Viele Praxen gehen zu nachlässig mit Passwörtern um

/milkovasa, stockadobecom

Berlin – Zwischen der optimistischen Selbsteinschätzung von Praxen und Krankenhäu­sern hinsichtlich ihrer IT-Sicherheit und der Realität besteht häufig eine große Kluft. Das lässt sich den Ergebnissen einer mehrstufigen Untersuchung zur IT-Sicherheit im Gesund­heitssektor im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) entnehmen, die der Verband heute in Berlin präsentierte. Schwachpunkte sind demnach vor allem elementare Sicherheitsversäumnisse wie die Verwendung schwacher Passwörter oder veralteter Software.

Nach einer bereits im Sommer 2018 durchgeführten Forsa-Umfrage im Auftrag des GDV waren 81 Prozent der teilnehmenden Ärzte der Meinung, ihre Computersysteme seien umfassend geschützt. Rund 44 Prozent der Praxen bewertete das Risiko, Opfer von Cyber­kriminalität zu werden, zwar als hoch, aber nur 17 Prozent der Ärzte sahen dieses Risiko auch für ihre Praxis.

„Das Bewusstsein ist da, dass Cyberangriffe jeden treffen können“, meinte Gert Baumeis­ter, Vorsitzender der Projektgruppe Cybersicherung im GDV. Die Einschätzung des eigenen Risikos sei in der Selbstwahrnehmung jedoch geringer ausgeprägt als in anderen Bran­chen. So halten etwa 56 Prozent der befragten Ärzte ihre Praxis für zu klein, um in den Fokus von Cyberkriminellen zu geraten – laut Baumeister ein Irrtum, da viele Angriffe ungezielt unternommen würden.

Zusätzlich zur Forsa-Umfrage hat der Verband einen mehrmonatigen IT-Sicherheitstest von November 2018 bis März 2019 mit dem Analysetool Cysmo beauftragt, in den die Mailserver von circa 1.200 willkürlich ausgewählte Praxen unterschiedlicher Größe und Fach­richtungen sowie 250 Kliniken und Apotheken einbezogen wurden. Mit dem automa­tisierten Tool lassen sich öffentlich einsehbare Informationen aus Sicht eines Angreifers erfassen und potenzielle Angriffspunkte ausmachen.

Das Testergebnis: Von den untersuchten Arztpraxen waren nur fünf (0,4 Prozent) bei den verwendeten Verschlüsselungsverfahren auf dem technischen Stand, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt. Die übrigen Praxen ließen eine Verschlüsselung des E-Mail-Verkehrs auch mit veralteten oder unsicheren Standards zu, sodass diese Mails potenziell auch von unbefugten Dritten gelesen werden könnten. Zudem setzten nur fünf Prozent der Kliniken sichere Verschlüsselungstechnologie ein.

Größtes Risiko: Passwörter

Im dritten Schritt der Untersuchung hat der GDV die IT-Sicherheit von 25 niedergelasse­nen Ärzten von einem White-Hat-Hacker und IT-Sicherheitsexperten analysieren lassen. Michael Wiesner, Mitglied im Chaos Computer Club, testete dabei die technische und organisa­torische IT-Sicherheit von 25 freiwilligen Teilnehmern sowohl vor Ort in der Praxis als auch von außen mit Phishing-Mails und einem Penetrationstest.

Dabei zeigten sich erhebliche Defizite bei der organisatorischen Sicherheit. „Von außen sind die Praxen in der Regel gut abgesichert, doch bei Passörtern schludern fast alle Ärzte“, erklärte Wiesner.

So verwendeten neun von zehn Ärzten leicht zu erratende Passwörter. Am beliebtesten ist ihm zufolge das Passwort „praxis“, gefolgt vom Namen des jeweiligen behandelnden Arztes. Einige Praxen verzichteten sogar komplett auf einen Passwortschutz. Zudem konnte der Experte für Cybersicherheit in jeder zehnten Arztpraxis und bei 60 Prozent der Kliniken ohne besonderen Aufwand E-Mail- und Passwortkombinationen im Darknet recherchieren, wie er in einer Livedemonstration vorführte.

Auch für Phishing-Attacken zeigten sich viele Praxen äußerst anfällig: In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte E-Mail, 20 Prozent klickten auch auf einen Link oder öffneten einen Mailanhang. Dabei dient häufig das Erzeugen von Neugier oder Angst als Auslöser, um Nutzer zum Öffnen schadhafter Mails zu bewegen. So hatte Wiesner etwa eine fingierte Mail versandt, in der auf eine schlechte Bewertung der Praxis im Internet hingewiesen wurde, verbunden mit der Aufforderung, das Profil in dem Arzt-Bewertungsportal einzusehen.

Datensicherung häufig unverschlüsselt

Laut Wiesner erstellten zwar alle Praxen mindestens wöchentlich eine Datensicherung, aber nur neun von 25 haben ihre Datensicherung auch verschlüsselt, und nur vier teste­ten gelegentlich, ob sich die Daten durch eine Rücksicherung auch wiederherstellen lassen. In neun von 25 Praxen fehlten aktuelle Sicherheitsupdates der IT-Systeme. Vor allem veraltete Betriebssysteme waren häufig anzutreffen.

Lediglich eine der untersuchten Praxen verfügte über ein schriftliches Notfallkonzept für den Fall eines IT-Ausfalls. Die anderen Praxen verwiesen für diesen Fall auf ihren IT-Dienstleister – aber nur zehn Praxen hatten auch einen entsprechenden Vertrag mit ihrem Dienstleister abgeschlossen. Das ist insofern bemerkenswert, als acht von zehn Arztpraxen laut Forsa-Umfrage nach eigenen Angaben ihre Arbeit bei einem Ausfall der Praxis-IT einstellen oder stark einschränken müssten.

„Die Qualität der Sicherheit steht und fällt mit der Qualität der IT-Dienstleister“, konsta­tierte der IT-Sicherheitsexperte. „IT-Sicherheit kostet Geld, wenn man sichere technische Lösungen haben will.“ Organisatorische Lösungen, wie etwa ein regelmäßiger Passwort-Wechsel, seien da erheblich leichter durchzusetzen. © KBr/aerzteblatt.de