So leicht lässt sich Ihre Praxis hacken

Praxismanagement , Praxis-IT Autor: Cornelia Kolbeck

Entlarvende Einblicke: Viele Niedergelassene schützen Patientendaten nicht ausreichend. © Rogatnev – stock.adobe.com

Ärzte, Apotheker und Kliniken haben zum Teil erheblichen Nachholbedarf bei ihrer digitalen Infrastruktur. Das zeigt eine Analyse der Versicherer zu Cyberrisiken. Die Defizite beginnen schon bei so einfachen Dingen wie einem simplen oder fehlenden Passwort.

Wer von Ihnen kennt noch das DOS-Betriebssystem?“, fragte Michael Wiesner in die Runde der Journalisten. Nicht wenige hoben die Hand. Und dann führte der Pentester – sozusagen ein professioneller Hacker – vom Chaos Computer Club vor, wie leicht es ist, mittels einfacher Programmcodes Zugriff auf ungenügend gesicherte Netzwerke zu erlangen – in diesem Fall auf das Netz einer Arztpraxis.

Gesucht hat der IT-Experte mittels der bei Hackern beliebten Dienste-Suchmaschine Shodan nach dem Wort „Praxis“. 17 Mal wurde Wiesner fündig. Wer weiß, dass das Wort „Praxis“ gerne als Name oder Passwort benutzt wird, für den ist es ein Leichtes, online Zugang zum Betriebssystem der IT zu erhalten, so Wiesner. Das sei allerdings ein sog. digitaler Hausfriedensbruch und relevant nach § 202 Strafgesetzbuch. Dieser Paragraf stellt das Ausspähen von Daten, die gegen unberechtigten Zugang besonders gesichert sind, unter Geldstrafe bzw. eine Freiheitsstrafe bis zu drei Jahren.

Ungeschützter Zugang zu 25 000 Patientenbefunden

Dann ein erneuter Test. Diesmal demonstriert Wiesner – auch Mitglied des Expertennetzwerks der VdS Schadenverhütung GmbH –, wie leicht es ist, in Systeme zu gelangen, die gar kein Passwort für das Betriebssystem hinterlegt haben. Das ist aktuell noch nicht einmal strafbar.

Bei einer Adresse mit dem Benutzernamen „Gast“ wird Wiesner fündig. Noch einmal „Enter“ drücken und der Hacker bekommt Vollzugriff auf den Rechner. Weiter geht es mit Dos-Befehlen zur Festplatte C: und zu den Verzeichnissen. Zu sehen sind Namen wie „Word-Vorlagen, P-Daten, Praxis, OPS“. Wiesner klickt nicht weiter. Das Öffnen der Dateien wäre strafbar. Allerdings lasse sich sicher mit dem richtigen Klick schnell herausfinden, um welche Praxis es sich konkret handelt.

Insbesondere schwache Passwörter und gemeinsame Zugänge erhöhen das Risiko, ein Opfer von Cyberangriffen zu werden.

„Ist das jetzt eine Simulation?“, fragte ein Journalist. „Nein, ich arbeite gerade live. Ich finde regelmäßig solche Praxen“, antwortete Wiesner. Als Erste habe er vor zwei Jahren eine gynäkologische Gemeinschaftspraxis entdeckt, mit 25 000 dokumentierten Befunden.

Der Sicherheitsexperte verwies darauf, dass ein Ausspähen auf diese Art quasi von jedem in zehn Minuten zu schaffen ist. Dazu muss man kein trainierter Hacker sein. Die Anleitungen finden sich im Internet.

Zuletzt verdeutlichte Wiesner noch, wie leicht es ist, mittels Phishing-Mails Zugang zu Praxen zu erhalten. Obwohl inzwischen bekannt sein dürfte, dass mit diesen Mails Passwörter ausgespäht werden und deshalb zur Vorsicht gemahnt wird, fallen offenbar noch immer viele Menschen darauf herein.

In diesem Fall war es glücklicherweise nur ein Test im Auftrag des Gesamtverbandes der Deutschen Versicherer (GDV). Im Anschreiben an die Praxen, das auf den ersten Blick von „doc-check24.de“ zu kommen schien, wurde der Arzt auf eine angeblich unterdurchschnittliche Note in einem Bewertungsportal hingewiesen. Er könne die Bewertung aber erst nach dem Einrichten des eigenen Profils einsehen, hieß es. Dazu ein Link.

„Wenn das professionell gemacht ist, kommen Hacker auch rein“, so Wiesner. Und tatsächlich öffnete jede zweite der 25 angeschriebenen Praxen die Phishing-Mail. 20 % klickten sogar auf den Link bzw. öffneten den Anhang.

Dass es sich bei diesen Ergebnissen nicht um Einzelfälle handelt, sondern diese für eine allgemeine Situation sprechen, zeigen die Tests der GDV im Rahmen der Initiative „CyberSicher“ im Gesundheitssektor. Mithilfe des Cysmo-Sicherheitschecks, einem vollautomatischen Analysetool, wurden die Sicherheit der IT-Systeme von 1200 niedergelassenen Fachärzten, 250 Apotheken und 250 Kliniken überprüft und die Einfallstore offengelegt. Zudem wurde bei 25 Ärzten vor Ort die Sicherheit analysiert. Das Ergebnis: Deutsche Ärzte gehen nachlässig mit Passwörtern in ihren Praxen um – und gefährden damit die Sicherheit von Patientendaten.

E-Mail-Passwort-Kombination oft im Darknet zu finden

Konkret zeigte sich, dass neun von zehn Ärzten leicht zu erratende Passwörter nutzen wie „Behandlung“, „Praxis“ oder den Namen des Arztes oder des Sprechzimmers. Von jeder zehnten Arztpraxis (9 %) und sogar von 60 % der Kliniken finden sich E-Mail- und Passwort-Kombinationen im Darknet. Ganz vorn dabei sind übrigens die Radiologen. Als Problem offenbarte sich, dass Administratorenrechte oft für alle Mitarbeiter in der Praxis gelten und mehrere Benutzer dieselben Zugangsdaten nutzen. Weitere Defizite ergeben sich bei den Verschlüsselungsmethoden im E-Mail-Verkehr. Nur 0,4 % der 1200 Praxen waren auf dem vom Bundesamt für Sicherheit in der Informationstechnik empfohlenen Stand der Technik.

Im krassen Widerspruch hierzu stehen die Ergebnisse einer ebenfalls im Zuge der Sicherheitsanalyse durchgeführten Forsa-Umfrage. Hierbei zeigte sich, dass sich viele Niedergelassene in falscher Sicherheit wiegen: 81 % der Befragten erklärten, ihre Computersysteme seien umfassend geschützt. Nach Aussage von Gert Baumeister, Vorsitzender der Projektgruppe Cyberversicherung im GDV, beruht dieses Ergebnis auf Fehleinschätzungen: Ärzte würden oft denken, Hacker hätten es auf Patientendaten abgesehen. Dabei gehe es oft um Erpressung, also darum, dass die Daten verschlüsselt werden und freigekauft werden müssen (Ransomeware).

Ein weiterer Irrtum: Man glaubt, Angriffe treffen nur große Einrichtungen, doch auch viele kleine Erpressungen bringen viel Geld. Und: Der Faktor Mensch wird unterschätzt. Ein System ist nur so gut wie das Personal, das es bedient. Ein falscher Klick kann schlimme Folgen haben.

Die Sicherheitsexperten raten deshalb Medizinern, ihre Anstrengungen beim Datenschutz kritisch zu hinterfragen und ihre Mitarbeiter zu sensibilisieren. Auch ein genauer Blick auf die IT-Dienstleister lohnt sich. Die Qualitätssicherung stehe und falle mit dem Dienstleister – und die Hälfte von diesen mache einen sehr schlechten Job.

Quelle: Pressekonferenz der GDV