Millionen Patientendaten in Praxen kaum gesichert
Ein ganz normaler Tag in einer Hausarztpraxis in Hannover: Das Wartezimmer ist voll: Husten, laufende Nasen, rote Augen. Was kaum einer im Wartezimmer ahnt: Jederzeit könnten Hacker die Arztpraxis angreifen, denn die Tür zu den sensiblen Patientendaten ist - im übertragenen Sinn - nur angelehnt. Berichte, sei es über Geschlechtskrankheiten, Depressionen oder Krebsdiagnosen, sind nach Informationen des NDR in Niedersachsen kaum geschützt vor Hackerangriffen.
Angreifbare Arztnetzwerke für Laien auffindbar
Ronald Eikenberg von der Computerzeitschrift c't mit Verlagssitz in Hannover spürt schlecht geschützten Praxis-Systemen auf. Eine spezielle, aber frei im Netz verfügbare Suchmaschine hilft, ans Internet angebundene Praxisrechner zu entdecken. Einige Sekunden später ploppen Hunderte rote Punkte auf. Hinter jedem Punkt verbergen sich ein oder mehrere angreifbare Netzwerke.
2.000 Euro für Patientendatensatz im Darknet
Mit einem automatisierten Angriff sei es kinderleicht, diese Passwörter zu knacken, sagt Eikenberg. Oft würden Ärzte Standardpasswörter verwenden, wie: Praxis123 oder Kennwort1 - dies zu knacken sei für Hacker kein Problem. Und die Daten bedeuteten für Hacker bares Geld, pro Datensatz gibt es bis zu 2.000 Euro. Der Handel mit den sensiblen Daten ist auf dem digitalen Schwarzmarkt zu einem lukrativen Geschäft geworden. "Man kann damit definitiv reich werden", sagt Eikenberg. Das sei zwar höchst illegal, aber es gebe genug Leute mit krimineller Energie, die das nicht störe.
Kriminelle erpressen Patienten mit gestohlenen Daten
Ob einschüchtern oder erpressen - der kriminellen Phantasie seien kaum Grenzen gesetzt, sagt Eikenberg. Die Daten würden zum Beispiel genutzt, um Personen gezielt zu attackieren oder zu erpressen. Mit dem steigenden Alter der Daten würden die dann dazu verwendet, andere, weniger sensible Zugangsdaten abzugreifen oder gezielt Werbemails zu verschicken. Dieses letzte Stück der kriminellen Verwertungskette könne durchaus erst Jahre später passieren.
Ärzte sind EDV-Dienstleistern ausgeliefert
Patienten wie Torsten Sauer ahnen selten, wie angreifbar ihr Hausarzt geworden ist. Sie gehen zum Arzt in dem festen Glauben, dass die ärztliche Schweigepflicht auch im Digitalen funktioniert. "Da kommt ja niemand morgens in die Praxis und sagt, oh ist hier alles in Ordnung mit meinem Datenschutz?", sagt Sauer, das werde als selbstverständlich empfunden. Doch selbstverständlich ist der Schutz vor dem Diebstahl von Krankenakten keineswegs. Der hausärztliche Internist Dr. Christian Scholber aus Hannover sagt, er sei als Arzt seinen IT-Spezialisten ausgeliefert. Und bei der Betreuung der EDV-Systeme liege vieles im Argen.
Kein Siegel oder Zertifikat für EDV-Firmen
Woher weiß ein Arzt, dass die EDV-Firma sich wirklich mit dem Schutz sensibler Daten auskennt und vertrauenswürdig ist? Ein Siegel oder Zertifikat gibt es nicht. Doch solch ein Zertifikat würde Ärzten durchaus helfen, sagt Mark Barjenbruch von der Kassenärztlichen Vereinigung Niedersachsen. "Vergleichen sie es mit dem Auto. Wenn ich mein TÜV-Siegel habe, gehe ich als Fahrer und Besitzer des Autos davon aus, dass es den technischen Anforderungen entspricht." Der Kassenverbands-Chef sieht aber derzeit keinen Grund, unangemeldete Kontrollen in den Praxen einzuführen. Genau das fordert aber IT-Experte Eikenberg. Er verstehe nicht, warum Hygiene strenger kontrolliert werde als Datensicherheit.
Datenschutzbeauftragte fordert Nachbesserung
Als die elektronische Gesundheitskarte eingeführt wurde, habe die Politik versäumt, auch auf die Datensicherheit in den Arztpraxen zu achten, sagt Niedersachsens Landesbeauftragte für den Datenschutz, Barbara Thiel. Darum müsse nun nachgebessert werden. Ärzte sollten verpflichtet werden, sich die Sicherheit der Patientendaten bestätigen zu lassen. Die Politik sei gefordert, so Thiel.
Zur Honorarabrechnungen müssen Ärzte ins Internet
Doch wann das TÜV-Siegel oder Zertifikat für Datensicherheit in Arztpraxen kommen wird, ist vollkommen offen. Geschweige denn, wann es von wem die ersten Kontrollen geben wird. Zwar sind die Ärzte seit einem Jahr verpflichtet, ihre Praxis-EDV mit dem Internet zu verbinden, um ihre Honorare abrechnen zu können. Doch einheitliche Richtlinien, wie der Schutz vor Datendiebstahl technisch konkret aussehen muss, gibt es immer noch nicht.
8,5 Millionen Patientendatensätze akut bedroht
Und so lange ist die digitale Tür zu den Krankenakten einer Arztpraxis bestenfalls angelehnt - aber keinesfalls verschlossen. Computer-Experte Eikenberg ist sich sicher: "Man kann davon ausgehen, dass die Zahl der Praxen, die auf die eine oder andere Weise angreifbar oder unsicher konfiguriert ist, vermutlich in die Zehntausende geht." Bei durchschnittlich 850 Patienten, die pro Quartal einen Arzt aufsuchen, wären mehr als 8,5 Millionen Patientendatensätze deutschlandweit akut vom Diebstahl bedroht.
