Ärztin
ÄrztinQuelle: Tim Reckmann / PIXELIO (www.pixelio.de)
Schlaglicht

GDV: Ärzte und Apotheker sind beim Sicherheitscheck durchgefallen

Von Elke PohlTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Durch eine Reihe von Fehleinschätzungen und Nachlässigkeiten in Bezug auf ihre IT-Sicherheit haben Ärzte, Kliniken und Apotheken in Deutschland ein ernstes Problem. Zu diesem Schluss kommt eine mehrstufige Untersuchung des Gesamtverbandes der deutschen Versicherungswirtschaft (GDV), die gestern in Berlin vorgestellt wurde.

Ärzte und Apotheker stehen der Digitalisierung im Gesundheitswesen zwar größtenteils positiv gegenüber und sehen die Risiken, unterschätzen aber die Gefahr der Cyber-Kriminalität für die eigene Praxis bzw. Apotheke, berichtete gestern Gert Baumeister, beim GDV für die Projektgruppe Cyberversicherungen verantwortlich. Dabei sei die Bedrohung ganz real. Denn wenn es Cyber-Kriminellen gelingt, ein Schlupfloch zu den hochsensiblen Kundendaten zu finden, diese zu verschlüsseln und für die Entschlüsselung Geld zu verlangen, dann ist das nicht nur teuer, sondern es wird auch der Betrieb lahmgelegt und schützenswerte Daten können in falsche Hände gelangen.

Besorgniserregende Ergebnisse

Um zu ermitteln, wie Ärzte und Apotheke ihre IT-Sicherheit selbst einschätzen und wie sie tatsächlich ist, gab der GDV eine Forsa-Umfrage unter 200 Arztpraxen und 100 Apotheken in Auftrag, führte einen Sicherheitscheck mithilfe des Analysetools "Cysmo" der Firma PPI AG bei 1.700 Kliniken, Praxen und Apotheken durch und beauftragte schließlich einen Hacker damit 25 Lesern der Ärzte-Zeitung, die sich freiwillig dafür gemeldet hatten, genauer auf den Zahn zu fühlen. Die Ergebnisse sind zum Teil besorgniserregend. Dazu gehört, dass sowohl Ärzte als auch Apotheker die Gefahr aus dem Internet zwar als hoch ansehen (44 bzw. 48 Prozent), sich selbst aber für kaum angreifbar halten. Die Gründe halten einer näheren Betrachtung kaum stand. So sind 56 Prozent der Ärzte und 49 Prozent der Apotheker davon überzeugt, dass ihr Unternehmen zu klein und die Daten nicht interessant genug seien (45 bzw. 37 Prozent), um Ziel eines Angriffs zu werden. Dazu Gert Baumeister vom GDV: "Es wird oft nicht eine Praxis, sondern es werden viele gleichzeitig angegriffen, sodass sich über die Masse auch kleine Praxen oder Apotheken für die Angreifer 'lohnen'. Und die Daten sind immer interessant für einen Erpressungsversuch."

Gerd Baumeister
Gerd BaumeisterQuelle: epo

Zu viele erfolgreiche Phishing-Angriffe

Folgenschwer ist die Auffassung von 80 Prozent der Mediziner und 89 Prozent der Apotheker, dass ihre Computersysteme umfassend vor Angriffen geschützt seien. Denn selbst wenn dies der Fall seine sollte, bleibe immer der Unsicherheitsfaktor Mensch. Wenn Ärzte, Apotheker oder Mitarbeiter zum Beispiel arglos Phishing-Mails öffnen, dann steht die Tür für Schadprogramme weit offen, ergänzte Michael Wiesner, Hacker und Mitglied im Chaos Computer Club und im Expertennetzwerk der VDS Schadenverhütung GmbH. Bei sechs der 25 von ihm attackierten bundesweiten Arztpraxen - alles im Rahmen der Legalität - war der Phishing-Angriff mit fingierten Mails erfolgreich, da Mitarbeiter auf den in der Mail enthaltenen Link klickten und die Word-Datei im Anhang herunterluden. In einem Fall wurde sogar das Schadprogramm des Word-Dokuments geöffnet. "In Ernstfall würde das bedeuten, dass der PC vom Angreifer übernommen wird", machte der Hacker deutlich. Ein großes Problem sind schwache oder gar ganz fehlende Passwörter, bei denen neun von zehn Ärzten schludern. Die Passwörter seien zu einfach und leicht zu erraten, kritisierte Wiesner. Dazu komme, dass bei 20 der 25 untersuchten Praxen alle Mitarbeiter Administratorenrechte haben, also etwa Software installieren dürfen. Bei einem Angriff hieße das, dass ahnungslose Mitarbeiter das Tor für Datenverschlüsselungen weiträumig öffnen.

Hacker Michael Wiesner
Hacker Michael WiesnerQuelle: epo

Ärzte verlassen sich zu sehr auf IT-Dienstleister

Weitere identifizierte Probleme sind Datensicherungen, die nicht verschlüsselt und getestet werden, veraltete und nicht auf den aktuellen Stand gebrachte Sicherheitsupdates mit den entsprechenden Lücken, fehlende Notfallpläne und ein unkritischer Glaube an die Fähigkeiten des IT-Dienstleisters, der - wie Wiesner andeutete - nicht in jedem Fall gerechtfertigt sei. "Ärzte verlassen sich zu sehr auf ihren IT-Dienstleister. Aber nicht jeder macht einen guten Job. Daher plädiere ich dafür, dass sie in die Haftung genommen werden können, wenn ihr Verhalten fahrlässig ist", schlägt er vor. Das Problem für Cyber-Versicherer liege darin, dass die Fragebögen bei Antrag auf eine Cyber-Versicherung gemeinsam mit dem IT-Dienstleister ausgefüllt werden müssen, machte Baumeister deutlich. Wenn dieser nicht so gute Arbeit abgeliefert hat, werde er das an dieser Stelle garantiert nicht zugeben. Man sei aber auf zuverlässige Angaben angewiesen. Insgesamt sorgen die Versicherer aber dadurch, dass sie bei Kunden Mindeststandards bei der IT-Sicherheit voraussetzen, mit dafür, dass das Sicherheitsniveau steigt. Allerdings seien gerade Kliniken im Moment mit der Einführung der elektronischen Patientenakte befasst, so dass sie weder Zeit noch Geld hätten in IT-Sicherheit zu investieren.
GDV · Cyberrisiken · Ärzte · Apotheker
Auch interessant
Zurück
08.07.2019VWheute
"Policen, die Cyber-Angriffe nicht explizit einschließen, bereiten den Versi­che­rern großes Unbe­hagen" Wie gehen Versicherer am besten mit …
"Policen, die Cyber-Angriffe nicht explizit einschließen, bereiten den Versi­che­rern großes Unbe­hagen"
Wie gehen Versicherer am besten mit Cyberrisiken um? Problematisch wird es spätestens dann, wenn im Falle einer Cyberattacke "physische Auswirkungen von Cyberangriffen nicht …
21.06.2019VWheute
Verbor­genes Risiko bei Cyber­ge­fahren Stille Cyberexponierungen in konventionellen Schaden-/Unfallversicherungen für Unternehmen sorgen bei Kunden, …
Verbor­genes Risiko bei Cyber­ge­fahren
Stille Cyberexponierungen in konventionellen Schaden-/Unfallversicherungen für Unternehmen sorgen bei Kunden, Maklern und Versicherern gleichermaßen für Unbehagen. Wie geht man neue Wege im Underwriting, um Transparenz für alle Beteiligten …
25.10.2018VWheute
Cyber­ri­siken: Apple-Chef Cook lobt DSGVO und Deut­sche Hackerangriffe nehmen zu und Datenschutz ist wichtig – wenn das ein Cyberversicherer sagt, …
Cyber­ri­siken: Apple-Chef Cook lobt DSGVO und Deut­sche
Hackerangriffe nehmen zu und Datenschutz ist wichtig – wenn das ein Cyberversicherer sagt, wird allenfalls kurz genickt und weitergemacht wie bisher. Wenn aber Apple-Chef Tim Cook über das Thema spricht, wird es sofort …
15.05.2018VWheute
Eiopa testet Versi­cherer auf Cyber­ri­siken Die Europäische Versicherungsaufsicht Eiopa testet seit gestern erneut die Versicherungskonzerne. Im …
Eiopa testet Versi­cherer auf Cyber­ri­siken
Die Europäische Versicherungsaufsicht Eiopa testet seit gestern erneut die Versicherungskonzerne. Im Rahmen des vierten Stresstests werden 42 Unternehmen, die fast 78 Prozent des europäischen Marktes abdecken, auf markt- und …
Weiter