IT-Sicherheitsmängel in der Medizin: OP-Berichte ohne Passwortschutz
Eine Untersuchung zeigt: Ärzte, Kliniken und Apotheken schützen Patientendaten zu wenig. Rechner im Gesundheitswesen sind leicht zu hacken.
Die Untersuchung bestand aus zwei Teilen: Im ersten Teil testete eine Unternehmensberatung die IT-Sicherheit von 1.200 Arztpraxen, 250 Apotheken und 250 Kliniken von außen, also ohne deren Mitwirkung. Dabei ging es unter anderem um die Frage, ob die Mailserver auf aktuelle Verschlüsselungsmethoden setzen. Im zweiten Teil hackte sich ein IT-Sicherheitsexperte in die Systeme von 25 Arztpraxen. Die Praxen meldeten sich freiwillig für die Untersuchung.
Ein Ausschnitt der Befunde: 22 der 25 Praxen verwendeten keine oder leicht zu erratende Passwörter wie „praxis“. In 9 der 25 Praxen fehlten aktuelle Sicherheitsupdates – teilweise fand der Tester Hinweise darauf, dass das System über zwei Jahre nicht aktualisiert wurde. Und 90 Prozent der 250 Apotheken und 81 Prozent der 1.200 Arztpraxen verwendeten für die Kommunikation per E-Mail eine veraltete Verschlüsselung. Gleichzeitig ergab eine repräsentative Forsa-Umfrage bei den für IT-Sicherheit zuständigen Mitarbeiter:innen von 200 Arztpraxen und 100 Apotheken: Bei 81 Prozent der Apotheken und 77 Prozent der Arztpraxen sind die Mitarbeiter:innen der Ansicht, gut geschützt zu sein.
Live auf den Praxisrechner
Bei der Vorstellung der Untersuchung demonstrierte der IT-Sicherheitsexperte Michael Wiesner live, wie einfach es ist, auf den Rechner einer Arztpraxis zu gelangen. Denn die Praxis hatte ihr System nicht mit einem Passwort abgesichert. Mit Hilfe einer auf mit dem Internet verbundene Geräte spezialisierten Suchmaschine konnte er gezielt nach Systemen suchen, die eine häufige Praxissoftware nutzen. Auf der Festplatte waren Ordner etwa mit dem Namen OPs zu sehen – die Wiesner aber nicht öffnete, um nicht in den strafbaren Bereich zu geraten.
Die Ärzt:innen verließen sich komplett auf ihre IT-Dienstleister, erklärt Wiesner das Problem. „Aber da macht nur die Hälfte einen guten Job und die andere Hälfte einen richtig schlechten.“ Persönlich spreche er sich daher dafür aus, dass die Dienstleister in der Haftung seien – dann hätten sie ein Interesse daran, die IT-Systeme ihrer Auftraggeber tatsächlich bestmöglich abzusichern.
Die Versicherungswirtschaft hat in dem Kontext ein eigenes Interesse: Verschiedene Versicherungen verkaufen sogenannte Cyberpolicen. Mit denen sollen sich beispielsweise Praxen und Apotheken absichern können, wenn in Folge eines Angriffs beispielsweise wirtschaftliche Schäden durch Unterbrechungen des Betriebs entstehen oder Patient:innen Schadensersatz fordern. Teuer werden kann es für die Inhaber:innen dennoch: Denn Bußgelder decken die Policen nicht mit ab.
Bußgelder gibt es aber durchaus. So sagt Barbara Körffer, stellvertretende Landesdatenschutzbeauftragte von Schleswig-Holstein der taz, dass es regelmäßig Beschwerden über Datenschutzprobleme etwa bei Praxen gebe und auch vor der Datenschutzgrundverordnung habe man bereits Bußgelder verhängt. Seit dem vergangenen Jahr kann das noch schmerzhafter werden: Die Datenschutzgrundverordnung sieht einen Bußgeldrahmen von bis zu bis 20 Millionen Euro vor.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Pistorius lässt Scholz den Vortritt
Der beschädigte Kandidat
IStGH erlässt Haftbefehl gegen Netanjahu
Wanted wegen mutmaßlicher Kriegsverbrechen
Haftbefehl gegen Netanjahu
Begründeter Verdacht für Kriegsverbrechen
Böllerverbot für Mensch und Tier
Verbände gegen KrachZischBumm
Neue EU-Kommission
Es ist ein Skandal
Nahost-Konflikt
Alternative Narrative