Ärzte als potenzielle Zielscheiben von Cyberangriffen

Geringer Passwortschutz, Nutzung des Faxgerätes sowie Versand von unverschlüsselten E-Mails machen es möglich. Wie kann ich mich vor unberechtigten Zugriffen auf Patientendaten schützen?

*verfasst am 31.10.2019 / aktualisiert am 11.10.2022

Datenschutz: Passwörter sind ein erheblicher Risikofaktor

Eine Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hat im April 2019 ergeben, dass in rund 90 Prozent der untersuchten Arztpraxen mehrere Benutzer dieselbe Zugangskennung mit sehr einfachen oder gar keinen Passwörtern verwenden.

Es gibt eine Reihe von Werkzeugen, mit denen Angreifer versuchen, ein Passwort zu überwinden. Umso einfacher das Passwort, umso größer die Gefahr, dass ein Angriff durch Dritte auf das Praxisnetzwerk erfolgreich ist. Ein starkes Passwort als Zugriffsbarriere zu den Patientendaten sollte daher in jeder Arztpraxis Pflicht sein. Bei der Wahl der richtigen Passwörter sollte Folgendes beachtet werden:

• Ein gutes Passwort sollte mindestens acht Zeichen lang sein.
• Alle verfügbaren Zeichen sollten genutzt werden, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…).
• Nicht als Passwörter geeignet sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars, Geburtsdaten.
• Das vollständige Passwort sollte möglichst nicht in Wörterbüchern vorkommen.
• Passwortwechsel nach 100 Tagen.
• Nutzung einer Zwei-Faktor-Authentifizierung für den Schutz von Patientendaten. Ein typisches Beispiel für eine Zwei-Faktor-Authentifizierung sind Smartcards: Die Karte selbst ist der physische Gegenstand, während die PIN (persönliche Identifizierungsnummer) die dazugehörige Information ist.

Datenschutz: Risikofaktor Faxgerät

Noch immer gehört der Versand von Patientenunterlagen per Faxgerät in deutschen Arztpraxen und Kliniken zum Alltag. Doch das Versenden von Befunden und anderen Patientendaten per Fax kann riskant sein. Neben einer fehlerhaften Anwahl der falschen Adresse, werden die Inhalte meist unverschlüsselt übermittelt. Darüber hinaus können Telefaxgeräte neueren Typs Fernwartungsfunktionen beinhalten, die unter bestimmten Umständen ohne Kenntnis einen Zugriff Dritter auf die im Telefaxgerät gespeicherten Daten ermöglichen.

Grundsätzlich sollte daher, wenn möglich, auf sichere Übertragungswege ausgewichen werden (z.B. verschlüsselte E-Mail, Brief). Soweit gleichwohl im Einzelfall Patientendaten gefaxt werden sollen, muss beim Versenden der Patientendaten sichergestellt sein, dass nur der Empfänger selbst oder ausdrücklich dazu ermächtigte Dritte Kenntnis vom Inhalt des Schreibens erhalten. Des Weiteren ist zu empfehlen, die vom Faxgerät angebotenen Sicherheitsmaßnahmen zu nutzen, d.h., folgende Einstellungen im Gerät vorzunehmen:

• Anzeige der störungsfreien Übertragung
• gesicherte Zwischenspeicherung
• Abruf nach Passwort
• Sperrung der Fernwartungsmöglichkeit
• Verschlüsselungsfunktion

Datenschutz: Risikofaktor E-Mails

E-Mails werden auf ihrem Weg zum Empfänger von Server zu Server geschickt und dabei zwischengespeichert. Werden sie unverschlüsselt versendet, können sie auf jedem Server von Angreifern mitgelesen werden. E-Mails können aber auch auf ihrem Weg von einem Server zu einem anderen von Kriminellen abgefangen und ihr Inhalt kann dann verfälscht werden.

Zu übermittelnde Patientendaten sollten daher durch ein hinreichend sicheres Verfahren verschlüsselt werden. Eine Verschlüsselung von E-Mails erfolgt jedoch nicht automatisch bei jeder zu versenden E-Mail, sondern bedarf einer Zusatzeinstellung. Damit die Nachricht auf dem Weg nicht gelesen oder abgehört werden kann, ist eine Ende-zu-Ende-Verschlüsselung für Arztpraxen empfehlenswert. Daneben kann eine E-Mail selbst auch schädlich sein. Vor dem Öffnen einer E-Mail sollte Folgendes bedacht werden, um eine sicheren Kommunikation mit besonders sensiblen Daten zu gewährleisten:

• Virenscanner und Firewall sollten immer auf dem neuesten Stand sein.
• Absender und Betreff sollten auf Unstimmigkeiten geprüft werden.
• Unglaubwürdige E-Mails sollten gelöscht werden.
• Links und Anhänge nur von vertrauenswürdigen Mails öffnen.

Datenschutz: Risikofaktor IT-Systeme

Laut der Kassenärztlichen Bundesvereinigung (KBV) steige die Bedrohung von IT-Systemen im Gesundheitswesen stetig an. Die schwachen Sicherheitsvorkehrungen machen Arztpraxen besonders attraktiv für Cyberattacken. 2021 warnte die KBV vor zunehmenden Hackerangriffen auf die IT in Arztpraxen, nachdem der Hersteller der Praxissoftware "Medatixx" im November 2021 Opfer einer Hackerattacke geworden war. Bei dem Angriff sind wichtige Teile des internen IT-Systems von "Medatixx" verschlüsselt worden. Im September 2021 sind in Heidelberg nach einem Hackerangriff die Computersysteme an deutschlandweit fast einem Dutzend SRH-Kliniken sicherheitshalber vom Netz genommen worden. Dies hatte zur Folge, dass ein Teil der IT-Infrastruktur einige Tage lang beeinträchtigt war. 

Solche Szenarien machen deutlich, dass Praxen ihre Sicherheitsmaßnahmen überprüfen und mit der IT-Sicherheitsrichtlinie abgleichen sollten. Diese Richtlinie enthält die wesentlichen Features und Maßnahmen zur Abwehr von Hackerangriffen und wird jährlich überprüft, ob sie noch dem Stand der Technik und Bedrohungsszenarien entspricht. 

Empfehlung zum Schutz von Patientendaten und Ausblick

Mit der zunehmenden Digitalisierung in Praxen wird auch der Aufwand für den Schutz der sensiblen Daten höher. Doch dieser lohnt sich! Denn als Folge eines Angriffs drohen finanzielle Schäden durch Betriebsunterbrechungen, Schadenersatzforderungen, weniger Patienten durch Vertrauensverlust sowie Bußgelder durch die Datenschutzbehörden. Wer die Gefahren von Cyberangriffen realistisch einschätzt und in Datenschutz und IT-Sicherheit investiert, kann sich gegen viele Angriffe wirksam schützen und die Risiken eines möglichen Angriffs minimieren. Nichts in Ihrer Praxis ist wertvoller als die Patientendaten.