
Diebstahl in Arztpraxen Millionen Patientendaten kaum gesichert
Stand: 09.02.2020 17:58 Uhr
Digitale Krankenakten von mehreren Millionen Patienten sind in deutschen Arztpraxen offenbar kaum vor Hackerangriffen geschützt. Das haben Experten des Computermagazins "c't" entdeckt.
Von Björn Siebke und Holger Bock, NDR
Die Computersysteme Tausender deutscher Arzpraxen sind offenbar nur unzureichend vor Angriffen durch Hacker geschützt. Mithilfe einer speziellen, aber offen im Netz verfügbaren Suchmaschine können Sicherheitslücken von ans Internet angebundenen Praxisrechnern entdeckt werden, wie Ronald Eikenberg von der Computerzeitschrift "c't" erklärt.
Millionenfacher Diebstahl sensibler Kranken-Daten
tagesthemen 22:45 Uhr, 09.02.2020, Björn Siebke, NDR
Schon nach einigen Sekunden tauchen Hunderte roter Punkte auf - hinter jedem verbergen sich ein oder mehrere angreifbare Netzwerke. Mit einem automatisierten Angriff sei es kinderleicht Passwörter der Systeme zu knacken, so Eikenberg. Oft würden Ärzte Standardpasswörter verwenden, wie: "Praxis123" oder "Kennwort1".
2000 Euro für einen aktuellen Patientendatensatz
Die Daten bedeuteten für Hacker bares Geld - pro Datensatz bis zu 2000 Euro. Der Handel mit den sensiblen Daten ist auf dem digitalen Schwarzmarkt zu einem lukrativen Markt geworden. "Man kann damit definitiv reich werden", sagt Eikenberg. Das sei höchst illegal, aber es gebe genug Leute mit krimineller Energie, die das nicht störe.
Die Daten wurden zum Beispiel genutzt, um Personen gezielt zu attackieren oder zu erpressen. Ältere Daten würden dazu verwendet werden, andere weniger sensible Zugangsdaten abzugreifen oder gezielt Werbemails zu verschicken. Dieses letzte Stück der kriminellen Verwertungskette könne auch Jahre später erst passieren.
Ärzte müssen ihren EDV-Dienstleistern vertrauen können
Patienten wie Torsten Sauer ahnen wenig, wie angreifbar ihr Hausarzt geworden ist. Sie erwarten, dass die Ärztliche Schweigepflicht auch im Digitalen funktioniert. Das werde als selbstverständlich empfunden, meint Sauer. Selbstverständlich ist der Schutz vor dem Diebstahl von Krankenakten keineswegs. Der hausärztliche Internist Christian Scholber aus Hannover sagt, er sei als Arzt seinen IT-Spezialisten ausgeliefert. Und bei der Betreuung der EDV-Systeme liege vieles im Argen.
Woher weiß ein Arzt, dass die EDV-Firma sich wirklich mit dem Schutz sensibler Daten auskennt und vertrauenswürdig ist? Ein Siegel oder Zertifikat gibt es nicht. Solch ein Zertifikat würde Ärzten durchaus helfen, sagt Mark Barjenbruch von der Vereinigung niedersächsischer Kassenärzte.
"Vergleichen sie es mit dem Auto. Wenn ich mein TÜV-Siegel habe, gehe ich als Fahrer und Besitzer des Autos davon aus, dass es den technischen Anforderungen entspricht." Der Kassenverbandschef sieht aber derzeit keinen Grund, unangemeldete Kontrollen in den Praxen einzuführen. Genau das fordert IT-Experte Eikenberg: Er versteht nicht, warum Hygiene strenger kontrolliert werde als die Datensicherheit.
Ein Siegel für Datensicherheit?
Für Niedersachsens oberste Datenschützerin Barbara Thiel ist die Sache klar: Als die elektronische Gesundheitskarte eingeführt wurde, habe die Politik versäumt, auch auf die Datensicherheit in den Arztpraxen zu schauen. Darum müsse nun nachgebessert werden. Ärzte sollten verpflichtet werden, sich die Sicherheit der Patientendaten bestätigen zu lassen.
Doch wann das Siegel oder Zertifikat für Datensicherheit in Arztpraxen kommen wird, ist offen. Zwar sind die Ärzte seit einem Jahr verpflichtet, ihre Praxis-EDV mit dem Internet zu verbinden, um ihre Honorare abrechnen zu können. Einheitliche Richtlinien, wie der Schutz vor Datendiebstahl technisch konkret aussehen muss, gibt es aber noch nicht.
Solange ist die digitale Tür zu den Krankenakten einer Arztpraxis bestenfalls angelehnt - aber keinesfalls verschlossen. "Man kann davon ausgehen, dass die Zahl der Praxen, die auf die eine oder andere Weise angreifbar sind oder unsicher konfiguriert sind, vermutlich eher in die Zehntausende geht", so der Computerexperte Eikenberg.
Bei durchschnittlich 850 Patienten, die pro Quartal einen Arzt aufsuchen, wären mehr als 8,5 Millionen Patientendatensätze deutschlandweit akut vom Diebstahl bedroht.
Patientendaten in Arztpraxen kaum geschützt
Holger Bock, NDR
10.02.2020 07:22 Uhr
Video
Audio
Weitere Meldungen aus dem Archiv vom 09.02.2020
- Alle Meldungen vom 09.02.2020 zeigen