Neue Studie

Datenschutz im Gesundheitswesen mangelhaft

Eine Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) offenbart: Sensible Daten von Patientinnen und Patienten sind nicht ausreichend geschützt.

Sicherheitsschloss auf einer Platine

Elektronische Kommunikation sollte idealerweise mit E-Mail-Zertifikaten abgesichert werden.

Eine neue Studie der GDV zeigt, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern sind. Hinzu kommt die Tatsache, dass viele auf Verschlüsselung verzichten – fatal, wenn es um medizinische Daten geht. Demnach setzen neun von zehn Ärzten auf einfach zu erratende Passwörter. „Gerne wird der Name des Arztes verwendet oder aber Wörter wie Behandlung. In 9 Prozent aller Arztpraxen sowie 60 Prozent der Kliniken werden sogar Login- und Passwort-Kombinationen genutzt, die von Kriminellen im Darknet angeboten werden“, erklärt Patrycja Tulinska, Geschäftsführerin der PSW Group. Ihr eindringlicher Rat: „Das Thema Datenschutz im Gesundheitswesen muss mit seinen organisatorischen und technischen Maßnahmen richtig angegangen werden. Zudem gefährden Praxen und Kliniken den Datenschutz zusätzlich durch das interne Teilen von Zugängen.“

Noch schlimmer als beim Passwortschutz sieht es laut der Studie bei der Verschlüsselung personenbezogener Daten aus: Knapp 1.200 niedergelassene Ärzte wurden im Rahmen der Studie untersucht. Lediglich fünf von ihnen, also 0,4 Prozent, folgen den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und nutzen E-Mail-Zertifikate. „Nicht zuletzt gesetzliche Anforderungen sind es, die die unverschlüsselte Datenübertragung solch sensibler Daten aber eigentlich verbieten. Die Datenschutz-Grundverordnung verpflichtet seit über einem Jahr zum Schutz sensibler Daten, um den Datenschutz zu gewähren“, betont Tulinska und erklärt: „Datenschutz und Datensicherheit sind aber nicht gewährleistet, wenn sensible Daten unverschlüsselt auf die Reise gehen. Es besteht die Gefahr, dass die Daten in die Hände unbefugter Dritter geraten, womit eine Verletzung der ärztlichen Schweigepflicht einhergeht.“

Hohe Gefährdungslage durch Phishing

Der Gesundheitssektor wird zusätzlich durch das Risiko von Phishing-Mails gefährdet: In jeder zweiten Praxis öffnen die Mitarbeiter potenziell schadhafte E-Mails. 20 Prozent von ihnen klickten sogar auf Links oder öffneten Anhänge. „Die Gründe für ein solches Verhalten lassen sich wohl auf zwei Hauptgründe zurückführen: Unwissenheit sowie ein falsches Sicherheitsempfinden. Meist sind die Mitarbeiter nicht geschult im Bereich IT-Sicherheit und erkennen keine Phishing-Mails“, so Patrycja Tulinska. Eine Forsa-Umfrage zeigte in diesem Zusammenhang übrigens, dass 81 Prozent aller Ärzte glauben, die eigenen Computersysteme seien umfassend geschützt. „Und wie sollte beispielsweise eine Praxis-Mitarbeiterin Gefahren, die von Phishing-Mails ausgehen, erkennen, wenn sie die eigenen Systeme für sicher hält“, bringt es die Expertin auf den Punkt.

Es wäre der Sicherheit von sensiblen Patientendaten deshalb mehr als zuträglich, wenn Ärzte, Kliniken und Apotheken die Sicherheit ihrer Systeme realistischer einschätzen könnten. Dabei kann eine Kombination aus sicheren Passwörtern, E-Mail-Verschlüsselung und Schulungen die Sicherheit in Arztpraxen schon immens erhöhen: „Mitarbeiter müssen angehalten werden, sichere Passwörter zu generieren und diese unter keinen Umständen weiterzugeben. Weder intern, noch extern. Ein sicheres Passwort ist immer eine Kombination aus Buchstaben, Ziffern und Sonderzeichen, wobei sowohl Groß- und Kleinbuchstaben verwenden werden sollten. Ich empfehle, mindestens ein achtstelliges Passwort, besser aber ein zehn- oder zwölfstelliges, zu wählen, und dieses auch regelmäßig zu ändern“, rät Patrycja Tulinska.

Mail-Korrespondenz schützen

Davon unabhängig sollte die elektronische Kommunikation idealerweise auch mit E-Mail-Zertifikaten abgesichert werden, um den ungewollten Abfluss von Daten zu vermeiden und die elektronische Korrespondenz zu schützen. So erfüllen Praxen dann auch einen Teil der gesetzlichen Anforderungen. „Ich rate zu so genannten S/MIME-Zertifikaten. Sie werden durch eine öffentliche Zertifizierungsstelle ausgestellt, die die Identität des Besitzers beglaubigt. Diese E-Mail Zertifikate sind leicht eingerichtet und werden von beinah allen gängigen E-Mail-Clients auf Windows, Mac und Linux unterstützt“, so Tulinska .

Die besten Passwörter und die sicherste Verschlüsselung nützen jedoch wenig, wenn das Personal dennoch auf Phishing-Links klickt. Die Schulung und Sensibilisierung von Mitarbeitern ist deshalb ein sehr wichtiger Schritt zur IT-Sicherheit.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok