Passwortproblem! Zugangsdaten von Ärzten landen oft im Darknet
Michael Wiesner, Experte für Computersicherheit und Mitglied des Chaos Computer Clubs, hatte im Auftrag des GDV die Praxis-IT von 25 Arztpraxen bundesweit einem "Penetration-Test" (kurz "Pen-Test") unterworfen. Ergebnis: 22 der 25 Praxen nutzen sehr einfach zu erratende Passwörter, zum Beispiel "Behandlung", "Praxis", den Namen des Arztes, den des Computers, an dem der Anwender sitzt - oder gar keine. Trotzdem wiegen sich Ärzte beim Thema Cybergefahren in Sicherheit, rügte der Fachmann bei der Vorstellung des Branchenreports "Cyberrisiken bei Ärzten und Apothekern" gestern in Berlin.
GDV
Insgesamt fielen Wiesner erhebliche Schwächen bei der organisatorischen Sicherheit auf: "Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte!" Auch mit Phishing-Attacken machten Hacker oft leichte Beute: "In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte E-Mail, 20 Prozent klickten sogar auf einen Link oder öffneten den Anhang."
"Bei Passwörtern schludern fast alle Ärzte!"
So diente ein Betreff mit dem Inhalt "Bewertung Ihrer Praxis auf DocCheck mit einer Note von -4" als Druck- oder Lockmittel. Bei diesem "Social Engineering" werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren.
Dass Patientendaten in Kliniken und Praxen häufig nicht sicher aufgehoben sind, zeigt demnach auch ein Test der E-Mail-Server mit dem Analysetool Cysmo: Von knapp 1.200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom Bundesamt für Sicherheit in der Informationstechnik
(
BSI) empfohlenen Stand der Technik. Kliniken und Praxen wurden dafür bundesweit willkürlich ergoogelt und es wurde auf eine Mischung aus Groß und Klein, Stadt und Land geachtet.
GDV
Alle anderen ließen eine Verschlüsselung des E-Mail-Verkehrs auch mit veralteten und unsicheren Standards zu. Wird eine solche E-Mail zwischen Sender und Empfänger abgefangen, könnte sie von Fremden gelesen werden. Bei den Kliniken verwendeten immerhin fünf Prozent den aktuellen BSI-Standard.
Das individuelle Risiko wird unter-, die IT-Sicherheit überschätzt
In einer repräsentativen Forsa-Umfrage im Auftrag des GDV sagt eine knappe Mehrheit von für IT-Sicherheit zuständigen Mitarbeiter in den befragten Arztpraxen und Apotheken, dass für sie die Vorteile bei der Digitalisierung überwiegen: Die Abrechnung mit Krankenkassen wird bequemer und schneller, der fachliche Austausch mit anderen Ärzten und mit Patienten wird einfacher, der Verwaltungsaufwand geringer.
Doch die Befragten sehen auch die Nachteile: Sie fürchten unter anderem hohe Kosten, Probleme bei der Übertragung bisher analoger Daten in digitale Formate und Datenschutzprobleme. Einig ist man sich aber vor allem darin, dass die Bedrohung durch Cyberkriminelle im Zuge der Digitalisierung steigt.
Die Gefahr ist also erkannt – aber gebannt ist sie allein dadurch noch lange nicht. Denn die Umfrage und Sicherheits-Tests des GDV zeigen auch, dass das individuelle Risiko von vielen unter Ärzten und Apothekern unter- und die Qualität der IT-Sicherheit systematisch überschätzt wird.
78 Prozent der Arztpraxen und 97 Prozent der Apotheken wären ohne funktionierende IT-Systeme deutlich eingeschränkt.
80 Prozent meinen, sie wären ausreichend gegen Cyberkriminalität geschützt.
Ein Drittel der Ärzte und Apotheker plant keine weiteren Investitionen in die IT-Sicherheit.
In rund 90 Prozent der getesteten Arztpraxen nutzen mehrere Benutzer dieselbe Zugangskennung mit sehr einfachen oder gar keinen Passwörtern.
So gut wie keine Praxis oder Apotheke ist bei der Mail-Verschlüsselung auf dem neuesten Stand der Technik.
