Deutschlands Ärzte haben ein Passwort-Problem – Zugangsdaten häufig im Darknet zu finden
Deutsche Ärzte gehen nachlässig mit Passwörtern in ihren Praxen um – und gefährden damit die Sicherheit von Patientendaten. Das ist das Ergebnis einer Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft.
Neun von zehn Ärzten verwenden demnach leicht zu erratende Passwörter wie „Behandlung“ oder den Namen des Arztes. Zudem finden sich von jeder zehnten Arztpraxis (9 Prozent) und sogar von 60 Prozent der Kliniken E-Mail- und Passwort-Kombinationen im Darknet. Trotzdem wiegen sich Ärzte beim Thema Cybergefahren in Sicherheit.
Praxen wären leichte Beute für Phishing-Attacken
In bundesweiten Tests in 25 Arztpraxen zeigten sich erhebliche Schwächen bei der organisatorischen Sicherheit. „Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte“, erklärt Computersicherheits-Experte Michael Wiesner, der die Praxis-IT im Auftrag des GDV testete. Auch bei Phishing-Attacken wären viele Praxen leichte Beute: In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte Mail, 20 Prozent klickten sogar auf einen Link oder öffneten den Anhang.
Weiteres Ergebnis: Patientendaten sind bei deutschen Kliniken und Ärzten nicht sicher aufgehoben, wie ein Test der Mailserver mit dem Analysetool Cysmo ergab: Von knapp 1.200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Stand der Technik.
Kliniken und Ärzte nutzen veraltete Mailverschlüsselungen
Alle anderen ließen eine Verschlüsselung des Mail-Verkehrs auch mit veralteten und unsicheren Standards zu. Wird eine solche Mail zwischen Sender und Empfänger abgefangen, könnte sie von Fremden gelesen werden. Bei den Kliniken verwendeten immerhin fünf Prozent den aktuellen BSI-Standard.
Die Ergebnisse der Sicherheits-Tests stehen im Gegensatz zur Selbsteinschätzung der Ärzte: Einer repräsentativen Forsa-Befragung zufolge glauben 81 Prozent der Ärzte, ihre Computersysteme seien umfassend geschützt.
Nur jeder fünfte Arzt sieht Hacker als Gefahr für eigene Praxis
Immerhin 44 Prozent der Ärzte halten das Risiko eines Cyberangriffs auf Praxen für eher hoch bis sehr hoch. Doch lediglich 17 Prozent der Mediziner sehen dieses Risiko für die eigene Praxis. Und das, obwohl beinahe jedem die Folgen einer Cyberattacke sehr bewusst sind: Acht von zehn Arztpraxen (78 Prozent) in Deutschland müssten nach eigener Ansicht ihre Arbeit einstellen oder stark einschränken, wenn die Praxis-IT lahmgelegt würde.
Branchenreport: Cyberrisiken von Ärzten und Apotheken
Ausgewählte Ergebnisse:
- 78% der Arztpraxen und 97% der Apotheken wären ohne funktionierende IT-Systeme deutlich eingeschränkt
- 80% meinen, sie wären ausreichend gegen Cyberkriminalität geschützt
- Ein Drittel der Ärzte und Apotheker plant keine weiteren Investitionen in die IT-Sicherheit
- In rund 90% der getesteten Arztpraxen nutzen mehrere Benutzer dieselbe Zugangskennung mit sehr einfachen oder gar keinen Passwörtern
- So gut wie keine Praxis oder Apotheke ist bei der Mail-Verschlüsselung auf dem neuesten Stand der Technik