Wie Recherchen eines IT-Journalisten des Computermagazins c’t kürzlich zeigten, sind digitale Krankenakten mehrerer Millionen Patienten in Arztpraxen kaum vor Hackerangriffen geschützt. Datenschützer fordern nun, dass hier zwingend nachgebessert werden muss. Ärzte sollen dazu verpflichtet werden, sich die Sicherheit ihrer Patientendaten bestätigen zu lassen.
Von Arved Graf von Stackelberg, Geschäftsführer Dracoon GmbH
Die Patientendaten in vielen Arztpraxen sind nur unzureichend vor Missbrauch geschützt. Durch die Verwendung einer frei im Netz verfügbaren Suchmaschine können Sicherheitslücken bei Praxisrechnern leicht entdeckt werden, solange diese mit dem Internet verbunden sind. Auch die ARD berichtet darüber, dass es den c’t-Recherchen zufolge sehr leicht möglich ist, durch einen automatisierten Angriff an die Passwörter der in der Suchmaschine angezeigten Praxen zu gelangen. Die verwendeten Anmeldeinformationen sind häufig viel zu einfach gewählt, Beispiele sind hier „Praxis123“ oder „Kennwort1“. Im Darknet können Hacker diese Passwörter unkompliziert verkaufen – pro Datensatz lassen sich damit bis zu 2.000 Euro verdienen.
Forderung nach einem TÜV-Siegel
Die meisten Ärzte handeln dabei nicht aktiv fahrlässig, sondern verlassen sich beim Thema Datenschutz auf ihre EDV-Dienstleister. Doch auch IT-Dienstleister sind nur Menschen und machen Fehler. Mark Barjenbruch von der Kassenärztlichen Vereinigung Niedersachsen regt deshalb an, ein einheitliches Siegel für EDV-Unternehmen zu schaffen. Es soll erkennen lassen, ob das Unternehmen tatsächlich gut aufgestellt ist und alle erforderlichen Maßnahmen bietet, die für den Datenschutz und die Datensicherheit erforderlich sind. Auch laut Barbara Thiel, der obersten Datenschützerin Niedersachsens, sollte hier zwingend nachgebessert werden, indem Ärzte dazu verpflichtet werden sollen, sich die Sicherheit ihrer Patientendaten von Fachleuten bestätigen zu lassen.
Millionen Patientendatensätze gefährdet
Aktuell sollen der Berichterstattung zufolge Millionen von Patientendatensätzen deutschlandweit gefährdet sein – wie hoch die Zahl tatsächlich ist, lässt sich nur schätzen. Viele Experten sagen nun, dass es nicht wirklich überraschend sei, dass vor allem der Datenschutz in vielen Arztpraxen verbesserungswürdig ist. Bereits eine Studie aus dem April 2019 habe gezeigt, dass hier Nachholbedarf herrscht. Die Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft fand heraus, dass sich in 22 von 25 befragten Praxen mehrere Benutzer die gleiche Zugangserkennung teilten. Die gleiche Anzahl der Betriebe nutze sehr einfach zu erratende Passwörter wie etwa „Behandlung“. Fatalerweise hatten in 20 von 25 Fällen alle Nutzer Administrationsrechte und in keiner der befragten Praxen wurde überprüft, ob alte Admin-Rechte – etwa für ausgeschiedene Mitarbeiter – noch bestehen.
Sichere Passwörter sind ein Muss
Die gute Nachricht ist, dass Arztbetriebe ihr Datenschutzniveau durch ein paar einfache Schritte deutlich verbessern können. Die offensichtlichste Handlungsempfehlung ist die Wahl sicherer Passwörter – hier bieten sich besonders lange Worte an, in Kombination mit Sonderzeichen und Zahlen. Diese Maßnahme ist wichtig – greift allerdings zu kurz, denn Hacker nutzen Brute Force-Angriffe, bei denen pro Sekunde tausende Kombinationen ausprobiert werden.
Durch ein sicheres Passwort sinkt zwar die Wahrscheinlichkeit, dass dieses erraten wird, aber sehr häufig gelangen Hacker auch durch Phishing oder Social Engineering an die Zugangsdaten. Für zusätzliche Sicherheit kann eine Multi-Faktor-Authentifizierung sorgen, die das Passwort mit einem weiteren Sicherheitsfaktor ergänzt. Dazu zählen etwa Sicherheitstokens, die per USB, NFC oder Bluetooth mit dem Endgerät verbunden werden. Erst wenn Login-Daten und Token kombiniert wurden, ist der Zugang zu den Daten frei. Auch ein zusätzlicher biometrischer Faktor in Form eines Fingerabdrucks oder einer Gesichtserkennung ist möglich. Ist ein zusätzlicher zweiter oder gar dritter Faktor implementiert, hat sich die Sicherheit der Daten um ein großes Stück verbessert.
Moderne Technologien sorgen für Datenschutz
Die Wahl der passenden Technologie ist entscheidend, um ein hohes Sicherheitslevel zu erreichen. Hierzu zählt, bei der Auswahl von Software-Lösungen auf verschiedene Features zu achten. Wichtig ist vor allem, dass Lösungen wie etwa aus dem Bereich Enterprise File Services über eine effektive Ende-zu-Ende-Verschlüsselung verfügen, sodass kein Angreifer die Daten abfangen kann und sogar der Betreiber selbst keinen Zugriff hat.
Die Informationen sollten nur von der Arztpraxis selbst abgerufen werden können, beziehungsweise von allen Nutzern, denen hierzu Berechtigungen erteilt werden. Das Thema Zugriffskontrolle ist entscheidend, denn Zugriffsrechte sollten einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte erhalten, andere wiederum auch Daten bearbeiten können. Alle Nutzer beziehungsweise Daten lassen sich im Idealfall in ihrer Verfügbarkeit zeitlich befristen.
Ein zentraler Vorteil eines solchen feingliederigen Berechtigungsmanagements: Selbst im Falle eines erfolgreichen Hacks kann der Angreifer nur auf die Informationen zugreifen, für die der gehackte Account zugriffsberechtigt war. Eine Seitwärtsbewegung des Angreifers durch sämtliche gespeicherte Daten kann somit vermieden werden und der Schaden durch den Hack hält sich zumindest in Grenzen.
Siegel sorgen für Sicherheit in der IT
Unabhängige, anerkannte Siegel sorgen für Transparenz. Anbieter und Anwender sollten bei der Wahl einer Lösung auf Zertifizierungen achten. Hierzu zählt etwa die internationale Norm ISO/IEC 27001, die Dienstleistern die Einhaltung der IT-Sicherheitsregelungen und somit den Schutz von Kundendaten bescheinigt. Auch der Standard IDW PS 951 ist hier wichtig, denn er unterstützt die Einhaltung gesetzlicher Anforderungen an Unternehmen in Deutschland. Die Richtlinie liefert den Nachweis für die Angemessenheit und Wirksamkeit des internen Kontrollsystems von Betrieben und die Nutzung eines testierten Dienstleisters sorgt für zusätzliche Sicherheit. Zuletzt ist bei Cloud Services noch das BSI C5 Testat entscheidend, denn es legt Anforderungen und Verpflichtungen fest, die ein Cloud-Anbieter leisten muss, um einen maximal hohen Standard in Bezug auf die IT-Sicherheit zu realisieren. Besonders im Healthcare-Bereich ist ein kontinuierlich hohes Niveau des Datenschutzes und der Datensicherheit unerlässlich. Spätestens jetzt müssen Praxen eine Sicherheitskultur in ihrem Betrieb etablieren, in den alle Mitarbeiter einbezogen werden. Hierzu zählen organisatorische Punkte, aber vor allem auch moderne Technologien, die es Hackern nahezu unmöglich machen, Daten zu entwenden.