IT-Sicher­heit bei Pra­xen

Ärzte machen es Hackern noch oft zu leicht

Mediziner verfügen über sensible Gesundheitsdaten. Diese sollten gut geschützt sein. Die Realität sieht aber anders aus, wie ein Sicherheitstest in einer Praxis zeigt.

Hastig schlägt Michael Wiesner in die Tasten seines Laptops. Im Stakkato probiert er immer wieder neue Passwörter aus: „Praxis“, „Behandlung“, „Empfang“. Kryptische Ziffern und Zeichen flackern vor ihm auf dem Bildschirm auf. Nach etwa fünf Minuten grinst Wiesner. Treffer! Er hat das IT-System der Zahnarztpraxis geknackt.

Vor ihm breitet sich die gesamte Ordnerstruktur mit allen Dokumenten aus: Abrechnungen, Termine, Gutachten, Patientenbriefe. Sensibelste Informationen. Würde ein Hacker sie verschlüsseln, käme der Praxisbetrieb zum Erliegen. Wenn die Gesundheitsdaten gestohlen und ins Netz gestellt würden, müsste die Ärztin zudem mit hohen Strafen rechnen. „Es wäre existenzbedrohend, würde ein Krimineller an diese Daten kommen“, sagt die betroffene Medizinerin aus Köln, die ihren Namen nicht öffentlich machen möchte.

Passwörter sind leicht zu knacken

Würde, hätte, könnte – denn dies ist nur ein Test und Wiesner ein sogenannter White-Hat: ein Hacker, der auf Bestellung IT-Systeme auf Herz und Nieren prüft. Und gerade bei Ärzten stößt er oft auf gravierende Sicherheitslücken. „Um eine Praxis zu hacken, muss man gar nicht der Super-Hacker sein. Kreativität und Dreistigkeit reichen schon aus.“ Größtes Problem seien zu einfache Passwörter: „Praxis, Behandlung oder die Namen der eingesetzten Arztsoftware sind gängige Kennwörter in den Praxen“, sagt Wiesner.


Die laschen Schutzvorkehrungen stehen im krassen Widerspruch zu den sensiblen Daten, über die die Ärzte verfügen. Und die sie zu einem beliebten Angriffsziel von Hackern machen. Kommen Kriminelle in ihren Besitz, haben sie etwas gegen den Mediziner in der Hand. „Ärzte sind eine gut erpressbare Berufsgruppe, da es mit einem hohen Imageschaden verbunden wäre, wenn die Öffentlichkeit von einem Sicherheitsleck in der Praxis erfahren würde“, sagt Wiesner.

Ärzte unterschätzen Gefahr von Hackerangriffen

Bei vielen Medizinern herrscht indes Sorglosigkeit und Selbstsicherheit. Rund 80 Prozent der Ärzte schätzen das Risiko, selbst Opfer von Internetkriminalität zu werden, als gering oder eher gering ein, wie eine Forsa-Umfrage im Auftrag des GDV zeigt. Ebenso viele brüsten sich damit, eine gut geschützte IT zu haben. Doch Wiesner hat andere Erfahrungen gemacht. In den Arztpraxen herrsche viel Stress. Viele würden deshalb zusätzliche Hürden scheuen und ganz simple Passwörter vergeben, die sich alle Mitarbeiter leicht merken können. Einige Praxen würden sogar komplett darauf verzichten. „Wenn dann noch der Server ohne Firewall mit dem Internet verbunden ist, kann jeder im Internet darauf zugreifen – und das ist gar nicht so selten“, urteilt der IT-Sicherheitsberater.

Und auch der Mensch selbst stellt eine große Schwachstelle dar. Häufiges Einfallstor für Hacker sind E-Mails mit Dateianhängen, die Schadprogramme enthalten. Ein unbedarfter Klick kann gravierende Folgen haben, wie auch die Zahnarztpraxis in Köln bereits erfahren musste. Eine Mitarbeiterin hatte den schadhaften Anhang einer fingierten Bewerbungsmail geöffnet und dem Angreifer so Zugang zum System gewährt. Die Ärztin reagierte schnell. Sie löste den Computer sofort vom Netzwerk und zog den Stecker. „Der Computer war hinüber, aber das Netzwerk war noch nicht infiziert.“ Der Vorfall hätte auch schlimmeren Schaden anrichten können, das weiß die Medizinerin.

Aus dem Vorfall hat sie Konsequenzen gezogen und technisch aufgerüstet. Ihre IT wird regelmäßig gewartet, das erkennt auch Fachmann Wiesner schnell: „Die Systeme stellen kein kritisches Risiko dar. Das ist ein guter und wichtiger Punkt“. Nur eines bleibt der Zahnärztin noch zu tun: „Die Änderung der Zugangspasswörter steht jetzt an erster Stelle. Auch meine privaten Kennwörter werde ich ändern.“

Text: Saraida Höfer

Zur Startseite
Auch inter­essant