IT-Sicherheitsmängel in der Medizin: OP-Berichte ohne Passwortschutz

Berlin taz | Die persönlichen Daten von Patient:innen sind in Arztpraxen, Apotheken und Kliniken meistens nur unzureichend geschützt. Das ist das Ergebnis einer Untersuchung, die der Gesamtverband der Versicherungswirtschaft (GDV) am Montag vorgestellt hat. Demnach haben die meisten der untersuchten Einrichtungen gleich mehrere Probleme: Unsichere oder gar keine Passwörter zum Zugriff auf das System, veraltete Verschlüsselungsmechanismen für die Kommunikation per E-Mail und fehlende Updates beim Betriebssystem.

Die Untersuchung bestand aus zwei Teilen: Im ersten Teil testete eine Unternehmensberatung die IT-Sicherheit von 1.200 Arztpraxen, 250 Apotheken und 250 Kliniken von außen, also ohne deren Mitwirkung. Dabei ging es unter anderem um die Frage, ob die Mailserver auf aktuelle Verschlüsselungsmethoden setzen. Im zweiten Teil hackte sich ein IT-Sicherheitsexperte in die Systeme von 25 Arztpraxen. Die Praxen meldeten sich freiwillig für die Untersuchung.

Ein Ausschnitt der Befunde: 22 der 25 Praxen verwendeten keine oder leicht zu erratende Passwörter wie „praxis“. In 9 der 25 Praxen fehlten aktuelle Sicherheitsupdates – teilweise fand der Tester Hinweise darauf, dass das System über zwei Jahre nicht aktualisiert wurde. Und 90 Prozent der 250 Apotheken und 81 Prozent der 1.200 Arztpraxen verwendeten für die Kommunikation per E-Mail eine veraltete Verschlüsselung. Gleichzeitig ergab eine repräsentative Forsa-Umfrage bei den für IT-Sicherheit zuständigen Mitarbeiter:innen von 200 Arztpraxen und 100 Apotheken: Bei 81 Prozent der Apotheken und 77 Prozent der Arztpraxen sind die Mitarbeiter:innen der Ansicht, gut geschützt zu sein.

Live auf den Praxisrechner

Bei der Vorstellung der Untersuchung demonstrierte der IT-Sicherheitsexperte Michael Wiesner live, wie einfach es ist, auf den Rechner einer Arztpraxis zu gelangen. Denn die Praxis hatte ihr System nicht mit einem Passwort abgesichert. Mit Hilfe einer auf mit dem Internet verbundene Geräte spezialisierten Suchmaschine konnte er gezielt nach Systemen suchen, die eine häufige Praxissoftware nutzen. Auf der Festplatte waren Ordner etwa mit dem Namen OPs zu sehen – die Wiesner aber nicht öffnete, um nicht in den strafbaren Bereich zu geraten.

Die Ärzt:innen verließen sich komplett auf ihre IT-Dienstleister, erklärt Wiesner das Problem. „Aber da macht nur die Hälfte einen guten Job und die andere Hälfte einen richtig schlechten.“ Persönlich spreche er sich daher dafür aus, dass die Dienstleister in der Haftung seien – dann hätten sie ein Interesse daran, die IT-Systeme ihrer Auftraggeber tatsächlich bestmöglich abzusichern.

Die Versicherungswirtschaft hat in dem Kontext ein eigenes Interesse: Verschiedene Versicherungen verkaufen sogenannte Cyberpolicen. Mit denen sollen sich beispielsweise Praxen und Apotheken absichern können, wenn in Folge eines Angriffs beispielsweise wirtschaftliche Schäden durch Unterbrechungen des Betriebs entstehen oder Patient:innen Schadensersatz fordern. Teuer werden kann es für die Inhaber:innen dennoch: Denn Bußgelder decken die Policen nicht mit ab.

Bußgelder gibt es aber durchaus. So sagt Barbara Körffer, stellvertretende Landesdatenschutzbeauftragte von Schleswig-Holstein der taz, dass es regelmäßig Beschwerden über Datenschutzprobleme etwa bei Praxen gebe und auch vor der Datenschutzgrundverordnung habe man bereits Bußgelder verhängt. Seit dem vergangenen Jahr kann das noch schmerzhafter werden: Die Datenschutzgrundverordnung sieht einen Bußgeldrahmen von bis zu bis 20 Millionen Euro vor.