Michael Wiesner, Experte für Computersicherheit und Mitglied des Chaos Computer Clubs, hatte im Auftrag des GDV die Praxis-IT von 25 Arztpraxen bundesweit einem "Penetration-Test" (kurz "Pen-Test") unterworfen. Ergebnis: 22 der 25 Praxen nutzen sehr einfach zu erratende Passwörter, zum Beispiel "Behandlung", "Praxis", den Namen des Arztes, den des Computers, an dem der Anwender sitzt - oder gar keine. Trotzdem wiegen sich Ärzte beim Thema Cybergefahren in Sicherheit, rügte der Fachmann bei der Vorstellung des Branchenreports "Cyberrisiken bei Ärzten und Apothekern" gestern in Berlin.
Das Darknet
Die Bundeszentrale für Politische Bildung (BPB) definiert das Darknet als "ein digitales Netz, das sich vom sonstigen Internet abschirmt und mit technologischen Mitteln die Anonymität seiner Nutzer herstellt."
Der Penetration-Test (Pentest)
Bei einem "Pentest" werden laut Bundesamt für Sicherheit in der Informationstechnik vorrangig Schnittstellen nach außen untersucht, über die potenzielle Angreifer in die untersuchten IT-Systeme eindringen könnten. So werden Konfigurationsfehler und noch nicht behobene Schwachstellen identifiziert.
Verglichen mit anderen Ärztegruppen wurde die E-Mail-Adressen von Zahnärzten überdurchschnittlich oft im "Darknet" gefunden | GDV
Insgesamt fielen Wiesner erhebliche Schwächen bei der organisatorischen Sicherheit auf: "Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte!" Auch mit Phishing-Attacken machten Hacker oft leichte Beute: "In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte E-Mail, 20 Prozent klickten sogar auf einen Link oder öffneten den Anhang."
"Bei Passwörtern schludern fast alle Ärzte!"
So diente ein Betreff mit dem Inhalt "Bewertung Ihrer Praxis auf DocCheck mit einer Note von -4" als Druck- oder Lockmittel. Bei diesem "Social Engineering" werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren.
Dass Patientendaten in Kliniken und Praxen häufig nicht sicher aufgehoben sind, zeigt demnach auch ein Test der E-Mail-Server mit dem Analysetool Cysmo: Von knapp 1.200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Stand der Technik. Kliniken und Praxen wurden dafür bundesweit willkürlich ergoogelt und es wurde auf eine Mischung aus Groß und Klein, Stadt und Land geachtet.
Zusätzliche Probleme: Mehrere Benutzer teilen sich dieselbe Kennung; alle Benutzer haben Administratorenrechte | GDV
Alle anderen ließen eine Verschlüsselung des E-Mail-Verkehrs auch mit veralteten und unsicheren Standards zu. Wird eine solche E-Mail zwischen Sender und Empfänger abgefangen, könnte sie von Fremden gelesen werden. Bei den Kliniken verwendeten immerhin fünf Prozent den aktuellen BSI-Standard.
Über den Cysmo-Sicherheitscheck
Der GDV hatte die Unternehmensberatung PPI AG beauftragt, mit Hilfe des AnalyseTools Cysmo die Sicherheit der IT-Systeme von rund 1.200 niedergelassenen Ärzten verschiedener Fachrichtungen sowie von jeweils rund 250 Apotheken und Kliniken zu testen. Cysmo ist ein vollautomatisiertes Analysetool. Es erfasst und analysiert alle öffentlich einsehbaren Informationen aus Sicht eines Angreifers und kann so potentielle Angriffspunkte aufzeigen. Die Tests fanden zwischen November 2018 und März 2019 statt.
Das individuelle Risiko wird unter-, die IT-Sicherheit überschätzt
In einer repräsentativen Forsa-Umfrage im Auftrag des GDV sagt eine knappe Mehrheit von für IT-Sicherheit zuständigen Mitarbeiter in den befragten Arztpraxen und Apotheken, dass für sie die Vorteile bei der Digitalisierung überwiegen: Die Abrechnung mit Krankenkassen wird bequemer und schneller, der fachliche Austausch mit anderen Ärzten und mit Patienten wird einfacher, der Verwaltungsaufwand geringer.
Doch die Befragten sehen auch die Nachteile: Sie fürchten unter anderem hohe Kosten, Probleme bei der Übertragung bisher analoger Daten in digitale Formate und Datenschutzprobleme. Einig ist man sich aber vor allem darin, dass die Bedrohung durch Cyberkriminelle im Zuge der Digitalisierung steigt.
Die Gefahr ist also erkannt – aber gebannt ist sie allein dadurch noch lange nicht. Denn die Umfrage und Sicherheits-Tests des GDV zeigen auch, dass das individuelle Risiko von vielen unter Ärzten und Apothekern unter- und die Qualität der IT-Sicherheit systematisch überschätzt wird.
Branchenreport: Cyberrisiken von Ärzten und Apothekern
Der GDV hatte die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH mit einer repräsentativen Befragung der für die Internetsicherheit zuständigen Mitarbeiter von 200 Arztpraxen und 100 Apotheken beauftragt. Die Interviews fanden zwischen dem 11. Juni und dem 6. Juli 2018 statt.
Ausgewählte Ergebnisse:
- 78 Prozent der Arztpraxen und 97 Prozent der Apotheken wären ohne funktionierende IT-Systeme deutlich eingeschränkt.
- 80 Prozent meinen, sie wären ausreichend gegen Cyberkriminalität geschützt.
- Ein Drittel der Ärzte und Apotheker plant keine weiteren Investitionen in die IT-Sicherheit.
- In rund 90 Prozent der getesteten Arztpraxen nutzen mehrere Benutzer dieselbe Zugangskennung mit sehr einfachen oder gar keinen Passwörtern.
- So gut wie keine Praxis oder Apotheke ist bei der Mail-Verschlüsselung auf dem neuesten Stand der Technik.
Keine Kommentare