IT-Sicherheitsmängel in der Medizin: OP-Berichte ohne Passwortschutz
Eine Untersuchung zeigt: Ärzte, Kliniken und Apotheken schützen Patientendaten zu wenig. Rechner im Gesundheitswesen sind leicht zu hacken.
Berlin taz | Die persönlichen Daten von Patient:innen sind in Arztpraxen, Apotheken und Kliniken meistens nur unzureichend geschützt. Das ist das Ergebnis einer Untersuchung, die der Gesamtverband der Versicherungswirtschaft (GDV) am Montag vorgestellt hat. Demnach haben die meisten der untersuchten Einrichtungen gleich mehrere Probleme: Unsichere oder gar keine Passwörter zum Zugriff auf das System, veraltete Verschlüsselungsmechanismen für die Kommunikation per E-Mail und fehlende Updates beim Betriebssystem.
Die Untersuchung bestand aus zwei Teilen: Im ersten Teil testete eine Unternehmensberatung die IT-Sicherheit von 1.200 Arztpraxen, 250 Apotheken und 250 Kliniken von außen, also ohne deren Mitwirkung. Dabei ging es unter anderem um die Frage, ob die Mailserver auf aktuelle Verschlüsselungsmethoden setzen. Im zweiten Teil hackte sich ein IT-Sicherheitsexperte in die Systeme von 25 Arztpraxen. Die Praxen meldeten sich freiwillig für die Untersuchung.
Ein Ausschnitt der Befunde: 22 der 25 Praxen verwendeten keine oder leicht zu erratende Passwörter wie „praxis“. In 9 der 25 Praxen fehlten aktuelle Sicherheitsupdates – teilweise fand der Tester Hinweise darauf, dass das System über zwei Jahre nicht aktualisiert wurde. Und 90 Prozent der 250 Apotheken und 81 Prozent der 1.200 Arztpraxen verwendeten für die Kommunikation per E-Mail eine veraltete Verschlüsselung. Gleichzeitig ergab eine repräsentative Forsa-Umfrage bei den für IT-Sicherheit zuständigen Mitarbeiter:innen von 200 Arztpraxen und 100 Apotheken: Bei 81 Prozent der Apotheken und 77 Prozent der Arztpraxen sind die Mitarbeiter:innen der Ansicht, gut geschützt zu sein.
Live auf den Praxisrechner
Bei der Vorstellung der Untersuchung demonstrierte der IT-Sicherheitsexperte Michael Wiesner live, wie einfach es ist, auf den Rechner einer Arztpraxis zu gelangen. Denn die Praxis hatte ihr System nicht mit einem Passwort abgesichert. Mit Hilfe einer auf mit dem Internet verbundene Geräte spezialisierten Suchmaschine konnte er gezielt nach Systemen suchen, die eine häufige Praxissoftware nutzen. Auf der Festplatte waren Ordner etwa mit dem Namen OPs zu sehen – die Wiesner aber nicht öffnete, um nicht in den strafbaren Bereich zu geraten.
Die Ärzt:innen verließen sich komplett auf ihre IT-Dienstleister, erklärt Wiesner das Problem. „Aber da macht nur die Hälfte einen guten Job und die andere Hälfte einen richtig schlechten.“ Persönlich spreche er sich daher dafür aus, dass die Dienstleister in der Haftung seien – dann hätten sie ein Interesse daran, die IT-Systeme ihrer Auftraggeber tatsächlich bestmöglich abzusichern.
Die Versicherungswirtschaft hat in dem Kontext ein eigenes Interesse: Verschiedene Versicherungen verkaufen sogenannte Cyberpolicen. Mit denen sollen sich beispielsweise Praxen und Apotheken absichern können, wenn in Folge eines Angriffs beispielsweise wirtschaftliche Schäden durch Unterbrechungen des Betriebs entstehen oder Patient:innen Schadensersatz fordern. Teuer werden kann es für die Inhaber:innen dennoch: Denn Bußgelder decken die Policen nicht mit ab.
Bußgelder gibt es aber durchaus. So sagt Barbara Körffer, stellvertretende Landesdatenschutzbeauftragte von Schleswig-Holstein der taz, dass es regelmäßig Beschwerden über Datenschutzprobleme etwa bei Praxen gebe und auch vor der Datenschutzgrundverordnung habe man bereits Bußgelder verhängt. Seit dem vergangenen Jahr kann das noch schmerzhafter werden: Die Datenschutzgrundverordnung sieht einen Bußgeldrahmen von bis zu bis 20 Millionen Euro vor.
Leser*innenkommentare
Carine Salazar
Nur weils um IT geht muss man Patient:innen noch lange nicht im IPv6-Format schreiben oder muss ich den : als Colon lesen, da es um ein medizinisches Thema geht? Ich bin verwirrt.
Rainer B.
Stimmt soweit alles, aber was die Forderung nach Haftung der Dienstleister angeht, so ist die doch reichlich praxisfern. Der Dienstleister kann doch fairerweise immer nur für das haften, was er auch selbst zu vertreten hat. Der Arzt, oder die Praxisleitung möchte aber gewöhnlich - aus den unterschiedlichsten Gründen - nicht die volle Kontrolle über die Rechner an den Dienstleister abgeben. Wenn ausser dem Dienstleister aber noch andere Personen administrative Rechte auf den Rechnern erhalten, was praktisch so gut wie immer der Fall ist, dann hat sich das mit der Haftung doch eh erledigt, den jeder halbwegs vernünftige Dienstleister wird dann auf einem schriftlichen Haftungsausschluss bestehen. Da gibt's also immer ein Zielkonflikt zwischen Sicherheit und Praktikabilität. Das allergrößte Sicherheitsrisiko bleibt nämlich der Mensch. Auf meinem Faxgerät landete vor Jahren einmal ein Fax mit einer detaillierten Krebsdiagnose der Frau-XY aus einer gynäkologischen Praxis. Sowas darf einfach nicht passieren, aber kein Dienstleister der Welt kann doch für solche Fehler haften.