Millionen Patientendaten im Darknet – viele Praxen unzureichend geschützt

Wie Recherchen des IT-Journalisten Ronald Eikenberg des Magazins c’t kürzlich zeigten, sind digitale Krankenakten mehrere Millionen von Patienten kaum vor Hackerangriffen geschützt. Durch die Verwendung einer frei im Netz verfügbaren Suchmaschine können Sicherheitslücken aktiv bei Praxisrechnern entdeckt werden, solange diese mit dem Internet verbunden sind. Wie die ARD berichtet, sei es laut Eikenberg sehr leicht möglich, durch einen automatisierten Angriff an die Passwörter der in der Suchmaschine angezeigten Praxen zu gelangen. Die verwendeten Anmeldeinformationen sind häufig sehr einfach gewählt, Beispiele sind hier Praxis123 oder Kennwort1. Im Darknet können Hacker diese unkompliziert verkaufen – pro Datensatz lassen sich hier bis zu 2.000 Euro verdienen.

Forderung nach einem TÜV-Siegel für den Datenschutz
Viele Ärzte verlassen sich beim Thema Datenschutz auf ihre EDV-Dienstleister und handeln nicht aktiv fahrlässig. Laut ARD und c’t fordert nun Mark Barjenbruch von der Kassenärztlichen Vereinigung Niedersachsen ein einheitliches Siegel für EDV-Unternehmen, das erkennen lässt, ob das Unternehmen tatsächlich gut aufgestellt ist und alle erforderlichen Maßnahmen bietet, die für den Datenschutz und die Datensicherheit erforderlich sind. Auch laut Barbara Thiel, der obersten Datenschützerin Niedersachsens, muss hier zwingend nachgebessert werden, indem Ärzte dazu verpflichtet werden sollen, sich die Sicherheit ihrer Patientendaten bestätigen zu lassen.

Zahl der gefährdeten Patientendatensätze geht in die Millionen
Insgesamt sind vermutlich Millionen von Patientendatensätzen deutschlandweit aktuell gefährdet – wie hoch die Zahl tatsächlich ist, lässt sich nur schätzen. Und das ist sehr beunruhigend. Trotzdem überraschen die Fakten, dass vor allem der Datenschutz in vielen Arztpraxen verbesserungswürdig ist, nicht wirklich. Bereits eine Studie aus dem April letzten Jahres hat gezeigt, dass hier Nachholbedarf herrscht. Die Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft fand heraus, dass sich in 22 von 25 befragten Praxen mehrere Benutzer die gleiche Zugangserkennung teilten. Die gleiche Anzahl der Betriebe nutze sehr einfach zu erratende Passwörter wie etwa „Behandlung“. Fatalerweise hatten in 20 von 25 Fällen alle Nutzer Administrationsrechte und in keiner der befragten Praxen wurde überprüft, ob alte Admin-Rechte – etwa für ausgeschiedene Mitarbeiter – noch bestehen.

Sichere Passwörter sind ein Muss
Die gute Nachricht ist, dass Arztbetriebe ihr Datenschutzniveau durch ein paar einfach Schritte deutlich verbessern können. Die offensichtlichste Handlungsempfehlung ist die Wahl sicherer Passwörter – hier bieten sich besonders lange Worte an, in Kombination mit Sonderzeichen und Zahlen. Diese Maßnahme ist wichtig – greift allerdings zu kurz, denn Hacker nutzen Brute Force-Angriffe, bei denen pro Sekunde tausende Kombinationen ausprobiert werden. Durch ein sicheres Passwort sinkt zwar die Wahrscheinlichkeit, dass dieses erraten wird, aber sehr häufig gelangen Hacker auch durch Phishing oder Social Engineering an die Zugangsdaten. Für zusätzliche Sicherheit kann eine Multi-Faktor-Authentifizierung sorgen, die das Passwort mit einem weiteren Sicherheitsfaktor ergänzt. Dazu zählen etwa Sicherheitstokens, die per USB, NFC oder Bluetooth mit dem Endgerät verbunden werden. Erst wenn Login-Daten und Token kombiniert wurden, ist der Zugang zu den Daten frei. Auch ein zusätzlicher biometrischer Faktor in Form eines Fingerabdrucks oder einer Gesichtserkennung ist möglich. Ist ein zusätzlicher zweiter oder gar dritter Faktor implementiert, hat sich die Sicherheit der Daten um ein großes Stück verbessert.

Moderne Technologien sorgen für Datenschutz auf höchstem Niveau
Wahre Sicherheit lässt sich nur durch Einsatz der richtigen Technologie erzielen. Hierzu zählt, bei der Wahl von Software-Lösungen unbedingt auf verschiedene Features zu achten. Wichtig ist vor allem, dass Lösungen wie etwa aus dem Bereich Enterprise File Services über eine effektive Ende-zu-Ende-Verschlüsselung verfügen, sodass kein Angreifer die Daten abfangen kann und sogar der Betreiber selbst keinen Zugriff hat. Die Informationen sollten nur vom Betrieb selbst abgerufen werden können, beziehungsweise allen Nutzern, denen hierzu Berechtigungen erteilt werden. Das Thema Zugriffskontrolle ist entscheidend, denn Zugriffsrechte sollten einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte erhalten, andere wiederum auch Daten bearbeiten können. Alle Nutzer beziehungsweise Daten lassen sich im Idealfall in ihrer Verfügbarkeit zeitlich befristen.

Ein zentraler Vorteil eines solchen feingliederigen Berechtigungsmanagements: Selbst im Falle eines erfolgreichen Hacks kann der Angreifer nur auf die Informationen zugreifen, für die der gehackte Account zugriffsberechtigt war. Eine Seitwärtsbewegung des Angreifers durch sämtliche gespeicherte Daten kann somit vermieden werden und der Schaden durch den Hack hält sich in Grenzen.

Siegel sorgen für Sicherheit in der IT
Auch unabhängige, anerkannte Siegel sorgen für Transparenz und Betriebe sollten bei der Wahl einer Lösung auf Zertifizierungen achten. Hierzu zählt die internationale Norm ISO/IEC 27001, die Dienstleistern die Einhaltung der IT-Sicherheitsregelungen und somit den Schutz von Kundendaten bescheinigt. Auch der Standard IDW PS 951 ist hier wichtig, denn er unterstützt die Einhaltung gesetzlicher Anforderungen an Unternehmen in Deutschland. Die Richtlinie liefert den Nachweis für die Angemessenheit und Wirksamkeit des internen Kontroll­systems von Betrieben und die Nutzung eines testierten Dienstleisters sorgt für zusätzliche Sicherheit. Zuletzt ist bei Cloud Services noch das BSI C5 Testat entscheidend, denn es legt Anforderungen und Verpflichtungen fest, die ein Cloud-Anbieter leisten muss, um einen maximal hohen Standard in Bezug auf die IT-Sicherheit zu realisieren. Besonders im Healthcare-Bereich ist ein kontinuierlich hohes Niveau des Datenschutzes und der Datensicherheit unerlässlich. Spätestens jetzt müssen Praxen eine Sicherheitskultur in ihrem Betrieb etablieren, in den alle Mitarbeiter einbezogen werden. Hierzu zählen organisatorische Punkte, aber vor allem auch moderne Technologien, die es Hackern nahezu unmöglich machen, Daten zu entwenden.

Über die Dracoon GmbH

Jedes Unternehmen steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. DRACOON aus Regensburg ist Marktführer im Bereich Enterprise File Services im deutschsprachigen Raum und hat es sich mit seiner Plattform zur Aufgabe gemacht, der Welt die Souveränität über ihre Daten zurückzugeben.

Die Plattform wurde von unabhängigen Top-Analysten wie ISG als „Leader“ bezeichnet, außerdem bescheinigen verschiedene Zertifikate, Siegel und Testate wie BSI C5, ISO 27001 und IDW PS 951 DRACOON höchste Sicherheitsstandards.

Nach dem Prinzip „Privacy by Design“ verfügt DRACOON über eine integrierte clientseitige Verschlüsselung. Versendete und gespeicherte Daten sind maximal geschützt, denn der Schlüssel zur Entschlüsselung bleibt immer beim Besitzer. Nicht einmal der Admin oder DRACOON als Betreiber haben Zugriff. Das feingranulare Benutzer- und Rechtemanagement bietet individuelle Zugriffsrechte auf alle abgelegten Daten. Somit behalten autorisierte Nutzer die volle Kontrolle.

Das universelle API ermöglicht die Integration externer Services und Applikationen, über sichere E-Mail-Kommunikation bis hin zur vollständigen Modernisierung des File Services.

Diese Unternehmen vertrauen DRACOON:
KfW, Rossmann, Helios Kliniken, Rödl & Partner, ElringKlinger, EbnerStolz, DATEV, Nürnberger Versicherung, Thyssen Steel, Deutsche Telekom, Hutchison, Bechtle u.v.m.
Weitere Informationen finden Sie im Netz unter: www.dracoon.com

Firmenkontakt und Herausgeber der Meldung:

Dracoon GmbH
Galgenbergstrasse 2a
93053 Regensburg
Telefon: +49 (941) 78385-0
Telefax: +49 (941) 78385-150
http://www.dracoon.de

Ansprechpartner:
Eva Janik
Manager Content / PR
Telefon: +49 (941) 78385-634
E-Mail: e.janik@dracoon.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel