Durch IT-Sicherheitslücken ebnen Arztpraxen Hackern den Weg zu Patientendaten in Millionen-Höhe

Harter Schlag gegen das Deutsche Rote Kreuz in Brandenburg: Eine konzertierte Medienrecherche kam zu dem erschreckenden Ergebnis, dass jahrelang Daten von bis zu 30000 Patienten quasi ungesichert auf Servern herumlagen und im Prinzip frei zugänglich waren.

Dabei handelt es sich um Informationen, von denen sicher kein Betroffener wünscht, dass sie durch ein Datenleck an die Öffentlichkeit gelangen. Doch Reportern war ohne große Umstände gelungen, Daten von über Hunderttausend Einsatzfahrten verschiedener DRK Kreisverbände öffentlich einzusehen. Wer da weshalb in eine Klinik eingeliefert wurde, einen Rollstuhl brauchte oder ein Fall für die Psychiatrie war – all dies war Datendieben über einen langen Zeitraum zugänglich.

Wer zu Jahresbeginn schadenfroh auf die Wirtschaft zeigte, wo beim Autovermieter Buchbinder das größte Datenleck der Bundesrepublik klaffte, muss sich eines Besseren belehren lassen: Selbst als seriös erachtete Unternehmen, wie das DRK, gehen zu lax mit dem Datenschutz um und verstecken sich hinter schwachen Argumenten, wie Personalengpass und zu hohem administrativem Aufwand für ordentlichen Datenschutz. Das bereitet hinsichtlich geschützter Patientendaten generell Anlass zur Sorge.

Teure Ware: Patientendaten sind attraktiv

Auch die Fachredaktion der Computerzeitschrift c’t kommt zu dem Schluss, dass sogar Menschen mit rudimentären PC-Kenntnissen relativ einfach an Patientendaten kommen. Arztpraxen seien quer durch alle medizinischen Fachrichtungen in großem Stil angreifbar für Hacker. Nach einer Schätzung des NDR würden um die 8,5 Millionen Datensätze mit sensiblen Angaben zu Patienten Datenräubern schutzlos ausgeliefert sein. Auf dem Daten-Schwarzmarkt sollen allein die Daten eines einzigen Patienten mit bis zu 2000 Euro gehandelt werden. Die Käufer haben es darauf abgesehen, Zugang zu Patienten mit besonders heiklen Hintergründen aufzuspüren, die diese auf keinen Fall in der Öffentlichkeit wissen möchten, um diese dann zu erpressen. Wenn Zugangsdaten unzureichend gesichert werden, ist dies der Beginn eines Dammbruchs, bei dem Manipulationen und kriminelle Handlungen nur eine Frage der Zeit sind.

Beinahe ungeschützte IT-Umgebungen in Praxen

Prinzipiell ist es richtig, wenn Ärzte komplizierte IT-Aufgaben extern vergeben. Nur haben Recherchen von Journalisten ergeben, dass selbst die Dienstleister oft nicht über das ausreichende Wissen verfügen, das gebotene Sicherheitsniveau auch tatsächlich herzustellen. Bestes Beispiel: unzureichend sichere Passwörter. Hier schlampen etliche IT-Dienstleister offensichtlich bei der Beratung ihrer Kunden. So ließen sich im Netz zahlreiche angreifbare Praxissysteme aufspüren, deren Passwörter Profis mit genügend krimineller Energie schnell knacken können. Gerade in diesem Bereich, so das Fazit, würden Ärzte besonders leichtsinnig verfahren und sich vielfach für einfach zu merkende, aber nicht sichere Kombinationen entscheiden. Begünstigend kommt hinzu, dass seit etwa einem Jahr digital gespeicherte Patientendaten von den behandelnden Ärzten, Psychotherapeuten, der Apotheken und den Krankenkassen in einer einheitlichen Struktur im Internet abrufbar sein müssen. Im Sinne einer guten Betreuung von Patienten ist dies ein guter Weg. Allerdings vervielfacht diese Praxis das Risiko schon bei einer „undichten Stelle“ im System.

Zertifizierungen von IT-Dienstleistern könnten Abhilfe schaffen

Vor allem seit Inkrafttreten der DSGVO sind die Auftragsbücher von IT-Firmen übervoll. Das kann natürlich dazu führen, dass die Geschwindigkeit bei der Auftragsabwicklung höher priorisiert wird als die Sorgfalt. Das korreliert mit dem nicht sehr stark ausgeprägten Bewusstsein von Ärzten für die Brisanz unsicherer Patientendaten. Eine große Rolle spielt dabei auch das Vertrauen, das Ärzte in die IT-Spezialisten setzen müssen – angesichts eigener personeller Grenzen. Im guten Glauben zu sein, heißt aber noch lange nicht, wirklich sicher zu sein. Die hohe Verantwortung, die ein Arzt tagtäglich in seinem Beruf trägt, trifft nicht automatisch auf eine ebensolche auf technischer Seite. Patienten, die um das Problem wissen, fordern jetzt ein Eingreifen des Gesetzgebers. Passend dazu hat die Kassenvereinigung Niedersachsen vorgeschlagen, IT-Firmen mit Gütesiegeln oder Zertifikaten auszustatten, die Aufschluss über die Qualität der Dienstleistung hinsichtlich hoher Datenschutzstandards geben.