Aktuelles, Branche, Studien - geschrieben von am Mittwoch, Juli 3, 2019 22:04 - noch keine Kommentare

Gesundheitswesen: Datenschutz und Verschlüsselung mangelhaft

Patrycja Tulinska kommentiert neue Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft

[datensicherheit.de, 03.07.2019] Um den Datenschutz im Gesundheitswesen scheint es schlecht bestellt zu sein: Eine neue Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) zeigt jedenfalls, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern seien. Hinzu komme die Tatsache, dass viele auf Verschlüsselung verzichteten – fatal insbesondere für medizinische Daten.

9 von 10 Ärzten nutzen einfach zu erratende Passwörter

„Demnach setzen neun von zehn Ärzten auf einfach zu erratende Passwörter. Gerne wird der Name des Arztes verwendet oder aber Wörter wie ,Behandlung‘. In neun Prozent aller Arztpraxen sowie 60 Prozent der Kliniken werden sogar Login- und Passwort-Kombinationen genutzt, die von Kriminellen im Darknet angeboten werden“, berichtet Patrycja Tulinska, Geschäftsführerin der PSW GROUP, über die gravierenden Ergebnisse.
Ihr eindringlicher Rat: „Das Thema Datenschutz im Gesundheitswesen muss mit seinen organisatorischen und technischen Maßnahmen richtig angegangen werden. Zudem gefährden Praxen und Kliniken den Datenschutz zusätzlich durch das interne Teilen von Zugängen.“

0,4 Prozent folgten BSI-Verschlüsselungsempfehlungen

Noch schlimmer als beim Passwortschutz sehe es bei der Verschlüsselung personenbezogener Daten aus: Knapp 1.200 niedergelassene Ärzte seien im Rahmen dieser Studie untersucht worden – lediglich fünf von ihnen, also 0,4 Prozent, folgten den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und nutzten E-Mail-Zertifikate.
„Nicht zuletzt gesetzliche Anforderungen sind es, die die unverschlüsselte Datenübertragung solch sensibler Daten aber eigentlich verbieten. Die Datenschutz-Grundverordnung verpflichtet seit über einem Jahr zum Schutz sensibler Daten, um den Datenschutz zu gewähren“, betont Tulinska und erklärt: „Datenschutz und Datensicherheit sind aber nicht gewährleistet, wenn sensible Daten unverschlüsselt auf die Reise gehen. Es besteht die Gefahr, dass die Daten in die Hände unbefugter Dritter geraten, womit eine Verletzung der ärztlichen Schweigepflicht einhergeht.“

Unwissenheit sowie falsches Sicherheitsempfinden erleichtern Phishing-Attacken

Der Gesundheitssektor werde zusätzlich durch das Risiko von Phishing-Mails gefährdet: In jeder zweiten Praxis öffneten die Mitarbeiter potenziell schadhafte E-Mails. 20 Prozent von ihnen klickten sogar auf Links oder öffneten Anhänge.
„Die Gründe für ein solches Verhalten lassen sich wohl auf zwei Hauptgründe zurückführen: Unwissenheit sowie ein falsches Sicherheitsempfinden. Meist sind die Mitarbeiter nicht geschult im Bereich IT-Sicherheit und erkennen keine Phishing-Mails“, warnt Tulinska.

Ärzte, Kliniken und Apotheken sollten IT-Sicherheit realistischer einschätzen!

Eine Forsa-Umfrage habe in diesem Zusammenhang übrigens gezeigt, dass 81 Prozent aller Ärzte glaubten, die eigenen Computersysteme seien umfassend geschützt. Tulinska kommentiert: „Und wie sollte beispielsweise eine Praxis-Mitarbeiterin Gefahren, die von Phishing-Mails ausgehen, erkennen, wenn sie die eigenen Systeme für sicher hält.“
Es wäre der Sicherheit von sensiblen Patientendaten deshalb mehr als zuträglich, wenn Ärzte, Kliniken und Apotheken die Sicherheit ihrer Systeme realistischer einschätzen könnten. Dabei könne eine Kombination aus sicheren Passwörtern, E-Mail-Verschlüsselung und Schulungen die Sicherheit in Arztpraxen schon immens erhöhen: „Mitarbeiter müssen angehalten werden, sichere Passwörter zu generieren und diese unter keinen Umständen weiterzugeben. Weder intern, noch extern. Ein sicheres Passwort ist immer eine Kombination aus Buchstaben, Ziffern und Sonderzeichen, wobei sowohl Groß- und Kleinbuchstaben verwenden werden sollten. Ich empfehle, mindestens ein achtstelliges Passwort, besser aber ein zehn- oder zwölfstelliges, zu wählen, und dieses auch regelmäßig zu ändern.“

Elektronische Kommunikation auch mit E-Mail-Zertifikaten absichern!

Davon unabhängig sollte die elektronische Kommunikation idealerweise auch mit E-Mail-Zertifikaten abgesichert werden, um den ungewollten Abfluss von Daten zu vermeiden und die elektronische Korrespondenz zu schützen. So erfüllten Praxen dann auch einen Teil der gesetzlichen Anforderungen.
„Ich rate zu so genannten S/MIME-Zertifikaten. Sie werden durch eine öffentliche Zertifizierungsstelle ausgestellt, die die Identität des Besitzers beglaubigt. Diese E-Mail Zertifikate sind leicht eingerichtet und werden von beinah allen gängigen E-Mail-Clients auf ,Windows‘, ,Mac‘ und ,Linux‘ unterstützt“, so Tulinska. Die besten Passwörter und die sicherste Verschlüsselung nützten jedoch wenig, wenn das Personal dennoch auf Phishing-Links klickt. Die Schulung und Sensibilisierung der Mitarbeiter sei deshalb ein sehr wichtiger Schritt zur IT-Sicherheit.

Patrycja Tulinska

Foto: PSW GROUP

Patrycja Tulinska: Schulung und Sensibilisierung der Mitarbeiter sehr wichtiger Schritt zur IT-Sicherheit

Weitere Informationen zum Thema:

GDV DIE DEUTSCHEN VERSICHERER, 08.04.2019
Cybersicherheit im Heilwesen / Deutschlands Ärzte haben ein Passwort-Problem – Zugangsdaten häufig im Darknet zu finden

PSW GROUP, 18.06.2019
Verschlüsselung / Datenschutz im Gesundheitswesen: Verschlüsselung mangelhaft

datensicherheit.de, 30.06.2019
Digitalpolitik: Kurswechsel im Gesundheitswesen gefordert

datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 20.05.2019
Cybersicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung