Mangelnde IT-Sicherheit in Arztpraxen: Patientendaten Hacker-Angriffen schutzlos ausgeliefert?

Wie Recherchen mehrerer kooperierender Medien ergaben, waren über Jahre hinweg sensible persönliche Daten zu mehr als 30000 Patienten auf einem schlecht gesicherten Server frei zugänglich.

Dabei handelt es sich um Informationen, von denen sicher kein Betroffener wünscht, dass sie durch ein Datenleck an die Öffentlichkeit gelangen. Doch Reportern war ohne große Umstände gelungen, Daten von über hunderttausend Einsatzfahrten verschiedener DRK Kreisverbände öffentlich einzusehen. Wer da weshalb in eine Klinik eingeliefert wurde, einen Rollstuhl brauchte oder ein Fall für die Psychiatrie ist – all dies war Datendieben über einen langen Zeitraum zugänglich. Wer zu Jahresbeginn schadenfroh auf die Wirtschaft zeigte, wo beim Autovermieter Buchbinder das größte Datenleck der Bundesrepublik klaffte, muss sich eines Besseren belehren lassen: Auch angesehene Institutionen, wie das Deutsche Rote Kreuz, scheinen eingehende Warnungen nicht ernst zu nehmen und hinterher mit Personalnöten und einem zu geringen Budget zu argumentieren. Dies wirft die Frage auf, wie es in Deutschland grundsätzlich um die Sicherung von Patienten-Informationen bestellt ist.

Patientendaten bringen viel Geld

Das Computermagazin c’t schlägt Alarm: Selbst technische Laien könnten auf Millionen Patientendaten zugreifen. Zahllose Arztpraxen seien nur ungenügend gegen die Attacken von Hackern gesichert. Nach einer Schätzung des NDR würden um die 8,5 Millionen Datensätze mit sensiblen Angaben zu Patienten Datenräubern schutzlos ausgeliefert sein. Auf dem Daten-Schwarzmarkt sollen allein die Daten eines einzigen Patienten mit bis zu 2000 Euro gehandelt werden. Die Käufer haben es darauf abgesehen, Zugang zu Patienten mit besonders heiklen Hintergründen aufzuspüren, die diese auf keinen Fall in der Öffentlichkeit wissen möchten, um diese dann zu erpressen. Auch die Erbeutung diverser Zugangsdaten kann wie eine tickende Zeitbombe zu kriminellen Manipulationen führen.

Viele Praxissysteme sind leicht zu knacken

Praxisärzte sind meist hochspezialisiert – aber nicht auf IT-Sicherheit. Damit werden oft externe Dienstleister beauftragt. Wie Journalisten jetzt stichprobenweise herausfanden, sind deren Fähigkeiten allerdings nicht über alle Zweifel erhaben. So ließen sich im Netz zahlreiche angreifbare Praxissysteme aufspüren, deren Passwörter Profis mit genügend krimineller Energie schnell knacken können. Gerade in diesem Bereich, so das Fazit, würden Ärzte besonders leichtsinnig verfahren und sich vielfach für einfach zu merkende, aber nicht sichere Kombinationen entscheiden. Begünstigend kommt hinzu, dass seit etwa einem Jahr digital gespeicherte Patientendaten von den behandelnden Ärzten, Psychotherapeuten, der Apotheke und den Krankenkassen auf einer einheitlichen Struktur im Internet abrufbar sein müssen. Dies dient einer patientenfreundlichen Vereinfachung der Prozesse, spielt aber auch Hackern in die Hände, sobald sich dort ein Schlupfloch auftut.

Gütesiegel für EDVler gefordert

Seit Inkrafttreten der DSGVO können sich viele Firmen für IT-Sicherheit nicht mehr vor Aufträgen retten. Da kann es schon mal vorkommen, dass nicht jedes Projekt mit der gebotenen Sorgfalt angegangen wird. Auf der anderen Seite scheint so manchem Mediziner das Bewusstsein zu fehlen, welche verheerende Auswirkung ein Datenleck seiner Praxis für die dort behandelten Patienten haben kann. Eine große Rolle spielt dabei auch das Vertrauen, das Ärzte in die IT-Spezialisten setzen müssen – angesichts eigener personeller Grenzen. Im guten Glauben zu sein, heißt aber noch lange nicht, wirklich sicher zu sein. Die hohe Verantwortung, der ein Arzt tagtäglich in seinem Beruf gerecht wird, trifft nicht automatisch auf eine ebensolche auf technischer Seite. Patienten, die um das Problem wissen, fordern jetzt ein Eingreifen des Gesetzgebers. Die Vereinigung niedersächsischer Kassenärzte hat auch einen konkreten Vorschlag, wie man der Datenklau-Gefahr entgegentreten könnte: Zuverlässige EDV-Firmen sollen ein Gütesiegel erhalten oder mit einer Zertifizierung beweisen, dass sie für den Datenschutz einer Arztpraxis geeignet sind.