Datenschutz im Gesundheitswesen: Verschlüsselung mangelhaft

Um den Datenschutz im Gesundheitswesen ist es schlecht bestellt: Eine Studie zeigt, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern sind. Hinzu kommt die Tatsache, dass viele auf Verschlüsselung verzichten – fatal, wenn es um medizinische Daten geht.

Gesundheitswesen: Illusion IT-Sicherheit und Datenschutz im Gesundheitswesen

„Deutschlands Ärzte haben ein Passwort-Problem“ – so betitelt der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) einen Beitrag zur kürzlich durchgeführten Studie zur IT-Sicherheit bei Ärzten und Apotheken. Die sensiblen Daten der Patientinnen und Patienten sind nicht ausreichend geschützt:

Neun von zehn Ärzten setzen laut Studie auf einfach zu erratende Passwörter. Gerne werde der Name des Arztes verwendet oder aber Wörter wie „Behandlung“. In 9 Prozent aller Arztpraxen sowie 60 Prozent der Kliniken würden Login- und Passwort-Kombinationen genutzt, die von Kriminellen im Darknet angeboten werden.

Als Experte für Computersicherheit und als Mitglied des CCC, der mit dem Test der Praxis-IT vom GDV beauftragt wurde, erklärt Michael Wiesner: „Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte.“

Das Thema Datenschutz im Gesundheitswesen muss mit seinen organisatorischen und technischen Maßnahmen richtig angegangen werden. So gefährden Praxen und Kliniken den Datenschutz zusätzlich durch das interne Teilen von Zugängen.

Mangelhafte Mailverschlüsselung führt zu geringem Patientendatenschutz

Noch schlimmer als beim Passwortschutz sieht es bei der Verschlüsselung personenbezogener Daten aus: Knapp 1.200 niedergelassene Ärzte wurden im Rahmen der Studie untersucht. Lediglich fünf von ihnen, also 0,4 Prozent, folgen den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und nutzen E-Mail-Zertifikate.

Nicht zuletzt gesetzliche Anforderungen sind es, die die unverschlüsselte Datenübertragung solcher sensiblen Daten eigentlich verbieten. Die Datenschutz-Grundverordnung (EU-DSGVO) verpflichtet zum Schutz sensibler Daten, um den Datenschutz im Gesundheitswesen zu gewähren; darüber berichteten wir bereits im Januar 2018.

Datenschutz und Datensicherheit sind nicht gewährleistet, wenn sensible Daten unverschlüsselt auf die Reise gehen. Es besteht die Gefahr, dass die Daten in die Hände unbefugter Dritter geraten, womit eine Verletzung der ärztlichen Schweigepflicht einhergeht. Auch die Bundesärztekammer weist in ihren „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ (PDF) darauf hin, E-Mails mit hinreichend sicheren Verfahren zu verschlüsseln.

Phishing-Mails: Die Backdoor zu Patientendaten

Der Gesundheitssektor wird zusätzlich durch das Risiko von Phishing-Mails gefährdet: Der Test zeigte, dass in jeder zweiten Praxis die Mitarbeiter potenziell schadhafte E-Mails öffneten. Es klickten sogar 20 Prozent auf Links oder öffneten die Anhänge.

Die Gründe für ein solches Verhalten lassen sich wohl auf zwei Hauptgründe zurückführen: Unwissenheit sowie ein falsches Sicherheitsempfinden. Meist sind die Mitarbeiter nicht geschult im Bereich IT-Sicherheit und erkennen keine Phishing-Mails. Wie sollte man solche Gefahren erkennen, wenn man die eigenen Systeme für sicher hält? Eine Forsa-Umfrage zeigte nämlich, dass 81 Prozent aller Ärzte glauben, die eigenen Computersysteme seien umfassend geschützt.

Fazit zu der IT-Sicherheit im Gesundheitswesen: E-Mails verschlüsseln und Personal schulen

Es wäre der Sicherheit von sensiblen Patientendaten sehr zuträglich, wenn Ärzte, Kliniken und Apotheken die Sicherheit ihrer Systeme realistischer einschätzen könnten. Dabei können die drei folgenden Punkte die Sicherheit in Arztpraxen schon immens erhöhen:

• Passwörter: Entscheiden Sie sich für sichere Passwörter – und geben Sie diese niemals weiter. Weder intern noch extern. Wie Sie sichere Passwörter generieren, erfahren Sie in unserem Beitrag „Sichere Passwörter wählen, besser merken und verschlüsselt notieren”.
• Verschlüsselung: Die Kommunikation in der Praxis wird idealerweise mit E-Mail-Zertifikaten abgesichert. So erfüllen Praxen auch einen Teil der gesetzlichen Anforderungen.
• Schulungen: Die besten Passwörter und die sicherste Verschlüsselung nützen wenig, wenn das Personal dennoch auf Phishing-Links klickt. Die Schulung und Sensibilisierung von Mitarbeitern ist ein sehr wichtiger Schritt zur IT-Sicherheit.

Haben Sie Fragen zur IT-Sicherheit Ihrer Praxis? Oder haben Sie bereits Erfahrung mit ungenügender IT-Sicherheit bei Ihrem Arzt? Kommen Sie mit uns ins Gespräch – in den Kommentaren unter diesem Beitrag oder per Kontaktformular.