Wenige Klicks reichen Hackern bis zur Patientenakte
Ärzte, Kliniken und Apotheken schützen ihre Daten und die ihrer Patienten oft zu wenig
BERLIN - Mit einem Klick öffnet Michael Wiesner eine Suchmaschine im Internet. Im Gegensatz zu Google findet der Nutzer über diese Seite Onlinedienste statt Webseiten. Der Spezialist für Cyberattacken gibt einen Suchbegriff ein und landet schnell im Computersystem einer Arztpraxis. Die Praxis verlangt noch nicht einmal ein Kennwort vom Eindringling. Schon wird der Inhalt des Systems auf dem Monitor angezeigt. „Das ist digitaler Hausfriedensbruch und noch nicht strafbar“, erläutert Wiesner, der auch Mitglied im Hamburger Chaos Computer Club ist. Erst wenn er nun, was problemlos möglich wäre, Patientenakten öffnet, käme er mit dem Gesetz in Konflikt. „Das lasse ich natürlich“, sagt er und belässt es bei der anschaulichen Vorführung der Schwächen in den ITSystemen von Ärzten, Apotheken und Kliniken.
Derlei digitale Einbruchsversuche hat Wiesner mit Einverständnis der jeweiligen Betroffenen in 25 Arztpraxen unternommen. Auftraggeber war der Gesamtverband der Versicherungswirtschaft (GDV). Das Ergebnis erschreckt. „Das größte Risiko sind die Passwörter“, erläutert er. Am häufigsten verwenden die Mediziner der Stichprobe einfache Kennwörter wie „Praxis“, „Empfang“oder einfach den Namen des Arztes. Mitunter schützen sie ihr System gar nicht durch solch eine Hürde. Fast überall teilen sich die Angestellten dieselbe Zugangskennung. In 20 der 25 Praxen verfügen alle Nutzer über Administratorenrechte, können also bewusst oder aus Versehen Schadprogramme laden.
Lax ist auch der Umgang mit Mailanhängen. In immerhin sechs Praxen haben Beschäftigte einen in einer Testmail aufgeführten Link angeklickt und auch das angehängte Word-Dokument heruntergeladen. In einem Fall wurde das Schadprogramm im Anhang am Ende auch tatsächlich installiert. Kriminelle nutzen die offenen Einfallstore im Gesundheitswesen vor allem zur Erpressung der Ärzte. An den Patientendaten sind sie nicht interessiert. So verschlüsseln die Täter etwa die Dateien auf dem Computer und fordern dann ein Lösegeld für die Freigabe der Patientenakten.
Der GDV hat über den Praxistest hinaus auch 250 Kliniken, 200 Ärzte und 100 Apotheker vom Institut Forsa nach ihren Sicherheitsbemühungen befragen lassen. Die Abhängigkeit der Branche von funktionierenden IT-Systemen ist enorm. Neun von zehn Apothekern und drei Viertel der Ärzte gaben an, dass sie bei einem Totalausfall nicht mehr oder sehr eingeschränkt arbeiten könnten. Das Risikobewusstsein ist daher zwar vorhanden. Doch für sich selbst sieht nur etwa jeder Fünfte eines.
Entsprechend wenig wird offenkundig in aktuelle Sicherheitsstandards investiert. Fast ein Drittel der Kliniken nutzt beim Versand von EMails veraltete Verschlüsselungsprogramme. Bei Ärzten und Apotheken fand sich nicht eine, die mit der vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfohlenen Verschlüsselung arbeitet. Mit den Daten aus dem Gesundheitswesen wird anscheinend auch Handel getrieben. Eine Suche im Darknet durch Experten Wiesner ergab, dass sich in dem von Kriminellen häufig genutzten Teil des Netzes die Mailadresse nebst Passwort von 60 Prozent der Kliniken fand.