NewsÄrzteschaftViele Praxen gehen zu nachlässig mit Passwörtern um
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Ärzteschaft

Viele Praxen gehen zu nachlässig mit Passwörtern um

Montag, 8. April 2019

/milkovasa, stockadobecom

Berlin – Zwischen der optimistischen Selbsteinschätzung von Praxen und Krankenhäu­sern hinsichtlich ihrer IT-Sicherheit und der Realität besteht häufig eine große Kluft. Das lässt sich den Ergebnissen einer mehrstufigen Untersuchung zur IT-Sicherheit im Gesund­heitssektor im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) entnehmen, die der Verband heute in Berlin präsentierte. Schwachpunkte sind demnach vor allem elementare Sicherheitsversäumnisse wie die Verwendung schwacher Passwörter oder veralteter Software.

Nach einer bereits im Sommer 2018 durchgeführten Forsa-Umfrage im Auftrag des GDV waren 81 Prozent der teilnehmenden Ärzte der Meinung, ihre Computersysteme seien umfassend geschützt. Rund 44 Prozent der Praxen bewertete das Risiko, Opfer von Cyber­kriminalität zu werden, zwar als hoch, aber nur 17 Prozent der Ärzte sahen dieses Risiko auch für ihre Praxis.

Anzeige

„Das Bewusstsein ist da, dass Cyberangriffe jeden treffen können“, meinte Gert Baumeis­ter, Vorsitzender der Projektgruppe Cybersicherung im GDV. Die Einschätzung des eigenen Risikos sei in der Selbstwahrnehmung jedoch geringer ausgeprägt als in anderen Bran­chen. So halten etwa 56 Prozent der befragten Ärzte ihre Praxis für zu klein, um in den Fokus von Cyberkriminellen zu geraten – laut Baumeister ein Irrtum, da viele Angriffe ungezielt unternommen würden.

Zusätzlich zur Forsa-Umfrage hat der Verband einen mehrmonatigen IT-Sicherheitstest von November 2018 bis März 2019 mit dem Analysetool Cysmo beauftragt, in den die Mailserver von circa 1.200 willkürlich ausgewählte Praxen unterschiedlicher Größe und Fach­richtungen sowie 250 Kliniken und Apotheken einbezogen wurden. Mit dem automa­tisierten Tool lassen sich öffentlich einsehbare Informationen aus Sicht eines Angreifers erfassen und potenzielle Angriffspunkte ausmachen.

Das Testergebnis: Von den untersuchten Arztpraxen waren nur fünf (0,4 Prozent) bei den verwendeten Verschlüsselungsverfahren auf dem technischen Stand, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt. Die übrigen Praxen ließen eine Verschlüsselung des E-Mail-Verkehrs auch mit veralteten oder unsicheren Standards zu, sodass diese Mails potenziell auch von unbefugten Dritten gelesen werden könnten.  Zudem setzten nur fünf Prozent der Kliniken sichere Verschlüsselungstechnologie ein.

Größtes Risiko: Passwörter

Im dritten Schritt der Untersuchung hat der GDV die IT-Sicherheit von 25 niedergelasse­nen Ärzten von einem White-Hat-Hacker und IT-Sicherheitsexperten analysieren lassen. Michael Wiesner, Mitglied im Chaos Computer Club, testete dabei die technische und organisa­torische IT-Sicherheit von 25 freiwilligen Teilnehmern sowohl vor Ort in der Praxis als auch von außen mit Phishing-Mails und einem Penetrationstest.

Dabei zeigten sich erhebliche Defizite bei der organisatorischen Sicherheit. „Von außen sind die Praxen in der Regel gut abgesichert, doch bei Passörtern schludern fast alle Ärzte“, erklärte Wiesner.

Empfohlene Schutzmaßnahmen:

  • Sicherheitsupdates automatisch einspielen und Systeme aktuell halten
  • Mindestens einmal wöchentlich Sicherungskopien machen
  • Administratoren-Rechte nur an Administratoren vergeben
  • Über das Internet erreichbare oder mobile Systeme zusätzlich schützen
  • Manipulationen und unberechtigten Zugriff auf Sicherungskopien verhindern
  • Systeme mit Schutz vor Schadsoftware ausstatten und diesen automatisch aktualisieren lassen
  • Sicherungskopien physisch vom gesicherten System trennen
  • Mindestanforderungen für Passwörter verlangen und technisch erzwingen
  • Eigene Zugangskennung und individuelles Passwort für jeden Nutzer
  • Wiederherstellen der Daten aus der Sicherungskopie regelmäßig testen

So verwendeten neun von zehn Ärzten leicht zu erratende Passwörter. Am beliebtesten ist ihm zufolge das Passwort „praxis“, gefolgt vom Namen des jeweiligen behandelnden Arztes. Einige Praxen verzichteten sogar komplett auf einen Passwortschutz. Zudem konnte der Experte für Cybersicherheit in jeder zehnten Arztpraxis und bei 60 Prozent der Kliniken ohne besonderen Aufwand E-Mail- und Passwortkombinationen im Darknet recherchieren, wie er in einer Livedemonstration vorführte.

Auch für Phishing-Attacken zeigten sich viele Praxen äußerst anfällig: In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte E-Mail, 20 Prozent klickten auch auf einen Link oder öffneten einen Mailanhang. Dabei dient häufig das Erzeugen von Neugier oder Angst als Auslöser, um Nutzer zum Öffnen schadhafter Mails zu bewegen. So hatte Wiesner etwa eine fingierte Mail versandt, in der auf eine schlechte Bewertung der Praxis im Internet hingewiesen wurde, verbunden mit der Aufforderung, das Profil in dem Arzt-Bewertungsportal einzusehen.

Datensicherung häufig unverschlüsselt

Laut Wiesner erstellten zwar alle Praxen mindestens wöchentlich eine Datensicherung, aber nur neun von 25 haben ihre Datensicherung auch verschlüsselt, und nur vier teste­ten gelegentlich, ob sich die Daten durch eine Rücksicherung auch wiederherstellen lassen. In neun von 25 Praxen fehlten aktuelle Sicherheitsupdates der IT-Systeme. Vor allem veraltete Betriebssysteme waren häufig anzutreffen.

Lediglich eine der untersuchten Praxen verfügte über ein schriftliches Notfallkonzept für den Fall eines IT-Ausfalls. Die anderen Praxen verwiesen für diesen Fall auf ihren IT-Dienstleister – aber nur zehn Praxen hatten auch einen entsprechenden Vertrag mit ihrem Dienstleister abgeschlossen. Das ist insofern bemerkenswert, als acht von zehn Arztpraxen laut Forsa-Umfrage nach eigenen Angaben ihre Arbeit bei einem Ausfall der Praxis-IT einstellen oder stark einschränken müssten.

„Die Qualität der Sicherheit steht und fällt mit der Qualität der IT-Dienstleister“, konsta­tierte der IT-Sicherheitsexperte. „IT-Sicherheit kostet Geld, wenn man sichere technische Lösungen haben will.“ Organisatorische Lösungen, wie etwa ein regelmäßiger Passwort-Wechsel, seien da erheblich leichter durchzusetzen. © KBr/aerzteblatt.de

Themen:

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

LNS

Nachrichten zum Thema

17. April 2019
Straßburg – Das Europaparlament hat sich für einen besseren Schutz von Whistleblowern in der EU ausgesprochen. Die Abgeordneten bestätigten gestern in Straßburg eine Einigung, die Unterhändler vor
EU-Parlament bestätigt besseren Schutz für Whistleblower
11. April 2019
München – Bayern will härtere Strafen für den Diebstahl von Daten im Internet. Die Höchststrafe im Strafgesetzbuch soll von drei auf fünf Jahre angehoben werden. In besonders schweren Fällen, etwa bei
Bayern fordert härtere Strafen für Datendiebstahl
28. März 2019
Berlin – Der Europarat hat heute in Straßburg neue Leitlinien für den Umgang mit Gesundheitsdaten in den 47 Mitgliedsstaaten veröffentlicht. Ziel sei es, dafür zu sorgen, dass bei der
Europarat veröffentlicht neue Leitlinien für den Umgang mit Gesundheitsdaten
20. März 2019
Berlin – Digitale Anwendungen wie Gesundheits-Apps können einen großen Nutzen für Patienten haben. Darin waren sich Experten in einem Fachgespräch im Gesundheitsausschuss des Bundestages einig.
Gesundheits-Apps: Mehr Sicherheit und Nutzerkompetenz notwendig
12. März 2019
Straßburg – Hinweisgeber auf Skandale in Unternehmen und Behörden sollen in der Eruopäischen Union (EU) künftig besser geschützt sein. Unterhändler der EU-Staaten und des Europaparlaments einigten
EU einigt sich auf Standards zum Schutz von Whistleblowern
26. Februar 2019
Berlin – „Der Marburger Bund befürwortet und unterstützt ausdrücklich die aktuelle Entwicklung hin zur digitalisierten Medizin, ebenso den Aufbau der Tele­ma­tik­infra­struk­tur und insbesondere auch die
Marburger Bund pocht auf Datensicherheit und Funktionalität bei der Patientenakte
6. Februar 2019
Hamburg – Die Zahl der Beschwerden wegen Verstößen gegen den Datenschutz im Gesundheitswesen hat sich in Hamburg im vergangenen Jahr fast verfünffacht. 2018 seien rund 270 Beschwerden zum
LNS

Fachgebiet

Anzeige

Weitere...

Aktuelle Kommentare

Archiv

Anzeige
NEWSLETTER