Viele Arztpraxen scheinen das Risiko eines Hackerangriffs schlicht zu unterschätzen. Einfache oder sogar fehlende Passwörter ermöglichen den Zugriff auf sämtliche Patienten-Akten. Bei Verbindung zum Internet könnte dies sogar von jedem beliebigen Standort erfolgen.
Inhalt
Den Hackern wird es oft viel zu leicht gemacht
Ihre Gesundheit mag beim Arzt Ihres Vertrauens in guten Händen liegen. Wie sieht es aber mit Ihren in der Arztpraxis hinterlegten persönlichen Daten aus? Letztendlich sind in den Unterlagen nicht nur einfache Datensätze wie Name, Anschrift und Geburtsdatum hinterlegt, sondern auch teils eine ganze Historie von Gesundheits- bzw. Krankheitsdaten. Ist die in aller Regel intern vernetzte EDV auch noch mit dem Internet verbunden, dann stehen die Tore den neugierigen Blicken von Außen teils sperrangelweit offen.
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) beauftragte den IT-Sicherheitsexperten Michael Wiesner zu einer Art Stichprobe in bundesweit verteilten 25 Arztpraxen. Wiesner ist u.a. tätig für die Umsetzung von gesteckten Zielen bei der IT-Sicherheit mittelständischer Unternehmen.
Ein Testverfahren des IT-Experten war denkbar einfach. Das knacken von Passwörtern der in den Arztpraxen verwendeten Verwaltungssoftware und dies auf die einfachste Weise durch Probieren. In einer Zahnarztpraxis dauerte diese quasi menschliche Brute Force Attacke lediglich rund fünf Minuten und das richtige Passwort wurde einfach erraten. Wiesner hätte von nun an den vollständigen Zugriff auf sämtliche hinterlegten Daten aller Patienten sowie das Umfeld des Geschäftsbereichs. Ein Hacker könnte nun die Daten entwenden und missbrauchen, diese einfach löschen oder auch verschlüsseln, um damit den Praxisinhaber um eine Wunschsumme zu erpressen. Welches Szenario auch immer, der Schaden wäre enorm. „Es wäre existenzbedrohend, würde ein Krimineller an diese Daten kommen“, so eine vom GDV zitierte betroffene Medizinerin aus Köln.
Michael Wiesner ist jedoch ein Hacker mit dem sog. „Weißen Hut“ und er sieht seine Aufgabe darin, durch Hacken auf vorliegende Schwachstellen zu treffen und diese im Sinne seiner Kunden abzuschotten. Die im Beispiel gefundene Schwachstelle ist bei Arztpraxen jedoch keine Seltenheit. „Um eine Praxis zu hacken, muss man gar nicht der Super-Hacker sein. Kreativität und Dreistigkeit reichen schon aus“, so Wiesner. Wiederholt ist die größte Schwachstelle das vergebene Passwort. Gängige Passwörter seien der Praxisname, der Name der Arztsoftware und Behandlungen.
Angesichts der äußerst sensiblen Daten stehen die lockeren Schutzvorkehrungen im extremen Widerspruch. Ärzte zählten zu einer gut erpressbaren Berufsgruppe, da die Veröffentlichung eines derartigen Sicherheitsrisikos ein enormer Imageschaden bedeutete.
Ärzte diagnostizieren sich selbst Immunität gegen Hacker-Angriffe
Nur ein geringer Anteil der Ärzte sorgt sich um das Risiko, Opfer eines Hackerangriffs zu werden. Ca. 80 Prozent der Ärzte schätzen dieses Risiko als eher gering oder gering ein, so das Ergebnis einer vom GDV beauftragten Forsa-Umfrage. Viele Verantwortliche in einer Arztpraxis gehen von einem vermeintlich geschützten IT-System aus. Die Erfahrungen des IT-Experten Wiesner sind jedoch andere. Stress und Hektik seien Alltag in den Arztpraxen. Deshalb stellte ein kompliziertes Passwort oft eine weitere Hürde im Alltagsstress dar. In der Regel werde deshalb auf „Einfachheit“ zurückgegriffen. Einige Arztpraxen würden sogar vollständig auf ein Passwort verzichten. Sollte dann der Server dazu mit dem Internet verbunden sein und dies auch noch ohne eine Firewall, dann kann jeder online auf die Praxis-Daten zugreifen. Ein gar nicht so seltener Fall, so Wiesner.
Jetzt die Tarife der einzelnen Mobilfunk-Sparten vergleichen:
Internet und Telefonie als Festanschluss - DSL-Tarife
