Gesamtverband der Deutschen Versicherungswirtschaft

Pass­wortpro­blem! Zugangs­da­ten von Ärzten landen oft im Dar­knet

Deutsche Ärzte gehen nachlässig mit Passwörtern in ihren Praxen um – und gefährden damit die Sicherheit von Patientendaten. Das ist das Ergebnis einer Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV).

Dem GDV-Branchenreport zu Cyberrisiken zufolge nutzen Ärzte zwar keine Kennwörter wie "12345678", dafür ähnlich leicht zu entschlüsselnde - wie "Praxis", "Behandlung" (oder ihren eigenen Namen). Adobe Stock_ronstick

Michael Wiesner, Experte für Computersicherheit und Mitglied des Chaos Computer Clubs, hatte im Auftrag des GDV die Praxis-IT von 25 Arztpraxen bundesweit einem "Penetration-Test" (kurz "Pen-Test") unterworfen. Ergebnis: 22 der 25 Praxen nutzen sehr einfach zu erratende Passwörter, zum Beispiel "Behandlung", "Praxis", den Namen des Arztes, den des Computers, an dem der Anwender sitzt - oder gar keine. Trotzdem wiegen sich Ärzte beim Thema Cybergefahren in Sicherheit, rügte der Fachmann bei der Vorstellung des Branchenreports "Cyberrisiken bei Ärzten und Apothekern" gestern in Berlin.

Das Darknet

Die Bundeszentrale für Politische Bildung (BPB) definiert das Darknet als "ein digitales Netz, das sich vom sonstigen Internet abschirmt und mit technologischen Mitteln die Anonymität seiner Nutzer herstellt."

Der Penetration-Test (Pentest)

Bei einem "Pentest" werden laut Bundesamt für Sicherheit in der Informationstechnik vorrangig Schnittstellen nach außen untersucht, über die potenzielle Angreifer in die untersuchten IT-Systeme eindringen könnten. So werden Konfigurationsfehler und noch nicht behobene Schwachstellen identifiziert.

Verglichen mit anderen Ärztegruppen wurde die E-Mail-Adressen von Zahnärzten überdurchschnittlich oft im "Darknet" gefunden | GDV

Insgesamt fielen Wiesner erhebliche Schwächen bei der organisatorischen Sicherheit auf: "Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte!" Auch mit Phishing-Attacken machten Hacker oft leichte Beute: "In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte E-Mail, 20 Prozent klickten sogar auf einen Link oder öffneten den Anhang."

"Bei Passwörtern schludern fast alle Ärzte!"

So diente ein Betreff mit dem Inhalt "Bewertung Ihrer Praxis auf DocCheck mit einer Note von -4" als Druck- oder Lockmittel. Bei diesem "Social Engineering" werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren.

Dass Patientendaten in Kliniken und Praxen häufig nicht sicher aufgehoben sind, zeigt demnach auch ein Test der E-Mail-Server mit dem Analysetool Cysmo: Von knapp 1.200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Stand der Technik. Kliniken und Praxen wurden dafür bundesweit willkürlich ergoogelt und es wurde auf eine Mischung aus Groß und Klein, Stadt und Land geachtet.

Zusätzliche Probleme: Mehrere Benutzer teilen sich dieselbe Kennung; alle Benutzer haben Administratorenrechte | GDV

Alle anderen ließen eine Verschlüsselung des E-Mail-Verkehrs auch mit veralteten und unsicheren Standards zu. Wird eine solche E-Mail zwischen Sender und Empfänger abgefangen, könnte sie von Fremden gelesen werden. Bei den Kliniken verwendeten immerhin fünf Prozent den aktuellen BSI-Standard.

Über den Cysmo-Sicherheitscheck

Der GDV hatte die Unternehmensberatung PPI AG beauftragt, mit Hilfe des Analyse­Tools Cysmo die Sicherheit der IT­-Systeme von rund 1.200 niedergelassenen Ärzten verschiedener Fachrichtungen sowie von jeweils rund 250 Apotheken und Kliniken zu testen. Cysmo ist ein vollautomatisiertes Analysetool. Es erfasst und analysiert alle öffentlich einsehbaren Informationen aus Sicht eines Angreifers und kann so poten­tielle Angriffspunkte aufzeigen. Die Tests fanden zwischen November 2018 und März 2019 statt.

Das individuelle Risiko wird unter-, die IT-Sicherheit überschätzt

In einer repräsentativen Forsa-Umfrage im Auftrag des GDV sagt eine knappe Mehrheit von für IT-Sicherheit zuständigen Mitarbeiter in den befragten Arztpraxen und Apotheken, dass für sie die Vorteile bei der Digitalisierung überwiegen: Die Abrechnung mit Krankenkassen wird bequemer und schneller, der fachliche Austausch mit anderen Ärzten und mit Patienten wird einfacher, der Verwaltungsaufwand geringer.

Doch die Befragten sehen auch die Nachteile: Sie fürchten unter anderem hohe Kosten, Probleme bei der Übertragung bisher analoger Daten in digitale Formate und Datenschutzprobleme. Einig ist man sich aber vor allem darin, dass die Bedrohung durch Cyberkriminelle im Zuge der Digitalisierung steigt.

Die Gefahr ist also erkannt – aber gebannt ist sie allein dadurch noch lange nicht. Denn die Umfrage und Sicherheits-Tests des GDV zeigen auch, dass das individuelle Risiko von vielen unter Ärzten und Apothekern unter- und die Qualität der IT-Sicherheit systematisch überschätzt wird.

Bran­chen­re­port: Cyber­ri­si­ken von Ärz­ten und Apo­the­kern

Der GDV hatte die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH mit einer repräsentativen Befragung der für die Internet­sicherheit zuständigen Mitarbeiter von 200 Arztpraxen und 100 Apo­theken beauftragt. Die Interviews fanden zwischen dem 11. Juni und dem 6. Juli 2018 statt.

Ausgewählte Ergebnisse:

  • 78 Prozent der Arztpraxen und 97 Prozent der Apotheken wären ohne funktionierende IT-Systeme deutlich eingeschränkt.
  • 80 Prozent meinen, sie wären ausreichend gegen Cyberkriminalität geschützt.
  • Ein Drittel der Ärzte und Apotheker plant keine weiteren Investitionen in die IT-Sicherheit.
  • In rund 90 Prozent der getesteten Arztpraxen nutzen mehrere Benutzer dieselbe Zugangskennung mit sehr einfachen oder gar keinen Passwörtern.
  • So gut wie keine Praxis oder Apotheke ist bei der Mail-Verschlüsselung auf dem neuesten Stand der Technik.

Spätestens seit den Enthüllungen von Edward Snowden ist klar, dass Daten im Netz ein Sicherheitsrisiko darstellen. Hier finden Sie Tipps zur digitalen Selbstverteidigung.

17111471690193169016716901681705387 1705388 1690169
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare