 |
# taz.de -- IT-Sicherheitsmängel in der Medizin: OP-Berichte ohne Passwortschu… |
|
|
|
> Eine Untersuchung zeigt: Ärzte, Kliniken und Apotheken schützen |
|
> Patientendaten zu wenig. Rechner im Gesundheitswesen sind leicht zu |
|
> hacken. |
|
|
 |
Bild: Sieht kompliziert aus – aber auch ohne beleuchtete Tastatur lassen sich… |
|
|
|
Berlin taz | Die persönlichen Daten von Patient:innen sind in Arztpraxen, |
|
Apotheken und Kliniken meistens nur unzureichend geschützt. Das ist das |
|
Ergebnis einer [1][Untersuchung], die der Gesamtverband der |
|
Versicherungswirtschaft (GDV) am Montag vorgestellt hat. Demnach haben die |
|
meisten der untersuchten Einrichtungen gleich mehrere Probleme: Unsichere |
|
oder gar keine Passwörter zum Zugriff auf das System, veraltete |
|
Verschlüsselungsmechanismen für die Kommunikation per E-Mail und fehlende |
|
Updates beim Betriebssystem. |
|
|
|
Die Untersuchung bestand aus zwei Teilen: Im ersten Teil testete eine |
|
Unternehmensberatung die IT-Sicherheit von 1.200 Arztpraxen, 250 Apotheken |
|
und 250 Kliniken von außen, also ohne deren Mitwirkung. Dabei ging es unter |
|
anderem um die Frage, ob die Mailserver auf aktuelle |
|
Verschlüsselungsmethoden setzen. Im zweiten Teil hackte sich ein |
|
IT-Sicherheitsexperte in die Systeme von 25 Arztpraxen. Die Praxen meldeten |
|
sich freiwillig für die Untersuchung. |
|
|
|
Ein Ausschnitt der Befunde: 22 der 25 Praxen verwendeten keine oder leicht |
|
zu erratende Passwörter wie „praxis“. In 9 der 25 Praxen fehlten aktuelle |
|
Sicherheitsupdates – teilweise fand der Tester Hinweise darauf, dass das |
|
System über zwei Jahre nicht aktualisiert wurde. Und 90 Prozent der 250 |
|
Apotheken und 81 Prozent der 1.200 Arztpraxen verwendeten für die |
|
Kommunikation per E-Mail eine veraltete Verschlüsselung. Gleichzeitig ergab |
|
eine repräsentative Forsa-Umfrage bei den für IT-Sicherheit zuständigen |
|
Mitarbeiter:innen von 200 Arztpraxen und 100 Apotheken: Bei 81 Prozent der |
|
Apotheken und 77 Prozent der Arztpraxen sind die Mitarbeiter:innen der |
|
Ansicht, gut geschützt zu sein. |
|
|
|
## Live auf den Praxisrechner |
|
|
|
Bei der Vorstellung der Untersuchung demonstrierte der |
|
IT-Sicherheitsexperte Michael Wiesner live, wie einfach es ist, auf den |
|
Rechner einer Arztpraxis zu gelangen. Denn die Praxis hatte ihr System |
|
nicht mit einem Passwort abgesichert. Mit Hilfe einer auf mit dem Internet |
|
verbundene Geräte spezialisierten Suchmaschine konnte er gezielt nach |
|
Systemen suchen, die eine häufige Praxissoftware nutzen. Auf der Festplatte |
|
waren Ordner etwa mit dem Namen OPs zu sehen – die Wiesner aber nicht |
|
öffnete, um nicht in den strafbaren Bereich zu geraten. |
|
|
|
Die Ärzt:innen verließen sich komplett auf ihre IT-Dienstleister, erklärt |
|
Wiesner das Problem. „Aber da macht nur die Hälfte einen guten Job und die |
|
andere Hälfte einen richtig schlechten.“ Persönlich spreche er sich daher |
|
dafür aus, dass die Dienstleister in der Haftung seien – dann hätten sie |
|
ein Interesse daran, die IT-Systeme ihrer Auftraggeber tatsächlich |
|
bestmöglich abzusichern. |
|
|
|
Die Versicherungswirtschaft hat in dem Kontext ein eigenes Interesse: |
|
Verschiedene Versicherungen verkaufen sogenannte Cyberpolicen. Mit denen |
|
sollen sich beispielsweise Praxen und Apotheken absichern können, wenn in |
|
Folge eines Angriffs beispielsweise wirtschaftliche Schäden durch |
|
Unterbrechungen des Betriebs entstehen oder Patient:innen Schadensersatz |
|
fordern. Teuer werden kann es für die Inhaber:innen dennoch: Denn Bußgelder |
|
decken die Policen nicht mit ab. |
|
|
|
Bußgelder gibt es aber durchaus. So sagt Barbara Körffer, stellvertretende |
|
[2][Landesdatenschutzbeauftragte von Schleswig-Holstein] der taz, dass es |
|
regelmäßig Beschwerden über Datenschutzprobleme etwa bei Praxen gebe und |
|
auch vor der Datenschutzgrundverordnung habe man bereits Bußgelder |
|
verhängt. Seit dem vergangenen Jahr kann das noch schmerzhafter werden: Die |
|
Datenschutzgrundverordnung sieht einen Bußgeldrahmen von bis zu bis 20 |
|
Millionen Euro vor. |
|
|
|
9 Apr 2019 |
|
|
|
## LINKS |
|
|
 |
[1] https://www.gdv.de/de/medien/aktuell/deutschlands-aerzte-haben-ein-passwort… |
|
[2] https://www.datenschutzzentrum.de/ |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
IT-Sicherheit |
|
Hacking |
|
Gesundheitsdaten |
|
Datenschutz |
|
Schwerpunkt Überwachung |
|
Datensicherheit |
|
Datenschutz |
|
Datenschutz |
|
Gesundheit |
|
Online-Plattform |
|
Datenschutz |
|
5G-Technologie |
|
Datenschutz |
|
Datenklau |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Pläne der EU-Staaten: Angriff auf Verschlüsselung |
|
|
|
Die EU plant, die Verschlüsselung von Messenger-Diensten auszuhebeln, wie |
|
ein geleaktes Dokument zeigt. Bürgerrechtler:innen protestieren. |
|
|
|
Trojaner hackt Kammergericht Berlin: Zugriff auf alle Daten |
|
|
|
Der Hacker-Angriff auf das Kammergericht war schwerer als bisher gedacht. |
|
Das belegt ein Gutachten. Wer die Angreifer sind, bleibt unklar. |
|
|
|
Risiko digitaler Gesundheitsdaten: Datenleck Mensch |
|
|
|
Die Vorteile für Patienten und Forschung wären groß, wenn ihre Daten |
|
vernetzt wären. Die Gefahren allerdings auch. Doch die Politik kann etwas |
|
tun. |
|
|
|
Forschung mit Patientendaten: Widerspruch ist nicht vorgesehen |
|
|
|
Das „Digitale-Versorgung-Gesetz“ weicht den Datenschutz für |
|
Krankenversicherte auf. Krankenkassen sollen Daten zur Verfügung stellen. |
|
|
|
Gericht verbietet Betrieb: Kein Aspirin aus dem Automaten |
|
|
|
In Hüffenhardt sollte ein Automat Medikamente ausgeben, als sich für die |
|
Apotheke kein Nachfolger fand. Doch das bleibt nun verboten. |
|
|
|
BKA sperrt Darknet-Plattform: Auf der dunklen Seite des Internets |
|
|
|
Im Darknet wird gern mit Waffen, Drogen oder Falschgeld gehandelt – |
|
BKA-Einsätzen zum Trotz. Die Umsätze steigen steil an. |
|
|
|
Neuer Datenskandal bei Facebook: Nutzer-Passwörter im Klartext |
|
|
|
Facebook hat die Passwörter von hunderten Millionen Nutzern unverschlüsselt |
|
auf internen Servern gespeichert. Sie waren für Mitarbeiter einsehbar. |
|
|
|
Kommentar Mobilfunkmesse: Für immer online? Bloß nicht |
|
|
|
Mit dem Mobilfunkstandard 5G soll bald jedes Gerät am Netz hängen, vom Auto |
|
bis zur Haustür. Doch das ist überhaupt keine gute Idee. |
|
|
|
Kommentar Datenschutz: Jetzt ist die Chance zu handeln |
|
|
|
Auf EU-Ebene übt sich Deutschland beim Datenschutz in auffällig |
|
unauffälligem Bremsen. Nach dem Datenklau bei Politikern müsste sich das |
|
ändern. |
|
|
|
Datenschutzbeauftragter über Datenklau: „Bis heute fehlt uns Personal“ |
|
|
|
Nach dem Datendiebstahl fordert Hamburgs Datenschutzbeauftragter Caspar |
|
Innenminister Seehofer auf, für mehr Sicherheit im Netz zu sorgen. |
