Agenturmeldungen

Versicherungen: Mängel in der IT-Sicherheit bei Ärzten und Apotheken

08.04.2019

Berlin (dpa) - Ärzte und Apotheken in Deutschland unternehmen nach
einer Studie der Versicherungswirtschaft nicht genug zu Schutz von
sensiblen Patientendaten. So seien Mitarbeiter in den Arztpraxen
nachlässig beim Passwortschutz: Neun von zehn Ärzten verwenden leicht
zu erratende Passwörter wie «Behandlung» oder den Namen des Arztes,
wie eine Untersuchung zur IT-Sicherheit im Gesundheitssektor im
Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft
(GDV) ergab. In jeder zehnten Arztpraxis (9 Prozent) und 60 Prozent
der Kliniken würden E-Mail- und Passwort-Kombinationen verwendet, die
auch von Kriminellen im Darknet angeboten werden.

Die Untersuchung stellte dabei gleichzeitig fest, dass Ärzte und
Apotheker die Cyberrisiken unterschätzen. In einer bundesweiten
Stichprobe von 25 Arztpraxen jedenfalls wurden der Studie zufolge
«erhebliche Schwächen bei der organisatorischen Sicherheit» entdeckt.
«Von außen sind die untersuchten Praxen in der Regel gut abgesichert,
doch bei Passwörtern schludern fast alle Ärzte», erklärte Michael
Wiesner, Experte für Computersicherheit und Mitglied des Chaos
Computer Clubs, der die Praxis-IT im Auftrag des GDV testete.

Gefährdet ist der Gesundheitssektor auch bei sogenannten
Phishing-Attacken: Im Rahmen des Tests öffneten in jeder zweiten
Praxis Mitarbeiter eine potenziell schadhafte Mail, 20 Prozent
klickten sogar auf einen Link oder öffneten den Anhang.

Auf die für den digitalen Transport von Patientendaten eigentlich
notwendige Verschlüsselung seien viele Praxen gar nicht vorbereitet.
Von knapp 1200 untersuchten niedergelassenen Ärzten seien nur fünf
(0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden
auf dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
empfohlenen Stand der Technik. Alle anderen hätten eine
Verschlüsselung des Mail-Verkehrs auch mit veralteten und unsicheren
Standards zugelassen. Wird eine solche Mail zwischen Sender und
Empfänger abgefangen, könnte sie von Fremden gelesen werden. Bei den
Kliniken verwendeten immerhin fünf Prozent den aktuellen
BSI-Standard.