Patientendaten in Gefahr: Viele Ärzte in Deutschland gehen zu nachlässig den Passwörtern in ihren Praxen um. Zu diesem alarmierenden Ergebnis kommt eine jetzt veröffentlichte Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft.
Der Untersuchung zufolge nutzen neun von zehn Ärzten leicht zu erratende Passwörter wie „Behandlung“ oder ihren eigenen Namen. Das bleibt nicht ohne Folgen: Im Darknet finden sich E-Mail- und Passwort-Kombination von jeder zehnten Arztpraxis (neun Prozent) und sogar von 60 Prozent der Kliniken. Trotz dieses Problems wiegen sich Ärzte beim Thema Cybergefahren in Sicherheit.
Leichte Beute
Für die Studie wurden in 25 Arztpraxen bundesweit umfangreiche Tests durchgeführt. Dabei zeigten sich erhebliche Schwächen bei der organisatorischen Sicherheit. „Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte“, sagt Computersicherheits-Experte Michael Wiesner, der die Praxis-IT im Auftrag des GDV testete. Zudem sind viele Praxen potenzielle Opfer von Phishing-Attacken. So öffneten in jeder zweiten Praxis Mitarbeiter eine potenziell schadhafte Mail, 20 Prozent klickten sogar auf einen Link oder öffneten den Anhang.
Mangelnde Verschlüsselung
Auch hinsichtlich der Verschlüsselung gibt es in vielen Arztpraxen und Kliniken offenbar noch eine Menge zu tun, wie ein Test der Mailserver mit dem Analysetool Cysmo ergab. Von knapp 1.200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Stand der Technik.
Alle anderen Arztpraxen erlaubten eine Verschlüsselung des Mail-Verkehrs auch mit veralteten und unsicheren Standards. Wenn eine solche Mail zwischen Sender und Empfänger abgefangen wird, könnte sie von Unbefugten gelesen werden. Von den Kliniken verwendeten fünf Prozent den aktuellen BSI-Standard.
Ärzte fühlen sich sicher
Anders als es die Ergebnisse der Sicherheits-Tests zeigen, halten die meisten Ärzte ihre Systeme für sicher. 81 Prozent sind laut einer repräsentativen Forsa-Befragung davon überzeugt, dass ihre Computersysteme umfassend geschützt sind.
Immerhin halten 44 Prozent der Ärzte das generelle Risiko eines Cyberangriffs auf Praxen für eher hoch bis sehr hoch. Doch nur 17 Prozent sehen dieses Risiko auch für die eigene Praxis. Die Folgen einer Cyberattacke sind jedoch bekannt: Acht von zehn Arztpraxen (78 Prozent) in Deutschland gehen davon aus, dass sie nach einem solchen Angriff und dem Lahmlegen ihrer Praxis-IT ihre Arbeit einstellen oder stark einschränken müssten. Der Branchenreport „Cyberrisiken bei Ärzten und Apotheken“ steht online zum Download zur Verfügung.