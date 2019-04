Daten von Patient:innen werden in Deutschland meist nur unzureichend von Ärzt:innen geschützt. Vielfach seien Zugangsdaten sogar im Darknet einsehbar. Zu diesem Ergebnis kommt eine Studie zur IT-Sicherheit im Gesundheitssektor, die vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) in Auftrag gegeben wurde.

Demnach verwendet ein Großteil der Ärzt:innen – 22 von 25 untersuchte Praxen – sehr einfach zu erratende Passwörter. Besonders beliebt sollen etwa „Behandlung“, der Name des Arztes oder einfach gar kein Passwort sein. Außerdem konnten in vielen Fällen entsprechende E-Mail- und Passwort-Kombinationen im Darknet gefunden werden – bei Ärzt:innen in neun Prozent und bei Kliniken sogar in 60 Prozent der untersuchten Fälle.

Trotz dieser Datenschutzprobleme wiegen sich die meisten Ärzt:innen in Sicherheit. Denn laut einer Forsa-Umfrage, die der GDV zitiert, glauben 81 Prozent der Ärzt:innen, dass ihre Computer umfassend geschützt seien. Nur 17 Prozent der Ärzt:innen sehen ein Risiko für die eigene Praxis, obwohl sie sich des Risikos von Cyberangriffen in ihrer Branche bewusst sind.

Gesundheitssektor hat ein Problem mit Datenschutz

Die Untersuchung des GDV zeigt, dass der Gesundheitssektor ein strukturelles Problem mit IT-Sicherheit und dem Schutz von sensiblen Daten hat. Das bestätigen zahlreiche Beispiele aus der Vergangenheit. So infizierte 2016 Ransomware die IT eines Krankenhauses in Neuss, nachdem ein Mitarbeiter unbedacht einen Mail-Anhang geöffnet haben soll. Das Krankenhaus war über Stunden nur bedingt funktionsfähig und Operationen mussten verschoben werden. Patient:innendaten sollen jedoch nicht direkt betroffen gewesen sein, da diese verschlüsselt gespeichert gewesen wären.

Oder in Baden-Württemberg: Hier sind sensible Daten auf dem Weg vom Serverraum zum Tresor verloren gegangen, weil ein Mitarbeiter die Speichermedien bei einer Raucherpause vergessen hatte. Der Verbleib der insgesamt rund 300.000 teils sensiblen Datensätze war unklar.

Neben solchen Pannen, die durch einzelne Personen verursacht wurden, gibt es jedoch auch organisationelle Probleme, die zu Datenpannen im Krankenhaus führen. In Portugal wurde eine hohe Geldstrafe gegen ein Krankenhaus verhängt, weil dort neben Ärzt:innen auch unberechtigte Personen Zugriff auf Patient:innendaten hatten. Zudem hatte es dort mehr Benutzer:innen gegeben, die als Ärzt:innen registriert waren, als tatsächlich angestellte Ärzt:innen.

Das Ärzteblatt berichtete von 3.600 Dokumenten mit hochsensiblen Daten von Patient:innen mit psychischen Krankheiten, die frei im Internet zugänglich waren. Das Datenleck soll durch eine „Kombination von schwerwiegenden organisatorischen Mängeln“ entstanden sein, die durch unklare Arbeitsverhältnisse und Verantwortlichkeiten zwischen mehreren Einrichtungen sowie fehlende Dokumente und Qualitätskontrollen zustande gekommen sein sollen.

Datenpannen sind strukturelles Problem

Damit scheint sich insgesamt ein strukturelles Problem im Datenschutz und der IT-Sicherheit des Gesundheitssektor abzubilden. Die vielen Beispiele zeigen, dass es sich längst nicht mehr nur um Einzelfälle handelt, in denen Ärzt:innen und Kliniken leichtfertig mit sensiblen Daten der Patient:innen umgehen.

Denn immer wieder warnen Fachleute davor, dass die IT-Sicherheit in Krankenhäusern vernachlässigt werde, obwohl sie maßgeblich für die Versorgung der Bevölkerung sind. Auch deswegen stuft das Bundesamt für Sicherheit in der Informationstechnik Krankenhäuser als Kritische Infrastruktur (KRITIS) ein. Besonders deren Abhängigkeit von der IT ist mit Risiken mit die Gesundheitsversorgung und damit der öffentlichen Sicherheit verbunden – etwa wenn Hacker:innen die IT-Infrastruktur von Krankenhäusern lahmlegen und so Menschenleben gefährden. Das muss sich dringend ändern, denn laut der Studie des GDV benutzen nur die wenigsten Praxen die aktuellen Standards, die das BSI empfiehlt.