Ärztin
ÄrztinQuelle: Tim Reckmann / PIXELIO (www.pixelio.de)
Schlaglicht

GDV: Ärzte und Apotheker sind beim Sicherheitscheck durchgefallen

Von Elke PohlTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Durch eine Reihe von Fehleinschätzungen und Nachlässigkeiten in Bezug auf ihre IT-Sicherheit haben Ärzte, Kliniken und Apotheken in Deutschland ein ernstes Problem. Zu diesem Schluss kommt eine mehrstufige Untersuchung des Gesamtverbandes der deutschen Versicherungswirtschaft (GDV), die gestern in Berlin vorgestellt wurde.

Ärzte und Apotheker stehen der Digitalisierung im Gesundheitswesen zwar größtenteils positiv gegenüber und sehen die Risiken, unterschätzen aber die Gefahr der Cyber-Kriminalität für die eigene Praxis bzw. Apotheke, berichtete gestern Gert Baumeister, beim GDV für die Projektgruppe Cyberversicherungen verantwortlich. Dabei sei die Bedrohung ganz real. Denn wenn es Cyber-Kriminellen gelingt, ein Schlupfloch zu den hochsensiblen Kundendaten zu finden, diese zu verschlüsseln und für die Entschlüsselung Geld zu verlangen, dann ist das nicht nur teuer, sondern es wird auch der Betrieb lahmgelegt und schützenswerte Daten können in falsche Hände gelangen.

Besorgniserregende Ergebnisse

Um zu ermitteln, wie Ärzte und Apotheke ihre IT-Sicherheit selbst einschätzen und wie sie tatsächlich ist, gab der GDV eine Forsa-Umfrage unter 200 Arztpraxen und 100 Apotheken in Auftrag, führte einen Sicherheitscheck mithilfe des Analysetools "Cysmo" der Firma PPI AG bei 1.700 Kliniken, Praxen und Apotheken durch und beauftragte schließlich einen Hacker damit 25 Lesern der Ärzte-Zeitung, die sich freiwillig dafür gemeldet hatten, genauer auf den Zahn zu fühlen. Die Ergebnisse sind zum Teil besorgniserregend. Dazu gehört, dass sowohl Ärzte als auch Apotheker die Gefahr aus dem Internet zwar als hoch ansehen (44 bzw. 48 Prozent), sich selbst aber für kaum angreifbar halten. Die Gründe halten einer näheren Betrachtung kaum stand. So sind 56 Prozent der Ärzte und 49 Prozent der Apotheker davon überzeugt, dass ihr Unternehmen zu klein und die Daten nicht interessant genug seien (45 bzw. 37 Prozent), um Ziel eines Angriffs zu werden. Dazu Gert Baumeister vom GDV: "Es wird oft nicht eine Praxis, sondern es werden viele gleichzeitig angegriffen, sodass sich über die Masse auch kleine Praxen oder Apotheken für die Angreifer 'lohnen'. Und die Daten sind immer interessant für einen Erpressungsversuch."

Gerd Baumeister
Gerd BaumeisterQuelle: epo

Zu viele erfolgreiche Phishing-Angriffe

Folgenschwer ist die Auffassung von 80 Prozent der Mediziner und 89 Prozent der Apotheker, dass ihre Computersysteme umfassend vor Angriffen geschützt seien. Denn selbst wenn dies der Fall seine sollte, bleibe immer der Unsicherheitsfaktor Mensch. Wenn Ärzte, Apotheker oder Mitarbeiter zum Beispiel arglos Phishing-Mails öffnen, dann steht die Tür für Schadprogramme weit offen, ergänzte Michael Wiesner, Hacker und Mitglied im Chaos Computer Club und im Expertennetzwerk der VDS Schadenverhütung GmbH. Bei sechs der 25 von ihm attackierten bundesweiten Arztpraxen - alles im Rahmen der Legalität - war der Phishing-Angriff mit fingierten Mails erfolgreich, da Mitarbeiter auf den in der Mail enthaltenen Link klickten und die Word-Datei im Anhang herunterluden. In einem Fall wurde sogar das Schadprogramm des Word-Dokuments geöffnet. "In Ernstfall würde das bedeuten, dass der PC vom Angreifer übernommen wird", machte der Hacker deutlich. Ein großes Problem sind schwache oder gar ganz fehlende Passwörter, bei denen neun von zehn Ärzten schludern. Die Passwörter seien zu einfach und leicht zu erraten, kritisierte Wiesner. Dazu komme, dass bei 20 der 25 untersuchten Praxen alle Mitarbeiter Administratorenrechte haben, also etwa Software installieren dürfen. Bei einem Angriff hieße das, dass ahnungslose Mitarbeiter das Tor für Datenverschlüsselungen weiträumig öffnen.

Hacker Michael Wiesner
Hacker Michael WiesnerQuelle: epo

Ärzte verlassen sich zu sehr auf IT-Dienstleister

Weitere identifizierte Probleme sind Datensicherungen, die nicht verschlüsselt und getestet werden, veraltete und nicht auf den aktuellen Stand gebrachte Sicherheitsupdates mit den entsprechenden Lücken, fehlende Notfallpläne und ein unkritischer Glaube an die Fähigkeiten des IT-Dienstleisters, der - wie Wiesner andeutete - nicht in jedem Fall gerechtfertigt sei. "Ärzte verlassen sich zu sehr auf ihren IT-Dienstleister. Aber nicht jeder macht einen guten Job. Daher plädiere ich dafür, dass sie in die Haftung genommen werden können, wenn ihr Verhalten fahrlässig ist", schlägt er vor. Das Problem für Cyber-Versicherer liege darin, dass die Fragebögen bei Antrag auf eine Cyber-Versicherung gemeinsam mit dem IT-Dienstleister ausgefüllt werden müssen, machte Baumeister deutlich. Wenn dieser nicht so gute Arbeit abgeliefert hat, werde er das an dieser Stelle garantiert nicht zugeben. Man sei aber auf zuverlässige Angaben angewiesen. Insgesamt sorgen die Versicherer aber dadurch, dass sie bei Kunden Mindeststandards bei der IT-Sicherheit voraussetzen, mit dafür, dass das Sicherheitsniveau steigt. Allerdings seien gerade Kliniken im Moment mit der Einführung der elektronischen Patientenakte befasst, so dass sie weder Zeit noch Geld hätten in IT-Sicherheit zu investieren.
GDV · Cyberrisiken · Ärzte · Apotheker