Datenschutz im Gesundheitswesen mangelhaft
Fulda – Mit der Datenschutz-Grundverordnung (DSGVO) ist das Thema Datenschutz auch bei Privatpersonen in den Fokus gerückt: Niemand möchte persönliche Daten in den falschen Händen sehen. Jedoch zeigt die Vergangenheit, dass gerade in einem äußerst sensiblen und wichtigen Sektor großer Nachholbedarf besteht: Beim Datenschutz im Gesundheitswesen. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf eine kürzlich erschienene Studie zur IT-Sicherheit bei Ärzten und Apotheken des Gesamtverbands der Deutschen Versicherungswirtschaft.
E-Mails als Risikofaktor
Demnach sind vor allem mangelndes Wissen der Mitarbeiter sowie Hürden in der Umsetzung der IT-Sicherheit Ursachen für Datenskandale im Gesundheitswesen: Patientendaten werden häufig unverschlüsselt und damit für jeden einsehbar per E-Mail versendet. „Aufgrund der Unwissenheit öffnen Mitarbeiterinnen und Mitarbeiter in Praxen und Apotheken E-Mail-Anhänge von zwar unbekannten, jedoch vermeintlich unauffälligen Absendern, ohne diese vorher genau zu prüfen. Fallen diese Mitarbeiter auf solche Phishing-E-Mails herein, sind Patientendaten in Gefahr. Auch durch die fehlende Verschlüsselung ist die Gefahr sehr hoch, dass digitale Patientenakten in die Hände unbefugter Dritter gelangen“, warnt Patrycja Tulinska.
Schon mehrere Cyberangriffe auf das Gesundheitswesen waren erfolgreich
Tatsächlich hat die jüngere Vergangenheit gezeigt, dass es nicht gut um den Datenschutz im Gesundheitswesen bestellt ist. Im Juli 2019 sorgte ein Cyberangriff dafür, dass ein kompletter Verbund an Krankenhäusern und Altenpflegeeinrichtungen stillgelegt wurde. „Mithilfe eines Verschlüsselungstrojaners, so genannte Ransomware drangen Cyberkriminelle in die Netzwerke des DRK Rheinland-Pfalz ein und verschlüsselten wichtige Patientendaten. Wenngleich keine Patientendaten abgegriffen wurden, waren dennoch wichtige Daten nicht mehr verfügbar und über Wochen konnte ein normaler Krankenhaus- oder Pflegeheimalltag kaum noch stattfinden“, erinnert sich Patrycja Tulinska.
Erst vor einigen Monaten wurde bekannt, dass Millionen von Patientendaten auf öffentlichen Servern einsehbar waren. Auch mehr als 13.000 Datensätze von Patienten in Deutschland waren betroffen. Neben der Tatsache, dass die Bilder hochauflösend waren, waren sie auch mit allerlei personenbezogenen Daten versehen: Vor- und Zuname, Geburtsdatum, Untersuchungstermin sowie Behandlungs- und Arztinformationen waren zu finden. Nicht ein großes Datenleck war für diesen Vorfall verantwortlich, sondern zahlreiche ungeschützte Server im Gesundheitswesen. Weltweit fand Sicherheitsforscher Dirk Schrader mehr als 2.300 Rechner, auf denen diese Datensätze offenlagen.
IT-Sicherheit ist hoch komplex
„Unsichere Server waren der Grund für diesen Super-GAU. Dabei hätten relativ simple Sicherheitsmaßnahmen genügt, um dies verhindern zu können“, betont Tulinska. Sie erläutert: „Mit sehr einfachen Sicherheitsmaßnahmen, darunter eine Zugriffskontrolle mit Nutzernamen und sicherem Passwort oder auch die Verschlüsselung der Daten und Server, wäre es gelungen, eine Katastrophe dieses Ausmaßes zu vermeiden. Bei den offengelegten Gesundheitsdaten wurden aber selbst diese leicht umzusetzenden Maßnahmen nicht angewendet.“
Die Expertin weiß: IT-Sicherheit ist ein komplexes Thema. „Wohl auch deshalb scheuen sich viele, sich näher damit auseinanderzusetzen. Die gesetzlichen Vorgaben aus der DSGVO und dem Bundesdatenschutzgesetz können hilfreich sein, decken jedoch nicht den kompletten Alltag im Gesundheitswesen“, so Tulinska. Dennoch ist sie überzeugt: „Für einen effizienten Schutz von Patientendaten und für mehr Datenschutz im Gesundheitswesen sind keine hoch komplizierten Vorgänge notwendig. Fußt die IT-Sicherheit in einer Praxis oder einem Krankenhaus auf den Komponenten SSL-Verschlüsselung, E-Mail-Verschlüsselung und Awareness, ist bereits ein sehr hohes Maß an Sicherheit erreicht.“
SSL-Zertifikate sichern die Kommunikation zwischen Geräten und Servern ab. Die E-Mail-Verschlüsselung mittels S/MIME-Zertifikaten macht die Kommunikation zwischen zwei Parteien von außen uneinsehbar und schützt Nachrichten sowie Anhänge vor Manipulationen. Dennoch: IT-Sicherheit kann – allen technischen Vorkehrungen zum Trotz – immer nur so gut sein, wie der Mensch, der die IT benutzt.
Quelle: PSW GROUP GmbH & Co. KG