Stand: 12.11.2019 18:00 Uhr

Sensible Patientendaten in Gefahr

von Jasmin Klofta, Katrin Kampling und Anne Ruprecht

Zahlreiche Arztpraxen sind nach Recherchen von NDR und "Süddeutscher Zeitung" nur ungenügend vor Hacker-Angriffen geschützt. Das geht aus einem vertraulichen Papier der Gesellschaft Gematik hervor, das Panorama 3 und der "Süddeutschen Zeitung" vorliegt. Die Gematik gehört mehrheitlich dem Bund. Dem vertraulichen Gematik-Papier zufolge haben mehr als 90 Prozent der an das neue Gesundheitsdaten-Netzwerk angeschlossenen Praxen Sicherheitsrisiken in ihrer IT-Infrastruktur.

Ein Stethoskop liegt neben einem Laptop. © dpa/picture alliance Foto: Patrick Peul

Sensible Patientendaten in Gefahr

Panorama 3 -

Zahlreiche Arztpraxen sind nur ungenügend vor Hacker-Angriffen geschützt. Das neue Gesundheitsdaten-Netzwerk soll Arztpraxen digital vernetzen, doch es zeigt erhebliche Sicherheitsrisiken auf.

3,09 bei 89 Bewertungen

Mit von 5 Sternen

bewerten

Vielen Dank.

schließen

Sie haben bereits abgestimmt.

schließen

Sie sind "parallel" an das Netz angeschlossen worden - also auf eine Art, die eine zusätzliche technische Absicherung der Praxis erfordert. Die wurde in der Regel aber nicht sichergestellt. Hacker können sich daher leicht Zugang zu den sensiblen Gesundheitsdaten von Millionen Patienten verschaffen. Dass das Problem nicht nur theoretischer Natur ist, berichten Ärzte, die auf ihren Praxis-Computern bereits Schadsoftware zum Abgreifen von Daten gefunden haben.

Ärzte sind zum Anschluss verpflichtet

Mehr als 170.000 Praxen mussten laut Bundesregierung bis Ende Juni 2019 an das neue Gesundheitsdaten-Netzwerk, die sogenannte Telematikinfrastruktur (TI), angeschlossen werden. Verweigern sich die Ärzte, wird ihr Honorar gekürzt. Das Netzwerk soll Praxen, Krankenhäuser und Apotheken miteinander verbinden und verschiedene neue Anwendungen ermöglichen, darunter auch die elektronische Patientenakte.

Dafür wurden deutschlandweit viele Praxis-Computer, auf denen sensible Patientendaten gespeichert sind, zum ersten Mal ans Internet angeschlossen. Das heißt auch: Diese Computer haben in der Regel keinen IT-Schutz wie zum Beispiel Firewalls.

Eigentlich hatte die Gematik klare Vorgaben dafür entwickelt, wie der Anschluss der Praxen zu erfolgen hat. Aber ob diese bei der Installation von den IT-Dienstleistern umgesetzt werden, überprüft die Gematik nicht, die als "Gesellschaft für Telematikanwendungen der Gesundheitskarte" 2005 von den Spitzenorganisationen des Gesundheitswesens gegründet worden war, um die Digitalisierung des Gesundheitswesens voranzutreiben.

IT-Techniker warnt seit Monaten

Bereits seit dem Frühjahr weist der nordrhein-westfälische IT-Techniker Jens Ernst auf Sicherheitsprobleme bei den Anschlüssen an das neue Netzwerk hin. Er hatte festgestellt, dass von ihm betreute Arztpraxen auch dann parallel angeschlossen wurden, wenn sie über keinen ausreichenden Schutz vor Angriffen von außerhalb verfügten, weil die Computer mit sensiblen Daten noch nie ans Internet angeschlossen waren.

Weitere Informationen

IT-Experte: "Patienten können alles verlieren"

Seit Monaten schon warnt der IT-Experte Jens Ernst vor Sicherheitsrisiken im Umgang mit Patientendaten. Immer wieder traf er auf gehackte Computer. Für ihn gibt es nur eine Konsequenz: Stecker ziehen! mehr

Immer mehr Ärzte wandten sich an ihn, in Tausenden E-Mails schilderten sie ihre Sorgen. Denn auch sie waren parallel angeschlossen worden, manche sogar mit abgeschalteten Firewalls und Virenscannern.

Mehr als 90 Prozent nicht wie vorgesehen angeschlossen

Bislang war unklar, wie viele Praxen betroffen sind. Interne Unterlagen der Gematik, die Panorama 3 und "Süddeutscher Zeitung" vorliegen, zeigen nun: Im Mai waren mehr als 90 Prozent der bereits angeschlossenen Praxen in dem als kritisch bewerteten Parallelbetrieb. Dabei hätten sie in Reihe angeschlossen werden sollen: eine Anschlussmethode, bei der der Konnektor zum Netzwerk die Praxis schützen kann. Diese Installationsart sei den Ärzten aber oft gar nicht angeboten worden, heißt es in dem Papier.

So ist es auch dem niedersächsischen HNO-Arzt Ulf Burmeister ergangen, wie er berichtet. Er habe nicht gewusst, wie seine Praxis an das neue Netz angebunden sei, erzählt Burmeister. Tatsächlich wurde Burmeisters Praxis parallel angeschlossen, ohne die dafür nötigen Sicherheitsmaßnahmen. Sein Dienstleister möchte sich auf Anfrage von NDR und "SZ" dazu nicht äußern. Mittlerweile hat Burmeister seine Praxis abgesichert.

Fraunhofer Institut: Zwei Drittel der getesteten Praxen unsicher

Bild vergrößern
"Ein Drittel war sicher und die anderen zwei Drittel waren in einem beklagenswerten Zustand", so Prof. Harald Mathis über die Sicherheit der von ihm untersuchten Arztpraxen.

Prof. Harald Mathis vom Fraunhofer Institut für Angewandte Informationstechnik FIT hat im Auftrag des Bayerischen Facharztverbands 30 parallel angeschlossene Praxen exemplarisch auf ihre Sicherheit nach dem Anschluss an das Netzwerk untersucht. "Ein Drittel war sicher und die anderen zwei Drittel waren in einem beklagenswerten Zustand", sagt er.

Diese Praxen hätten laut Mathis so nicht an das Netzwerk angeschlossen werden dürfen. Er kritisiert, dass bei der Installation vor Ort nicht sichergestellt wurde, dass Praxen am Ende über die nötigen Schutzfunktionen verfügen. Damit sei man das Risiko eingegangen, "dass mit den Daten möglicherweise auch Schindluder getrieben wird".

Erste Arztpraxen bereits gehackt

Für die Patienten können die Folgen beträchtlich sein: Praxen mit dem kritischen Parallel-Anschluss sind bereits gehackt worden. Ein betroffener Arzt berichtete NDR und "Süddeutscher Zeitung": "Ich hatte große Angst. Denn wenn Daten gestohlen wurden und das rauskommt, dann ist das mein Aus als Arzt. Es geht schnell um die eigene Existenz."

Entgegen der Datenschutzbestimmung hat der Mediziner den Angriff aus Selbstschutz daher weder den Behörden noch seinen Patienten gemeldet und will deshalb anonym bleiben. Datenschützer gehen davon aus, dass nur etwa zehn Prozent der Datenpannen und -lecks gemeldet werden.

Gesundheitsministerium sieht sich nicht in Verantwortung

Bild vergrößern
Gesundheitsminister Jens Spahn möchte mit dem "Digitale-Vorsorge-Gesetz" die Sicherheit der Arztpraxen gewährleisten.

Für den IT-Fachmann Jens Ernst ist ein Grundproblem bei der geplanten Vernetzung, dass die Dienstleister nicht durch eine staatliche Stelle zugelassen und zertifiziert werden. Er macht das Gesundheitsministerium als Initiator der Telematikinfrastruktur für die Sicherheitslücken der betroffenen Praxen verantwortlich.

Doch das Ministerium weist dies von sich. Es erklärt auf Anfrage, dass die "IT-Netze in den Praxen nicht Teil der Telematikinfrastruktur" seien. Die sichere Installation sei Aufgabe der Praxen zusammen mit den von ihnen beauftragten Dienstleistern. Die vom Bundesgesundheitsminister beauftragte Gesellschaft Gematik ergänzt, sie habe keine Vertragsbeziehung zu den Dienstleistern und könne "daher nicht direkt auf die Dienstleister Einfluss nehmen". Dabei hat die Gematik laut Gesetz die Aufgabe, die Umsetzung der Telematikinfrastruktur zu überwachen.

Mit dem "Digitale-Versorgung-Gesetz", das vergangene Woche im Bundestag beschlossen wurde, will Bundesgesundheitsminister Jens Spahn (CDU) nun nachbessern: Die Kassenärztliche Bundesvereinigung soll eine Richtlinie zur IT-Sicherheit in Praxen erarbeiten. Die soll erst ab Sommer 2020 greifen - auf den Tag genau ein Jahr nach der Anschlussfrist für die Ärzte an das neue Netzwerk.

Weitere Informationen

Von Hamburg nach Heidelberg per Mausklick

Zur Digitalisierung in der Gesundheitsbranche zählt auch die sogenannte Telemedizin. Deren Ziel ist es, Patienten und Ärzte über große Distanzen zusammen zu bringen. mehr

Über Chancen und Risiken der Telemedizin

18.08.2019 06:05 Uhr

Ein Videotelefonat mit dem Hausarzt statt langer Wartezeiten in der Praxis? Kann Telemedizin zu einer besseren Versorgung von Patienten in ländlichen Regionen beitragen? mehr

Regional Osnabrück

Anklage: Telefonanlage vom Landgericht gehackt

Regional Osnabrück

Ein Mann soll Telefonanlagen gehackt und mit umgeleiteten Anrufen Geld gemacht haben - unter anderem beim Landgericht Osnabrück. Die Staatsanwaltschaft hat Anklage erhoben. mehr

Landtag reagiert auf Datenklau bei Politikern

10.01.2019 07:30 Uhr

Der Schweriner Landtag reagiert auf den massiven Datenklau bei Politikern auch aus MV. Spezialisten des Landeskriminalamtes informieren Abgeordnete über Sicherheitsanforderungen. mehr

Dieses Thema im Programm:

Panorama 3 | 12.11.2019 | 21:15 Uhr