Stand: 09.02.2020 18:00 Uhr

Millionen Patientendaten in Praxen kaum gesichert

von Holger Bock und Björn Siebke

Ein ganz normaler Tag in einer Hausarztpraxis in Hannover: Das Wartezimmer ist voll: Husten, laufende Nasen, rote Augen. Was kaum einer im Wartezimmer ahnt: Jederzeit könnten Hacker die Arztpraxis angreifen, denn die Tür zu den sensiblen Patientendaten ist - im übertragenen Sinn - nur angelehnt. Berichte, sei es über Geschlechtskrankheiten, Depressionen oder Krebsdiagnosen, sind nach Informationen des NDR in Niedersachsen kaum geschützt vor Hackerangriffen.

Angreifbare Arztnetzwerke für Laien auffindbar

Ronald Eikenberg von der Computerzeitschrift c't mit Verlagssitz in Hannover spürt schlecht geschützten Praxis-Systemen auf. Eine spezielle, aber frei im Netz verfügbare Suchmaschine hilft, ans Internet angebundene Praxisrechner zu entdecken. Einige Sekunden später ploppen Hunderte rote Punkte auf. Hinter jedem Punkt verbergen sich ein oder mehrere angreifbare Netzwerke.

Videos
Jemand arbeitet an einem Computer.
5 Min

Patientendaten in Arztpraxen kaum geschützt

Eine Arztpraxis in Celle hat 20.000 sensible Datensätze ungeschützt ins Netz gestellt. Bundesweit könnte das bei Zehntausenden Praxen der Fall sein, schätzt ein IT-Experte. 5 Min

2.000 Euro für Patientendatensatz im Darknet

Mit einem automatisierten Angriff sei es kinderleicht, diese Passwörter zu knacken, sagt Eikenberg. Oft würden Ärzte Standardpasswörter verwenden, wie: Praxis123 oder Kennwort1 - dies zu knacken sei für Hacker kein Problem. Und die Daten bedeuteten für Hacker bares Geld, pro Datensatz gibt es bis zu 2.000 Euro. Der Handel mit den sensiblen Daten ist auf dem digitalen Schwarzmarkt zu einem lukrativen Geschäft geworden. "Man kann damit definitiv reich werden", sagt Eikenberg. Das sei zwar höchst illegal, aber es gebe genug Leute mit krimineller Energie, die das nicht störe.

Kriminelle erpressen Patienten mit gestohlenen Daten

Ob einschüchtern oder erpressen - der kriminellen Phantasie seien kaum Grenzen gesetzt, sagt Eikenberg. Die Daten würden zum Beispiel genutzt, um Personen gezielt zu attackieren oder zu erpressen. Mit dem steigenden Alter der Daten würden die dann dazu verwendet, andere, weniger sensible Zugangsdaten abzugreifen oder gezielt Werbemails zu verschicken. Dieses letzte Stück der kriminellen Verwertungskette könne durchaus erst Jahre später passieren.

Ärzte sind EDV-Dienstleistern ausgeliefert

Patienten wie Torsten Sauer ahnen selten, wie angreifbar ihr Hausarzt geworden ist. Sie gehen zum Arzt in dem festen Glauben, dass die ärztliche Schweigepflicht auch im Digitalen funktioniert. "Da kommt ja niemand morgens in die Praxis und sagt, oh ist hier alles in Ordnung mit meinem Datenschutz?", sagt Sauer, das werde als selbstverständlich empfunden. Doch selbstverständlich ist der Schutz vor dem Diebstahl von Krankenakten keineswegs. Der hausärztliche Internist Dr. Christian Scholber aus Hannover sagt, er sei als Arzt seinen IT-Spezialisten ausgeliefert. Und bei der Betreuung der EDV-Systeme liege vieles im Argen.

Kein Siegel oder Zertifikat für EDV-Firmen

Woher weiß ein Arzt, dass die EDV-Firma sich wirklich mit dem Schutz sensibler Daten auskennt und vertrauenswürdig ist? Ein Siegel oder Zertifikat gibt es nicht. Doch solch ein Zertifikat würde Ärzten durchaus helfen, sagt Mark Barjenbruch von der Kassenärztlichen Vereinigung Niedersachsen. "Vergleichen sie es mit dem Auto. Wenn ich mein TÜV-Siegel habe, gehe ich als Fahrer und Besitzer des Autos davon aus, dass es den technischen Anforderungen entspricht." Der Kassenverbands-Chef sieht aber derzeit keinen Grund, unangemeldete Kontrollen in den Praxen einzuführen. Genau das fordert aber IT-Experte Eikenberg. Er verstehe nicht, warum Hygiene strenger kontrolliert werde als Datensicherheit.

Datenschutzbeauftragte fordert Nachbesserung

Als die elektronische Gesundheitskarte eingeführt wurde, habe die Politik versäumt, auch auf die Datensicherheit in den Arztpraxen zu achten, sagt Niedersachsens Landesbeauftragte für den Datenschutz, Barbara Thiel. Darum müsse nun nachgebessert werden. Ärzte sollten verpflichtet werden, sich die Sicherheit der Patientendaten bestätigen zu lassen. Die Politik sei gefordert, so Thiel.

Zur Honorarabrechnungen müssen Ärzte ins Internet

Doch wann das TÜV-Siegel oder Zertifikat für Datensicherheit in Arztpraxen kommen wird, ist vollkommen offen. Geschweige denn, wann es von wem die ersten Kontrollen geben wird. Zwar sind die Ärzte seit einem Jahr verpflichtet, ihre Praxis-EDV mit dem Internet zu verbinden, um ihre Honorare abrechnen zu können. Doch einheitliche Richtlinien, wie der Schutz vor Datendiebstahl technisch konkret aussehen muss, gibt es immer noch nicht.

8,5 Millionen Patientendatensätze akut bedroht

Und so lange ist die digitale Tür zu den Krankenakten einer Arztpraxis bestenfalls angelehnt - aber keinesfalls verschlossen. Computer-Experte Eikenberg ist sich sicher: "Man kann davon ausgehen, dass die Zahl der Praxen, die auf die eine oder andere Weise angreifbar oder unsicher konfiguriert ist, vermutlich in die Zehntausende geht." Bei durchschnittlich 850 Patienten, die pro Quartal einen Arzt aufsuchen, wären mehr als 8,5 Millionen Patientendatensätze deutschlandweit akut vom Diebstahl bedroht.

Weitere Informationen
Ein Stethoskop liegt neben einem Laptop. © dpa/picture alliance Foto: Patrick Peul

Sensible Patientendaten in Gefahr

Zahlreiche Arztpraxen sind nur ungenügend vor Hacker-Angriffen geschützt. Ein neues Gesundheitsdaten-Netzwerk soll Arztpraxen digital vernetzen, es zeigt aber erhebliche Sicherheitsrisiken auf. mehr

Jens Ernst

IT-Experte: "Patienten können alles verlieren"

Seit Monaten schon warnt der IT-Experte Jens Ernst vor Sicherheitsrisiken im Umgang mit Patientendaten. Immer wieder traf er auf gehackte Computer. Für ihn gibt es nur eine Konsequenz: Stecker ziehen! mehr

Dieses Thema im Programm:

Hallo Niedersachsen | 09.02.2020 | 19:00 Uhr

Mehr Nachrichten aus Niedersachsen

Die 84-jährige Karin Sievers wird im Hospital zum Heiligen Geist mit der zweiten Corona-Impfung geimpft. In dem Alten- und Pflegeheim in Poppenbüttel waren am 27. Dezember 2020 die ersten Bewohner und Mitarbeiter in Hamburg gegen das Virus geimpft worden. © picture alliance / dpa Foto: Axel Heimken

Corona-Impfungen: Ab Donnerstag startet Terminvergabe

Donnerstag startet die Terminvergabe für über 80-Jährige in Niedersachsen. Doch es droht chaotisch zu werden. mehr

Zwei symbolische Darstellungen des Coronavirus in unterschiedlichen Farben. © imago images / Alexander Limbach Foto: Alexander Limbach

Corona-Mutation: Mehr als ein Dutzend Nachweise landesweit

In Niedersachsen sind zahlreiche neue Fälle mit dem mutierten Corona-Virus bekannt geworden. Ein Hotspot ist Göttingen. mehr

von links: Jaka Bijol (H96), Marcel Franke (H96), Philipp Hofmann (KSC), Kingsley Schindler (H96) © picture alliance / GES/Markus Gilliar Foto: Markus Gilliar

Konstanz bei Hannover 96? Auf und nieder immer wieder

Die "Roten" kommen weiter nicht in Fahrt: Auf den Sieg in Nürnberg folgte am Mittwochabend eine unglückliche Niederlage in Karlsruhe. mehr

Der Angeklagte Ahmad A. verdeckt im Oberlandesgericht Celle sein Gesicht mit der Kapuze seines Pullovers. © dpa-Bildfunk Foto: Ole Spata

IS-Prozess: "Abu Walaa" drohen elfeinhalb Jahre Haft

Die Bundesanwaltschaft hat am Mittwoch in dem Verfahren in Celle plädiert. Angeklagt ist der mutmaßliche Deutschland-Chef des IS. mehr