehr große Kliniken müssen spezielle Anforderungen erfüllen. Um die IT-Infrastruktur angemessen zu schützen, ist deshalb Eigeninitiative gefragt. Eine anspruchsvolle Herausforderung, denn zahlreiche medizinische Spezialgeräte fallen unter das Medizinproduktegesetz. Administratoren dürfen diese Geräte nicht ohne Weiteres einem Sicherheitsupdate unterziehen, obwohl die verwendete Software häufig veraltet ist, insbesondere die Betriebssysteme.

 

Erste Hilfe

Ob bereits sensible Daten entwendet wurden, können Nutzer zunächst diskret ermitteln. Die kostenlose Web-App „Have I Been Pwned?“ (https://haveibeenpwned.com) hat mehr als sechs Milliarden Datensätze aus mehr als 300 Datenlecks gesammelt. Eine einfache Suchanfrage zeigt bereits, ob die E-Mail-Adresse einer Praxis oder einer Klink darunter ist. Das Hasso-Plattner-Institut bietet darüber hinaus der den „HPI Identity Leak Checker“ (https://sec.hpi.de/ilc) an. Der Service prüft, ob eine E-Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Geburtsdatum oder Adresse im Internet veröffentlicht wurde und missbraucht werden könnte. Der Nutzer erhält hier das Ergebnis via Mail.