IT-Sicherheit in der Gesundheitsbranche?

Laut GDV werden Cyberrisiken in Arztpraxen und Apotheken noch immer unterschätzt

Praktisch jeder weiß, dass es Hacker gibt, dass Schadsoftware im Internet kursiert, dass einzelne Programme wie „Petya“ oder „WannaCry“ massenhaft Schäden verursachen können. Dennoch wird das Thema Cyberrisiko in der Gesundheitsbranche deutlich unterschätzt. Untersuchungen im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) brachten ernüchternde Ergebnisse zutage. Ein Sicherheitsprüfer konnte beispielsweise mit dem Passwort „Praxis“ bei jeder zweiten getesteten Arztpraxis in das IT-System eindringen. Wer dieses Passwort ebenfalls verwendet, sollte es schleunigst ändern.

„Deutschlands Ärzte haben ein Passwort-Problem“. Das ist für den GDV ein zentrales Ergebnis nach mehreren Untersuchungen zum Thema IT-Sicherheit. Den Studien zufolge sind im Darknet Passwörter und E-Mail-Adressen von 60 Prozent der überprüften Kliniken zu finden. Bei Arztpraxen sind es neun bei Apotheken 13 Prozent. Wobei die Werte je nach Fachrichtung der Ärzte stark variieren: Während Daten von HNO-Ärzten unterdurchschnittlich selten zu finden waren, waren Daten von Radiologen deutlich überrepräsentiert. Angesichts hoher Strafzahlungen, die bei Datenschutzverletzungen laut EU-DSGVO vorgesehen sind, gehen Mediziner und Medizinerinnen hier ein hohes Risiko ein.

Dass Ärzte und Apotheker fortschrittsfeindlich wären, kann ihnen nicht nachgesagt werden. Laut einer Studie erwarten 56 Prozent aller gefragten Mediziner von der Digitalisierung vor allem Vorteile, bei Apothekern sind es sogar 61 Prozent. Insbesondere die Kommunikation mit Krankenkassen, Ärzten und Patienten oder Kunden werde deutlich vereinfacht, so die überwiegende Einschätzung. Immerhin sind die Gefahren der Cyber-Kriminalität ebenfalls bewusst (jeweils 88 %). Zudem gehen die Befragten davon aus, dass die Arbeit in Dreiviertel aller Arztpraxen nach einem Ausfall der IT stark oder sehr stark eingeschränkt sei. In Apotheken geht man von 97 Prozent aus.

Risiken werden noch immer oft unterschätzt

Doch auf der anderen Seite werden Risiken noch immer unterschätzt: Während zwischen 40 und 50 Prozent der Befragten grundsätzlich davon ausgehen, dass das Risiko, Opfer von Cyber-Attacken zu werden, für Praxen und Apotheken hoch ist, glauben nur wenige Befragte, dass auch ihre Praxis oder Apotheke in Gefahr sei. Woran das liegt, machen einige weitere Antworten deutlich. Viele Befragte wiegen sich in Sicherheit, weil sie glauben, dass ihre Praxis oder Apotheke zu klein für Kriminelle sei, Daten nicht interessant seien oder der eigene Cyber-Schutz gut genug. Passend zu diesen offenkundigen Fehleinschätzungen waren laut einer Stichprobe Phishing-Attacken bei 6 von 25 Arztpraxen erfolgreich.

Bedenklich ist auch der Umgang mit Patientendaten in E-Mails: Alle befragten Apotheken nutzen zur Verschlüsselung entweder SSL2 bzw. SSL3 – beide gelten seit Jahren veraltet – oder TLS1.0/1.1, was vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht mehr empfohlen wird. Bei Ärzten und Kliniken sieht es kaum besser aus. Ähnlich sorglos ist der Umgang mit Passworten und Administratorenrechten – wenn einer kleinen, nicht repräsentativen Umfrage geglaubt werden kann. Derzufolge sind auch bei mehr als einem Drittel der befragten Praxen Computer-Programme nicht auf dem neusten Stand.

Sicherheitstipps des GDV

  1. Sicherheitsupdates zügig installieren.
  2. Sicherheitskopien mindestens einmal pro Woche ziehen.
  3. Administratorenrechte restriktiv vergeben.
  4. Daten auf Systemen, die mit dem Internet verbunden sind, sollten mindestens mit einer 2-Faktor-Authentifizierung gesichert werden.
  5. Dasselbe gilt für Geräte im mobilen Einsatz.
  6. Sicherungskopien müssen gesondert geschützt werden und sollten auch räumlich getrennt aufbewahrt werden.
  7. Immer einen aktuellen Virenscanner nutzen.
  8. Keine „einfachen“ Passwörter verwenden.
  9. Jeder Nutzer sollte einen individuellen Zugang haben.
  10. Die Wiederherstellung von Daten aus Sicherungskopien sollten regelmäßig geübt werden.

Letztlich können Sicherheitsvorkehrungen noch so ausgefeilt sein, ein 100%iger Schutz kann niemals garantiert werden. Deshalb empfiehlt es sich – auch wegen exorbitanter Strafzahlungen nach der Datenschutzgrundverordnung –, eine Cyber-Versicherung abzuschließen. Diese sollte aber in jedem Fall die berufs- und branchenspezifischen Bedürfnisse berücksichtigen.