# taz.de -- IT-Sicherheitsmängel in der Medizin: OP-Berichte ohne Passwortschutz
       
       > Eine Untersuchung zeigt: Ärzte, Kliniken und Apotheken schützen
       > Patientendaten zu wenig. Rechner im Gesundheitswesen sind leicht zu
       > hacken.
       
 (IMG) Bild: Sieht kompliziert aus – aber auch ohne beleuchtete Tastatur lassen sich die Daten abgreifen
       
       Berlin taz | Die persönlichen Daten von Patient:innen sind in Arztpraxen,
       Apotheken und Kliniken meistens nur unzureichend geschützt. Das ist das
       Ergebnis einer [1][Untersuchung], die der Gesamtverband der
       Versicherungswirtschaft (GDV) am Montag vorgestellt hat. Demnach haben die
       meisten der untersuchten Einrichtungen gleich mehrere Probleme: Unsichere
       oder gar keine Passwörter zum Zugriff auf das System, veraltete
       Verschlüsselungsmechanismen für die Kommunikation per E-Mail und fehlende
       Updates beim Betriebssystem.
       
       Die Untersuchung bestand aus zwei Teilen: Im ersten Teil testete eine
       Unternehmensberatung die IT-Sicherheit von 1.200 Arztpraxen, 250 Apotheken
       und 250 Kliniken von außen, also ohne deren Mitwirkung. Dabei ging es unter
       anderem um die Frage, ob die Mailserver auf aktuelle
       Verschlüsselungsmethoden setzen. Im zweiten Teil hackte sich ein
       IT-Sicherheitsexperte in die Systeme von 25 Arztpraxen. Die Praxen meldeten
       sich freiwillig für die Untersuchung.
       
       Ein Ausschnitt der Befunde: 22 der 25 Praxen verwendeten keine oder leicht
       zu erratende Passwörter wie „praxis“. In 9 der 25 Praxen fehlten aktuelle
       Sicherheitsupdates – teilweise fand der Tester Hinweise darauf, dass das
       System über zwei Jahre nicht aktualisiert wurde. Und 90 Prozent der 250
       Apotheken und 81 Prozent der 1.200 Arztpraxen verwendeten für die
       Kommunikation per E-Mail eine veraltete Verschlüsselung. Gleichzeitig ergab
       eine repräsentative Forsa-Umfrage bei den für IT-Sicherheit zuständigen
       Mitarbeiter:innen von 200 Arztpraxen und 100 Apotheken: Bei 81 Prozent der
       Apotheken und 77 Prozent der Arztpraxen sind die Mitarbeiter:innen der
       Ansicht, gut geschützt zu sein.
       
       ## Live auf den Praxisrechner
       
       Bei der Vorstellung der Untersuchung demonstrierte der
       IT-Sicherheitsexperte Michael Wiesner live, wie einfach es ist, auf den
       Rechner einer Arztpraxis zu gelangen. Denn die Praxis hatte ihr System
       nicht mit einem Passwort abgesichert. Mit Hilfe einer auf mit dem Internet
       verbundene Geräte spezialisierten Suchmaschine konnte er gezielt nach
       Systemen suchen, die eine häufige Praxissoftware nutzen. Auf der Festplatte
       waren Ordner etwa mit dem Namen OPs zu sehen – die Wiesner aber nicht
       öffnete, um nicht in den strafbaren Bereich zu geraten.
       
       Die Ärzt:innen verließen sich komplett auf ihre IT-Dienstleister, erklärt
       Wiesner das Problem. „Aber da macht nur die Hälfte einen guten Job und die
       andere Hälfte einen richtig schlechten.“ Persönlich spreche er sich daher
       dafür aus, dass die Dienstleister in der Haftung seien – dann hätten sie
       ein Interesse daran, die IT-Systeme ihrer Auftraggeber tatsächlich
       bestmöglich abzusichern.
       
       Die Versicherungswirtschaft hat in dem Kontext ein eigenes Interesse:
       Verschiedene Versicherungen verkaufen sogenannte Cyberpolicen. Mit denen
       sollen sich beispielsweise Praxen und Apotheken absichern können, wenn in
       Folge eines Angriffs beispielsweise wirtschaftliche Schäden durch
       Unterbrechungen des Betriebs entstehen oder Patient:innen Schadensersatz
       fordern. Teuer werden kann es für die Inhaber:innen dennoch: Denn Bußgelder
       decken die Policen nicht mit ab.
       
       Bußgelder gibt es aber durchaus. So sagt Barbara Körffer, stellvertretende
       [2][Landesdatenschutzbeauftragte von Schleswig-Holstein] der taz, dass es
       regelmäßig Beschwerden über Datenschutzprobleme etwa bei Praxen gebe und
       auch vor der Datenschutzgrundverordnung habe man bereits Bußgelder
       verhängt. Seit dem vergangenen Jahr kann das noch schmerzhafter werden: Die
       Datenschutzgrundverordnung sieht einen Bußgeldrahmen von bis zu bis 20
       Millionen Euro vor.
       
       9 Apr 2019
       
       ## LINKS
       
 (DIR) [1] https://www.gdv.de/de/medien/aktuell/deutschlands-aerzte-haben-ein-passwort-problem---zugangsdaten-haeufig-im-darknet-zu-finden-45192
 (DIR) [2] https://www.datenschutzzentrum.de/
       
       ## AUTOREN
       
 (DIR) Svenja Bergt
       
       ## TAGS
       
 (DIR) IT-Sicherheit
 (DIR) Hacking
 (DIR) Gesundheitsdaten
 (DIR) Datenschutz
 (DIR) Schwerpunkt Überwachung
 (DIR) Datensicherheit
 (DIR) Datenschutz
 (DIR) Datenschutz
 (DIR) Gesundheit
 (DIR) Online-Plattform
 (DIR) Datenschutz
 (DIR) 5G-Technologie
 (DIR) Datenschutz
 (DIR) Datenklau
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Pläne der EU-Staaten: Angriff auf Verschlüsselung
       
       Die EU plant, die Verschlüsselung von Messenger-Diensten auszuhebeln, wie
       ein geleaktes Dokument zeigt. Bürgerrechtler:innen protestieren.
       
 (DIR) Trojaner hackt Kammergericht Berlin: Zugriff auf alle Daten
       
       Der Hacker-Angriff auf das Kammergericht war schwerer als bisher gedacht.
       Das belegt ein Gutachten. Wer die Angreifer sind, bleibt unklar.
       
 (DIR) Risiko digitaler Gesundheitsdaten: Datenleck Mensch
       
       Die Vorteile für Patienten und Forschung wären groß, wenn ihre Daten
       vernetzt wären. Die Gefahren allerdings auch. Doch die Politik kann etwas
       tun.
       
 (DIR) Forschung mit Patientendaten: Widerspruch ist nicht vorgesehen
       
       Das „Digitale-Versorgung-Gesetz“ weicht den Datenschutz für
       Krankenversicherte auf. Krankenkassen sollen Daten zur Verfügung stellen.
       
 (DIR) Gericht verbietet Betrieb: Kein Aspirin aus dem Automaten
       
       In Hüffenhardt sollte ein Automat Medikamente ausgeben, als sich für die
       Apotheke kein Nachfolger fand. Doch das bleibt nun verboten.
       
 (DIR) BKA sperrt Darknet-Plattform: Auf der dunklen Seite des Internets
       
       Im Darknet wird gern mit Waffen, Drogen oder Falschgeld gehandelt –
       BKA-Einsätzen zum Trotz. Die Umsätze steigen steil an.
       
 (DIR) Neuer Datenskandal bei Facebook: Nutzer-Passwörter im Klartext
       
       Facebook hat die Passwörter von hunderten Millionen Nutzern unverschlüsselt
       auf internen Servern gespeichert. Sie waren für Mitarbeiter einsehbar.
       
 (DIR) Kommentar Mobilfunkmesse: Für immer online? Bloß nicht
       
       Mit dem Mobilfunkstandard 5G soll bald jedes Gerät am Netz hängen, vom Auto
       bis zur Haustür. Doch das ist überhaupt keine gute Idee.
       
 (DIR) Kommentar Datenschutz: Jetzt ist die Chance zu handeln
       
       Auf EU-Ebene übt sich Deutschland beim Datenschutz in auffällig
       unauffälligem Bremsen. Nach dem Datenklau bei Politikern müsste sich das
       ändern.
       
 (DIR) Datenschutzbeauftragter über Datenklau: „Bis heute fehlt uns Personal“
       
       Nach dem Datendiebstahl fordert Hamburgs Datenschutzbeauftragter Caspar
       Innenminister Seehofer auf, für mehr Sicherheit im Netz zu sorgen.