Digitalisierung – Chance für Ärzte oder Angriffsziel für Cyberkriminelle?

Die Digitalisierung birgt Risiken und Chancen. Einerseits können Versorgung und Dokumentation verbessert werden, andererseits können Sicherheitslücken in Kliniken und Praxen zu Missbrauch führen. Die Datensicherheit war daher eines der großen Themen auf dem DKOU 2019. Ein „Demo-Live-Hack“ auf dem Kongress hat eindrücklich gezeigt, warum.

Sensible Patientendaten erfordern einen besonderen Schutz. Erst im September kursierten Patientendaten frei zugänglich im Netz, darunter 13.000 Datensätze aus Deutschland.

Ab dem 1. Januar 2021 muss von den Krankenkassen die elektronische Patientenakte (ePA) für die Versicherten zur Verfügung gestellt werden. An ihrer Einführung lassen sich die Vorzüge und Risiken der Digitalisierung leicht veranschaulichen.

Sie sei ein wichtiges Arbeitsinstrument, um zielgerichteter und besser diagnostizieren und behandeln zu können, beonte der BVOU-Kongresspräsident, Dr. Thomas Möller. „Wir können aus der elektronischen Patientenakte entnehmen, unter welchen Begleiterkrankungen Patienten leiden und Befunde wie Röntgenbilder oder Laborberichte direkt einsehen. Dadurch ist es möglich, diese Befunde bei der Diagnose und Behandlung zu berücksichtigen. Auch belastende Doppel- und Mehrfachuntersuchungen lassen sich so vermeiden und Therapien besser organisieren”, erklärte Möller die Vorzüge der ePA. Deshalb hätten die Ärzte in O & U auch ein hohes Interesse an ihr. „Sie wäre ein großer Schritt sowohl für die interdisziplinäre als auch für die stationäre und ambulante Vernetzung“, sagte Möller, der niedergelassener Orthopäde und Unfallchirurg ist.

Internationale Fälle von Datenraub zeigen laut Möller aber immer wieder, wie angreifbar die Datensicherheit sei. Die ePA müsse daher sicher und nicht zu manipulieren sein. Er wies darauf hin, dass es derzeit in Deutschland keine Notfallstrategie gegen Datenraub, Datenlecks und Datenmissbrauch gibt.

Demo-Live-Hack zeigt Sicherheitslücken auf

Eindrucksvoll konnte dies in einer Session mit einem “Demo-Live-Hack” verfolgt werden. Christoph Ritter von der Firma Syss GmbH, einem Unternehmen für IT-Sicherheit, erklärte seine Arbeit als Penetration-Tester. “Im Prinzip bekomme ich den Namen des Unternehmens und kann dann machen, was ich will, um in die Firma einzudringen.” Ob über Phishing-Mails, die er gezielt an über ihr Xing-Profil ausgewählte Mitarbeiter versendet, oder indem er mit Schadware versehene USB-Sticks, die in Hacker-Shops verkauft werden, auf dem Firmenparkplatz verteilt: “In der Regel führen meine Angriffe zum Erfolg, und ich habe das Unternehmen in zwei bis drei Monaten übernommen”, erklärte der Penetration-Tester selbstbewusst. Neben diesen Möglichkeiten demonstrierte er zudem live, mittels eines Angreifer- und Opfer-Notebooks, wie das Hacking über Suchmaschinen, Angriffe auf Windows-Systeme und veraltete Systeme sowie das Lahmlegen von WLAN-Netzwerken funktioniert: erschreckend einfach und schnell.

In Deutschland entstünden jedes Jahr durch Cyberverbrechen circa 20 Milliarden Euro Schaden, das sei Platz eins auf der Welt, sagte Ritter. Ein Minimum an Sicherheit schaffe das regelmäßige Update aller Softwarekomponenten. Dies und aktuelle Virenprogramme sorgten zwar dafür, dass die meisten gestreuten Angriffen unschädlich gemacht werden, gezielte Cyberkriminalität verhindere es aber nicht.

Austausch von Speichermedien als Sicherheitslücke

Besonders große Sicherheitslücken weisen dem Experten zufolge vor allem Praxen und Krankenhäuser auf. Auf seine Frage an die im Saal anwesenden Praxisinhaber bekannte die große Mehrheit per Handzeichen, dass sie ihr Praxisnetzwerk standardmäßig mit Benutzername und einem Password schützt. “Zu wenig”, konstatierte Ritter. “Sie benötigen dringend einen zweiten Sicherheitsfaktor”, riet er. Der Austausch von CDs oder USB-Sticks von Patienten mit Röntgen- oder MRT-Material sei eine weitere große Sicherheitslücke. Oder mal eben ein vermeintliches Patientenhandy in der Praxis aufzuladen, berge ebenfalls Risiken: Cyberkriminelle könnten Ladekabel mit integrierter Schadware einsetzen. Der Rat Ritters: “Um externe Datenträger auszulesen, nutzen Sie am besten einen Stand-alone-PC. Vermeiden Sie Online-Backups, sondern machen Sie diese auf externe Festplatten, die Sie verschlüsseln.”

Krankenhäuser seien mitunter noch gefährdeter. Unter anderem wegen ihrer unübersichtlicheren Struktur, aber auch, weil sie für die oft zertifizierten gekauften Softwareprodukte keine Updates durchführen könnten. “Wehren Sie sich gegen solche Praktiken, da ist jeder einzelne von Ihnen gefragt”, richtete er sich an das anwesende Klinikpersonal. Ganz simpel könnten Cyberkriminelle in das Kliniknetzwerk beispielsweise über veraltete Jubiläumswebseiten eindringen. Über Suchmaschinen könnten sie auch Zugang zu unverschlüsselt ins Netz gestellten Schaltplänen erhalten und so die Klimasteuerung einer Klinik übernehmen. Mit Störgeräten, die sich über Drohnen ganz einfach auf Klinikdächern plazieren ließen, könnte sogar das ganze WLAN-Netzwerk torpediert werden. Solche und ähnliche Erfahrungen machten er und seine Kollegen bei ihrer Arbeit in erschreckend hoher Zahl, betonte der Experte.

Fazit: Sicherheitslücken scheinen eher die Norm als die Ausnahme in Kliniken und Praxen zu sein. Sowohl Kompetenz und Verantwortungsbewusstsein müssen gestärkt werden. Denn: “Die Datensicherheit muss gewährleistet sein”, lautete das Fazit Möllers. (hr)