# taz.de -- IT-Sicherheitsmängel in der Medizin: OP-Berichte ohne Passwortschu… | |
> Eine Untersuchung zeigt: Ärzte, Kliniken und Apotheken schützen | |
> Patientendaten zu wenig. Rechner im Gesundheitswesen sind leicht zu | |
> hacken. | |
Bild: Sieht kompliziert aus – aber auch ohne beleuchtete Tastatur lassen sich… | |
BERLIN taz | Die persönlichen Daten von Patient:innen sind in Arztpraxen, | |
Apotheken und Kliniken meistens nur unzureichend geschützt. Das ist das | |
Ergebnis einer [1][Untersuchung], die der Gesamtverband der | |
Versicherungswirtschaft (GDV) am Montag vorgestellt hat. Demnach haben die | |
meisten der untersuchten Einrichtungen gleich mehrere Probleme: Unsichere | |
oder gar keine Passwörter zum Zugriff auf das System, veraltete | |
Verschlüsselungsmechanismen für die Kommunikation per E-Mail und fehlende | |
Updates beim Betriebssystem. | |
Die Untersuchung bestand aus zwei Teilen: Im ersten Teil testete eine | |
Unternehmensberatung die IT-Sicherheit von 1.200 Arztpraxen, 250 Apotheken | |
und 250 Kliniken von außen, also ohne deren Mitwirkung. Dabei ging es unter | |
anderem um die Frage, ob die Mailserver auf aktuelle | |
Verschlüsselungsmethoden setzen. Im zweiten Teil hackte sich ein | |
IT-Sicherheitsexperte in die Systeme von 25 Arztpraxen. Die Praxen meldeten | |
sich freiwillig für die Untersuchung. | |
Ein Ausschnitt der Befunde: 22 der 25 Praxen verwendeten keine oder leicht | |
zu erratende Passwörter wie „praxis“. In 9 der 25 Praxen fehlten aktuelle | |
Sicherheitsupdates – teilweise fand der Tester Hinweise darauf, dass das | |
System über zwei Jahre nicht aktualisiert wurde. Und 90 Prozent der 250 | |
Apotheken und 81 Prozent der 1.200 Arztpraxen verwendeten für die | |
Kommunikation per E-Mail eine veraltete Verschlüsselung. Gleichzeitig ergab | |
eine repräsentative Forsa-Umfrage bei den für IT-Sicherheit zuständigen | |
Mitarbeiter:innen von 200 Arztpraxen und 100 Apotheken: Bei 81 Prozent der | |
Apotheken und 77 Prozent der Arztpraxen sind die Mitarbeiter:innen der | |
Ansicht, gut geschützt zu sein. | |
## Live auf den Praxisrechner | |
Bei der Vorstellung der Untersuchung demonstrierte der | |
IT-Sicherheitsexperte Michael Wiesner live, wie einfach es ist, auf den | |
Rechner einer Arztpraxis zu gelangen. Denn die Praxis hatte ihr System | |
nicht mit einem Passwort abgesichert. Mit Hilfe einer auf mit dem Internet | |
verbundene Geräte spezialisierten Suchmaschine konnte er gezielt nach | |
Systemen suchen, die eine häufige Praxissoftware nutzen. Auf der Festplatte | |
waren Ordner etwa mit dem Namen OPs zu sehen – die Wiesner aber nicht | |
öffnete, um nicht in den strafbaren Bereich zu geraten. | |
Die Ärzt:innen verließen sich komplett auf ihre IT-Dienstleister, erklärt | |
Wiesner das Problem. „Aber da macht nur die Hälfte einen guten Job und die | |
andere Hälfte einen richtig schlechten.“ Persönlich spreche er sich daher | |
dafür aus, dass die Dienstleister in der Haftung seien – dann hätten sie | |
ein Interesse daran, die IT-Systeme ihrer Auftraggeber tatsächlich | |
bestmöglich abzusichern. | |
Die Versicherungswirtschaft hat in dem Kontext ein eigenes Interesse: | |
Verschiedene Versicherungen verkaufen sogenannte Cyberpolicen. Mit denen | |
sollen sich beispielsweise Praxen und Apotheken absichern können, wenn in | |
Folge eines Angriffs beispielsweise wirtschaftliche Schäden durch | |
Unterbrechungen des Betriebs entstehen oder Patient:innen Schadensersatz | |
fordern. Teuer werden kann es für die Inhaber:innen dennoch: Denn Bußgelder | |
decken die Policen nicht mit ab. | |
Bußgelder gibt es aber durchaus. So sagt Barbara Körffer, stellvertretende | |
[2][Landesdatenschutzbeauftragte von Schleswig-Holstein] der taz, dass es | |
regelmäßig Beschwerden über Datenschutzprobleme etwa bei Praxen gebe und | |
auch vor der Datenschutzgrundverordnung habe man bereits Bußgelder | |
verhängt. Seit dem vergangenen Jahr kann das noch schmerzhafter werden: Die | |
Datenschutzgrundverordnung sieht einen Bußgeldrahmen von bis zu bis 20 | |
Millionen Euro vor. | |
9 Apr 2019 | |
## LINKS | |
[1] https://www.gdv.de/de/medien/aktuell/deutschlands-aerzte-haben-ein-passwort… | |
[2] https://www.datenschutzzentrum.de/ | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
IT-Sicherheit | |
Hacking | |
Gesundheitsdaten | |
Datenschutz | |
Schwerpunkt Überwachung | |
Datensicherheit | |
Datenschutz | |
Datenschutz | |
Gesundheit | |
Online-Plattform | |
Datenschutz | |
5G-Technologie | |
Datenschutz | |
Datenklau | |
## ARTIKEL ZUM THEMA | |
Pläne der EU-Staaten: Angriff auf Verschlüsselung | |
Die EU plant, die Verschlüsselung von Messenger-Diensten auszuhebeln, wie | |
ein geleaktes Dokument zeigt. Bürgerrechtler:innen protestieren. | |
Trojaner hackt Kammergericht Berlin: Zugriff auf alle Daten | |
Der Hacker-Angriff auf das Kammergericht war schwerer als bisher gedacht. | |
Das belegt ein Gutachten. Wer die Angreifer sind, bleibt unklar. | |
Risiko digitaler Gesundheitsdaten: Datenleck Mensch | |
Die Vorteile für Patienten und Forschung wären groß, wenn ihre Daten | |
vernetzt wären. Die Gefahren allerdings auch. Doch die Politik kann etwas | |
tun. | |
Forschung mit Patientendaten: Widerspruch ist nicht vorgesehen | |
Das „Digitale-Versorgung-Gesetz“ weicht den Datenschutz für | |
Krankenversicherte auf. Krankenkassen sollen Daten zur Verfügung stellen. | |
Gericht verbietet Betrieb: Kein Aspirin aus dem Automaten | |
In Hüffenhardt sollte ein Automat Medikamente ausgeben, als sich für die | |
Apotheke kein Nachfolger fand. Doch das bleibt nun verboten. | |
BKA sperrt Darknet-Plattform: Auf der dunklen Seite des Internets | |
Im Darknet wird gern mit Waffen, Drogen oder Falschgeld gehandelt – | |
BKA-Einsätzen zum Trotz. Die Umsätze steigen steil an. | |
Neuer Datenskandal bei Facebook: Nutzer-Passwörter im Klartext | |
Facebook hat die Passwörter von hunderten Millionen Nutzern unverschlüsselt | |
auf internen Servern gespeichert. Sie waren für Mitarbeiter einsehbar. | |
Kommentar Mobilfunkmesse: Für immer online? Bloß nicht | |
Mit dem Mobilfunkstandard 5G soll bald jedes Gerät am Netz hängen, vom Auto | |
bis zur Haustür. Doch das ist überhaupt keine gute Idee. | |
Kommentar Datenschutz: Jetzt ist die Chance zu handeln | |
Auf EU-Ebene übt sich Deutschland beim Datenschutz in auffällig | |
unauffälligem Bremsen. Nach dem Datenklau bei Politikern müsste sich das | |
ändern. | |
Datenschutzbeauftragter über Datenklau: „Bis heute fehlt uns Personal“ | |
Nach dem Datendiebstahl fordert Hamburgs Datenschutzbeauftragter Caspar | |
Innenminister Seehofer auf, für mehr Sicherheit im Netz zu sorgen. |