Millionen Patientendaten im Darknet: Viele Praxen nicht geschützt

Wie Recherchen des IT-Journalisten Ronald Eikenberg des Magazins c’t kürzlich zeigten, sind digitale Krankenakten mehrere Millionen von Patienten kaum vor Hackerangriffen geschützt. Durch die Verwendung einer frei im Netz verfügbaren Suchmaschine können Sicherheitslücken aktiv bei Praxisrechnern entdeckt werden, solange diese mit dem Internet verbunden sind. Wie die ARD berichtet, sei es laut Eikenberg sehr leicht möglich, durch einen automatisierten Angriff an die Passwörter der in der Suchmaschine angezeigten Praxen zu gelangen. Die verwendeten Anmeldeinformationen sind häufig sehr einfach gewählt, Beispiele sind hier Praxis123 oder Kennwort1. Im Darknet können Hacker diese unkompliziert verkaufen – pro Datensatz lassen sich hier bis zu 2.000 Euro verdienen.

Forderung nach einem TÜV-Siegel für den Datenschutz

Viele Ärzte verlassen sich beim Thema Datenschutz auf ihre EDV-Dienstleister und handeln nicht aktiv fahrlässig. Laut ARD und c’t fordert nun Mark Barjenbruch von der Kassenärztlichen Vereinigung Niedersachsen ein einheitliches Siegel für EDV-Unternehmen, das erkennen lässt, ob das Unternehmen tatsächlich gut aufgestellt ist und alle erforderlichen Maßnahmen bietet, die für den Datenschutz und die Datensicherheit erforderlich sind. Auch laut Barbara Thiel, der obersten Datenschützerin Niedersachsens, muss hier zwingend nachgebessert werden, indem Ärzte dazu verpflichtet werden sollen, sich die Sicherheit ihrer Patientendaten bestätigen zu lassen.

Zahl der gefährdeten Patientendatensätze geht in die Millionen

Insgesamt sind vermutlich Millionen von Patientendatensätzen deutschlandweit aktuell gefährdet – wie hoch die Zahl tatsächlich ist, lässt sich nur schätzen. Und das ist sehr beunruhigend. Trotzdem überraschen die Fakten, dass vor allem der Datenschutz in vielen Arztpraxen verbesserungswürdig ist, nicht wirklich. Bereits eine Studie aus dem April letzten Jahres hat gezeigt, dass hier Nachholbedarf herrscht. Die Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft fand heraus, dass sich in 22 von 25 befragten Praxen mehrere Benutzer die gleiche Zugangserkennung teilten. Die gleiche Anzahl der Betriebe nutze sehr einfach zu erratende Passwörter wie etwa „Behandlung“. Fatalerweise hatten in 20 von 25 Fällen alle Nutzer Administrationsrechte und in keiner der befragten Praxen wurde überprüft, ob alte Admin-Rechte – etwa für ausgeschiedene Mitarbeiter – noch bestehen.

Sichere Passwörter sind ein Muss

Die gute Nachricht ist, dass Arztbetriebe ihr Datenschutzniveau durch ein paar einfach Schritte deutlich verbessern können. Die offensichtlichste Handlungsempfehlung ist die Wahl sicherer Passwörter – hier bieten sich besonders lange Worte an, in Kombination mit Sonderzeichen und Zahlen. Diese Maßnahme ist wichtig – greift allerdings zu kurz, denn Hacker nutzen Brute Force-Angriffe, bei denen pro Sekunde tausende Kombinationen ausprobiert werden. Durch ein sicheres Passwort sinkt zwar die Wahrscheinlichkeit, dass dieses erraten wird, aber sehr häufig gelangen Hacker auch durch Phishing oder Social Engineering an die Zugangsdaten. Für zusätzliche Sicherheit kann eine Multi-Faktor-Authentifizierung sorgen, die das Passwort mit einem weiteren Sicherheitsfaktor ergänzt. Dazu zählen etwa Sicherheitstokens, die per USB, NFC oder Bluetooth mit dem Endgerät verbunden werden. Erst wenn Login-Daten und Token kombiniert wurden, ist der Zugang zu den Daten frei. Auch ein zusätzlicher biometrischer Faktor in Form eines Fingerabdrucks oder einer Gesichtserkennung ist möglich. Ist ein zusätzlicher zweiter oder gar dritter Faktor implementiert, hat sich die Sicherheit der Daten um ein großes Stück verbessert.

Moderne Technologien sorgen für Datenschutz auf höchstem Niveau

Wahre Sicherheit lässt sich nur durch Einsatz der richtigen Technologie erzielen. Hierzu zählt, bei der Wahl von Software-Lösungen unbedingt auf verschiedene Features zu achten. Wichtig ist vor allem, dass Lösungen wie etwa aus dem Bereich Enterprise File Services über eine effektive Ende-zu-Ende-Verschlüsselung verfügen, sodass kein Angreifer die Daten abfangen kann und sogar der Betreiber selbst keinen Zugriff hat. Die Informationen sollten nur vom Betrieb selbst abgerufen werden können, beziehungsweise allen Nutzern, denen hierzu Berechtigungen erteilt werden. Das Thema Zugriffskontrolle ist entscheidend, denn Zugriffsrechte sollten einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte erhalten, andere wiederum auch Daten bearbeiten können. Alle Nutzer beziehungsweise Daten lassen sich im Idealfall in ihrer Verfügbarkeit zeitlich befristen.

Ein zentraler Vorteil eines solchen feingliederigen Berechtigungsmanagements: Selbst im Falle eines erfolgreichen Hacks kann der Angreifer nur auf die Informationen zugreifen, für die der gehackte Account zugriffsberechtigt war. Eine Seitwärtsbewegung des Angreifers durch sämtliche gespeicherte Daten kann somit vermieden werden und der Schaden durch den Hack hält sich in Grenzen.

Siegel sorgen für Sicherheit in der IT

Auch unabhängige, anerkannte Siegel sorgen für Transparenz und Betriebe sollten bei der Wahl einer Lösung auf Zertifizierungen achten. Hierzu zählt die internationale Norm ISO/IEC 27001, die Dienstleistern die Einhaltung der IT-Sicherheitsregelungen und somit den Schutz von Kundendaten bescheinigt. Auch der Standard IDW PS 951 ist hier wichtig, denn er unterstützt die Einhaltung gesetzlicher Anforderungen an Unternehmen in Deutschland. Die Richtlinie liefert den Nachweis für die Angemessenheit und Wirksamkeit des internen Kontroll­systems von Betrieben und die Nutzung eines testierten Dienstleisters sorgt für zusätzliche Sicherheit. Zuletzt ist bei Cloud Services noch das BSI C5 Testat entscheidend, denn es legt Anforderungen und Verpflichtungen fest, die ein Cloud-Anbieter leisten muss, um einen maximal hohen Standard in Bezug auf die IT-Sicherheit zu realisieren. Besonders im Healthcare-Bereich ist ein kontinuierlich hohes Niveau des Datenschutzes und der Datensicherheit unerlässlich. Spätestens jetzt müssen Praxen eine Sicherheitskultur in ihrem Betrieb etablieren, in den alle Mitarbeiter einbezogen werden. Hierzu zählen organisatorische Punkte, aber vor allem auch moderne Technologien, die es Hackern nahezu unmöglich machen, Daten zu entwenden.