NewsÄrzteschaftViele Praxen gehen zu nachlässig mit Passwörtern um
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Ärzteschaft

Viele Praxen gehen zu nachlässig mit Passwörtern um

Montag, 8. April 2019

/milkovasa, stockadobecom

Berlin – Zwischen der optimistischen Selbsteinschätzung von Praxen und Krankenhäu­sern hinsichtlich ihrer IT-Sicherheit und der Realität besteht häufig eine große Kluft. Das lässt sich den Ergebnissen einer mehrstufigen Untersuchung zur IT-Sicherheit im Gesund­heitssektor im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) entnehmen, die der Verband heute in Berlin präsentierte. Schwachpunkte sind demnach vor allem elementare Sicherheitsversäumnisse wie die Verwendung schwacher Passwörter oder veralteter Software.

Nach einer bereits im Sommer 2018 durchgeführten Forsa-Umfrage im Auftrag des GDV waren 81 Prozent der teilnehmenden Ärzte der Meinung, ihre Computersysteme seien umfassend geschützt. Rund 44 Prozent der Praxen bewertete das Risiko, Opfer von Cyber­kriminalität zu werden, zwar als hoch, aber nur 17 Prozent der Ärzte sahen dieses Risiko auch für ihre Praxis.

Anzeige

„Das Bewusstsein ist da, dass Cyberangriffe jeden treffen können“, meinte Gert Baumeis­ter, Vorsitzender der Projektgruppe Cybersicherung im GDV. Die Einschätzung des eigenen Risikos sei in der Selbstwahrnehmung jedoch geringer ausgeprägt als in anderen Bran­chen. So halten etwa 56 Prozent der befragten Ärzte ihre Praxis für zu klein, um in den Fokus von Cyberkriminellen zu geraten – laut Baumeister ein Irrtum, da viele Angriffe ungezielt unternommen würden.

Zusätzlich zur Forsa-Umfrage hat der Verband einen mehrmonatigen IT-Sicherheitstest von November 2018 bis März 2019 mit dem Analysetool Cysmo beauftragt, in den die Mailserver von circa 1.200 willkürlich ausgewählte Praxen unterschiedlicher Größe und Fach­richtungen sowie 250 Kliniken und Apotheken einbezogen wurden. Mit dem automa­tisierten Tool lassen sich öffentlich einsehbare Informationen aus Sicht eines Angreifers erfassen und potenzielle Angriffspunkte ausmachen.

Das Testergebnis: Von den untersuchten Arztpraxen waren nur fünf (0,4 Prozent) bei den verwendeten Verschlüsselungsverfahren auf dem technischen Stand, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt. Die übrigen Praxen ließen eine Verschlüsselung des E-Mail-Verkehrs auch mit veralteten oder unsicheren Standards zu, sodass diese Mails potenziell auch von unbefugten Dritten gelesen werden könnten. Zudem setzten nur fünf Prozent der Kliniken sichere Verschlüsselungstechnologie ein.

Größtes Risiko: Passwörter

Im dritten Schritt der Untersuchung hat der GDV die IT-Sicherheit von 25 niedergelasse­nen Ärzten von einem White-Hat-Hacker und IT-Sicherheitsexperten analysieren lassen. Michael Wiesner, Mitglied im Chaos Computer Club, testete dabei die technische und organisa­torische IT-Sicherheit von 25 freiwilligen Teilnehmern sowohl vor Ort in der Praxis als auch von außen mit Phishing-Mails und einem Penetrationstest.

Dabei zeigten sich erhebliche Defizite bei der organisatorischen Sicherheit. „Von außen sind die Praxen in der Regel gut abgesichert, doch bei Passörtern schludern fast alle Ärzte“, erklärte Wiesner.

Empfohlene Schutzmaßnahmen:

  • Sicherheitsupdates automatisch einspielen und Systeme aktuell halten
  • Mindestens einmal wöchentlich Sicherungskopien machen
  • Administratoren-Rechte nur an Administratoren vergeben
  • Über das Internet erreichbare oder mobile Systeme zusätzlich schützen
  • Manipulationen und unberechtigten Zugriff auf Sicherungskopien verhindern
  • Systeme mit Schutz vor Schadsoftware ausstatten und diesen automatisch aktualisieren lassen
  • Sicherungskopien physisch vom gesicherten System trennen
  • Mindestanforderungen für Passwörter verlangen und technisch erzwingen
  • Eigene Zugangskennung und individuelles Passwort für jeden Nutzer
  • Wiederherstellen der Daten aus der Sicherungskopie regelmäßig testen

So verwendeten neun von zehn Ärzten leicht zu erratende Passwörter. Am beliebtesten ist ihm zufolge das Passwort „praxis“, gefolgt vom Namen des jeweiligen behandelnden Arztes. Einige Praxen verzichteten sogar komplett auf einen Passwortschutz. Zudem konnte der Experte für Cybersicherheit in jeder zehnten Arztpraxis und bei 60 Prozent der Kliniken ohne besonderen Aufwand E-Mail- und Passwortkombinationen im Darknet recherchieren, wie er in einer Livedemonstration vorführte.

Auch für Phishing-Attacken zeigten sich viele Praxen äußerst anfällig: In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte E-Mail, 20 Prozent klickten auch auf einen Link oder öffneten einen Mailanhang. Dabei dient häufig das Erzeugen von Neugier oder Angst als Auslöser, um Nutzer zum Öffnen schadhafter Mails zu bewegen. So hatte Wiesner etwa eine fingierte Mail versandt, in der auf eine schlechte Bewertung der Praxis im Internet hingewiesen wurde, verbunden mit der Aufforderung, das Profil in dem Arzt-Bewertungsportal einzusehen.

Datensicherung häufig unverschlüsselt

Laut Wiesner erstellten zwar alle Praxen mindestens wöchentlich eine Datensicherung, aber nur neun von 25 haben ihre Datensicherung auch verschlüsselt, und nur vier teste­ten gelegentlich, ob sich die Daten durch eine Rücksicherung auch wiederherstellen lassen. In neun von 25 Praxen fehlten aktuelle Sicherheitsupdates der IT-Systeme. Vor allem veraltete Betriebssysteme waren häufig anzutreffen.

Lediglich eine der untersuchten Praxen verfügte über ein schriftliches Notfallkonzept für den Fall eines IT-Ausfalls. Die anderen Praxen verwiesen für diesen Fall auf ihren IT-Dienstleister – aber nur zehn Praxen hatten auch einen entsprechenden Vertrag mit ihrem Dienstleister abgeschlossen. Das ist insofern bemerkenswert, als acht von zehn Arztpraxen laut Forsa-Umfrage nach eigenen Angaben ihre Arbeit bei einem Ausfall der Praxis-IT einstellen oder stark einschränken müssten.

„Die Qualität der Sicherheit steht und fällt mit der Qualität der IT-Dienstleister“, konsta­tierte der IT-Sicherheitsexperte. „IT-Sicherheit kostet Geld, wenn man sichere technische Lösungen haben will.“ Organisatorische Lösungen, wie etwa ein regelmäßiger Passwort-Wechsel, seien da erheblich leichter durchzusetzen. © KBr/aerzteblatt.de

Themen:

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Avatar #661708
Haiko
am Samstag, 8. Juni 2019, 00:40

Bin durch Interpol und Microsoft-Support-Gruppe gehackt worden.

Einbrüche in die Praxis, um an die Papierakten zu kommen, gab es nicht. Aber die Hacker werden als Täter heute nicht bestraft, sondern nur die User. Und das mit 30% Steigerungsrate jedes Jahr, weil Deutschland schläft und zuviel Geld klauen lässt als die Nachbarstaaten.
LNS

Nachrichten zum Thema

4. August 2020
Lyon – Cyberkriminelle haben nach Angaben von Interpol während der Coronapandemie vermehrt auch große Unternehmen und wichtige Infrastrukturen ins Visier genommen. Mehrere Mitgliedsstaaten hätten
Interpol: Cyberkriminelle greifen vermehrt auch Krankenhäuser an
22. Juli 2020
Washington – Die USA haben zwei chinesische Staatsbürger wegen des mutmaßlichen Internetdiebstahls von Forschungsergebnissen zu Impfstoffen gegen das Coronavirus SARS-CoV-2 angeklagt. Die Hacker im
Corona-Impfstoff-Forschung: USA klagen chinesische Hacker wegen Diebstahls an
17. Juli 2020
London – Britische Behörden werfen Hackern vor, im Auftrag Moskaus weltweit Cyberspionage bei Impfstoff-Forschern zu betreiben. Das geht aus einer Mitteilung des britischen Zentrums für
Impfstoff-Forschung soll im Visier russischer Hacker stehen
13. Juli 2020
Berlin – Die Bundesregierung warnt Unternehmen vor Betrügern, die sich als Vertreter eines imaginären „Bundesamts für Krisenschutz und Wirtschaftshilfe“ ausgeben. Eine Sprecherin des
Bundesregierung warnt vor falschem „Bundesamt für Krisenschutz“
30. Juni 2020
Stuttgart – Ein Datenschutzverstoß der AOK Baden-Württemberg kommt der Krankenkasse teuer zu stehen. Sie muss 1,24 Millionen Euro Bußgeld bezahlen, weil sie Daten für ein Gewinnspiel datenschutzwidrig
AOK Baden-Württemberg muss Bußgeld wegen Datenmissbrauchs bezahlen
30. Juni 2020
Bonn – Labore und Krankenhäuser in Deutschland sind nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) gut vor Cyberangriffen geschützt. Zu diesem Ergebnis kämen zwei vom
BSI: Labore und Krankenhäuser gut vor Cyberangriffen geschützt
19. Juni 2020
München – Die Ver­tre­ter­ver­samm­lung (VV) der Kassenärztlichen Vereinigung Bayerns (KVB) hat einen Schutzschirm für hohe Verluste durch zu geringe Fallzahlen und Patientenkontakte auf Grund der
LNS

Fachgebiet

Stellenangebote

    Anzeige

    Weitere...

    Aktuelle Kommentare

    Archiv

    NEWSLETTER