IT-Security

Datenschutz im Gesundheitswesen: Verschlüsselung mangelhaft

18. Juni 2019 von Bianca Wellbrock

datenschutz-im-gesundheitswesen
© Jonas Glaubitz - Adobe Stock

Um den Datenschutz im Gesundheitswesen ist es schlecht bestellt: Eine Studie zeigt, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern sind. Hinzu kommt die Tatsache, dass viele auf Verschlüsselung verzichten – fatal, wenn es um medizinische Daten geht.

Illusion IT-Sicherheit und Datenschutz im Gesundheitswesen

“Deutschlands Ärzte haben ein Passwort-Problem” – so betitelt der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) einen Beitrag zur kürzlich durchgeführten Studie zur IT-Sicherheit bei Ärzten und Apotheken. Die sensiblen Daten der Patientinnen und Patienten sind nicht ausreichend geschützt:

Neun von zehn Ärzten setzen laut Studie auf einfach zu erratende Passwörter. Gerne werde der Name des Arztes verwendet oder aber Wörter wie “Behandlung”. In 9 Prozent aller Arztpraxen sowie 60 Prozent der Kliniken würden Login- und Passwort-Kombinationen genutzt, die von Kriminellen im Darknet angeboten werden.

Als Experte für Computersicherheit und als Mitglied des CCC, der mit dem Test der Praxis-IT vom GDV beauftragt wurde, erklärt Michael Wiesner: “Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte.”

Das Thema Datenschutz im Gesundheitswesen muss mit seinen organisatorischen und technischen Maßnahmen richtig angegangen werden. So gefährden Praxen und Kliniken den Datenschutz zusätzlich durch das interne Teilen von Zugängen.

Mangelhafte Mailverschlüsselung führt zu geringem Patientendatenschutz

Noch schlimmer als beim Passwortschutz sieht es bei der Verschlüsselung personenbezogener Daten aus: Knapp 1.200 niedergelassene Ärzte wurden im Rahmen der Studie untersucht. Lediglich fünf von ihnen, also 0,4 Prozent, folgen den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und nutzen E-Mail-Zertifikate.

Nicht zuletzt gesetzliche Anforderungen sind es, die die unverschlüsselte Datenübertragung solch sensibler Daten eigentlich verbieten. Die Datenschutz-Grundverordnung (EU-DSGVO) verpflichtet zum Schutz sensibler Daten, um den Datenschutz im Gesundheitswesen zu gewähren; darüber berichteten wir bereits im Januar 2018.

Datenschutz und Datensicherheit sind nicht gewährleistet, wenn sensible Daten unverschlüsselt auf die Reise gehen. Es besteht die Gefahr, dass die Daten in die Hände unbefugter Dritter geraten, womit eine Verletzung der ärztlichen Schweigepflicht einhergeht. Auch die Bundesärztekammer weist in ihren “Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis” (PDF) darauf hin, E-Mails mit hinreichend sicheren Verfahren zu verschlüsseln.

Phishing-Mails: Die Backdoor zu Patientendaten

Der Gesundheitssektor wird zusätzlich durch das Risiko von Phishing-Mails gefährdet: Der Test zeigte, dass in jeder zweiten Praxis die Mitarbeiter potenziell schadhafte E-Mails öffneten. Es klickten sogar 20 Prozent auf Links oder öffneten die Anhänge.

Die Gründe für ein solches Verhalten lassen sich wohl auf zwei Hauptgründe zurückführen: Unwissenheit sowie ein falsches Sicherheitsempfinden. Meist sind die Mitarbeiter nicht geschult im Bereich IT-Sicherheit und erkennen keine Phishing-Mails. Wie sollte man solche Gefahren erkennen, wenn man die eigenen Systeme für sicher hält? Eine Forsa-Umfrage zeigte nämlich, dass 81 Prozent aller Ärzte glauben, die eigenen Computersysteme seien umfassend geschützt.

Fazit: E-Mails verschlüsseln und Personal schulen

Es wäre der Sicherheit von sensiblen Patientendaten sehr zuträglich, wenn Ärzte, Kliniken und Apotheken die Sicherheit ihrer Systeme realistischer einschätzen könnten. Dabei können die drei folgenden Punkte die Sicherheit in Arztpraxen schon immens erhöhen:

Haben Sie Fragen zur IT-Sicherheit Ihrer Praxis? Oder haben Sie bereits Erfahrung mit ungenügender IT-Sicherheit bei Ihrem Arzt? Kommen Sie mit uns ins Gespräch – in den Kommentaren unter diesem Beitrag oder per Kontaktformular.

Wie hat Ihnen dieser Artikel gefallen?

Average rating / 5. Vote count:



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu