| DATENSCHUTZWISSEN

Sicherheitsexperten befürchten riesige Datenlecks in Arztpraxen

Bei Medienrecherchen trat zutage, dass vermutlich für viele Monate die Daten von bis zu 30000 Patienten auf beinahe ungesicherten Servern lagen.

Größtenteils waren sogar äußerst schutzwürdige Informationen dabei. Doch Reportern war ohne große Umstände gelungen, Daten von über Hunderttausend Einsatzfahrten verschiedener DRK Kreisverbände öffentlich einzusehen. Wer da weshalb in eine Klinik eingeliefert wurde, einen Rollstuhl brauchte oder ein Fall für die Psychiatrie war – all dies war Datendieben über einen langen Zeitraum zugänglich. Wer zu Jahresbeginn schadenfroh auf die Wirtschaft zeigte, wo beim Autovermieter Buchbinder das größte Datenleck der Bundesrepublik klaffte, muss sich eines Besseren belehren lassen: Nun sind auch als äußerst seriös geltende Player, wie das Deutsche Rote Kreuz, namentlich der brandenburgische Landesverband im Fokus von Ermittlern. Das lässt vermuten, dass viele Institutionen den Datenschutz von Patientendaten bei weitem noch nicht ernst genug nehmen. Hauptargumente der „Ertappten“: Personalmiseren und ein nicht zu bewältigender Aufwand.

Teuer gehandelte Patientendaten

Journalisten von c’t, einem renommierten IT-Magazin, haben bei Recherchen ebenfalls bedenkliche Sicherheitslücken in Bezug auf Patientendaten gefunden. Nach ihrer Ansicht reichen schon rudimentäre Computer-Kenntnisse, um an hochbrisante Patientendaten zu gelangen. Zahlreiche Praxen von Ärzten aller Fachrichtungen seien die reinsten Selbstbedienungsläden, was Daten von Patienten anginge. Nach einer Schätzung des NDR würden um die 8,5 Millionen Datensätze mit sensiblen Angaben zu Patienten Datenräubern schutzlos ausgeliefert sein. Auf dem Daten-Schwarzmarkt sollen allein die Daten eines einzigen Patienten mit bis zu 2000 Euro gehandelt werden. Wer so etwas kauft, verfolgt in der Regel ein Ziel: Die schützenswerten Infos sind so intim, dass die Betroffenen leicht mit der Veröffentlichung der Daten erpressbar sind. Ebenso stehen Zugangsdaten hoch im Kurs. Denn mit diesen können mannigfaltige Manipulationen zu lukrativen Erpressungsgeschäften führen.

Arztpraxen datenschutzrechtlich oft offen wie Scheunentore

Natürlich erwartet niemand von einem Arzt, gleichzeitig auch IT-Fachmann zu sein. Daher ist es nachvollziehbar, dass Ärzte den Datenschutz in Ihrer Praxis auslagern. Wie Journalisten jetzt stichprobenweise herausfanden, die Fähigkeiten externer Dienstleister, gerade auch im Bereich der Beratung ihrer Kunden zum Thema Passwörter, allerdings nicht über alle Zweifel erhaben. So ließen sich im Netz zahlreiche angreifbare Praxissysteme aufspüren, deren Passwörter Profis mit genügend krimineller Energie schnell knacken können. Gerade in diesem Bereich, so das Fazit, würden Ärzte besonders leichtsinnig verfahren und sich vielfach für einfach zu merkende, aber nicht sichere Kombinationen entscheiden. Begünstigend kommt hinzu, dass seit etwa einem Jahr digital gespeicherte Patientendaten von den behandelnden Ärzten, Psychotherapeuten, den Apotheken und Krankenkassen in einer einheitlichen Struktur im Internet abrufbar sein müssen. Dadurch werden zwar viele Prozesse vereinfacht und Abläufe schneller, aber auch die Einfallstore für Hacker werden so größer und mögliche Angriffe folgenreicher.

Zertifizierungen könnten eine Lösung darstellen

Nicht jedes IT-Unternehmen, das seine Dienste anbietet, ist auch für alle Belange des Datenschutzes qualifiziert. Außerdem kann eine hohe Arbeitsauslastung dazu führen, dass zwar sehr schnell, aber nicht immer mit Sorgfalt gearbeitet wird. Auf der anderen Seite scheint so manchem Mediziner das Bewusstsein zu fehlen, welche verheerende Auswirkung ein Datenleck seiner Praxis für die dort untersuchten und behandelten Patienten haben kann. Eine große Rolle spielt dabei auch das Vertrauen, das Ärzte in die IT-Spezialisten setzen müssen – angesichts eigener personeller Grenzen. Im guten Glauben zu sein, heißt aber noch lange nicht, wirklich sicher zu sein. Die hohe Verantwortung, die ein Arzt tagtäglich in seinem Beruf trägt, trifft nicht automatisch auf eine ebensolche auf technischer Seite. Patienten, die um das Problem wissen, fordern jetzt ein Eingreifen des Gesetzgebers. Die Vereinigung niedersächsischer Kassenärzte hat auch einen konkreten Vorschlag, wie man der Datenklau-Gefahr entgegentreten könne: Wünschenswert wäre ein Zertifizierungssystem, anhand dessen Unternehmen, die in Sachen Datenschutz einen zuverlässigen Job machen, auf Anhieb zu erkennen sind.

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.