Anzeige

Gesundheitswesen Cyber Security

Um den Datenschutz im Gesundheitswesen ist es schlecht bestellt: Eine neue Studie der GDV zeigt, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern sind. Hinzu kommt die Tatsache, dass viele auf Verschlüsselung verzichten – fatal, wenn es um medizinische Daten geht.

„Demnach setzen neun von zehn Ärzten auf einfach zu erratende Passwörter. Gerne wird der Name des Arztes verwendet oder aber Wörter wie "Behandlung". In 9 Prozent aller Arztpraxen sowie 60 Prozent der Kliniken werden sogar Login- und Passwort-Kombinationen genutzt, die von Kriminellen im Darknet angeboten werden“, nennt Patrycja Tulinska, Geschäftsführerin der PSW GROUP, die gravierenden Ergebnisse. Ihr eindringlicher Rat: „Das Thema Datenschutz im Gesundheitswesen muss mit seinen organisatorischen und technischen Maßnahmen richtig angegangen werden. Zudem gefährden Praxen und Kliniken den Datenschutz zusätzlich durch das interne Teilen von Zugängen.“

Noch schlimmer als beim Passwortschutz sieht es laut Studie bei der Verschlüsselung personenbezogener Daten aus: Knapp 1.200 niedergelassene Ärzte wurden im Rahmen der Studie untersucht. Lediglich fünf von ihnen, also 0,4 Prozent, folgen den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und nutzen E-Mail-Zertifikate. „Nicht zuletzt gesetzliche Anforderungen sind es, die die unverschlüsselte Datenübertragung solch sensibler Daten aber eigentlich verbieten. Die Datenschutz-Grundverordnung verpflichtet seit über einem Jahr zum Schutz sensibler Daten, um den Datenschutz zu gewähren“, betont Tulinska und erklärt: „Datenschutz und Datensicherheit sind aber nicht gewährleistet, wenn sensible Daten unverschlüsselt auf die Reise gehen. Es besteht die Gefahr, dass die Daten in die Hände unbefugter Dritter geraten, womit eine Verletzung der ärztlichen Schweigepflicht einhergeht.“

Der Gesundheitssektor wird zusätzlich durch das Risiko von Phishing-Mails gefährdet: In jeder zweiten Praxis öffnen die Mitarbeiter potenziell schadhafte E-Mails. 20 Prozent von ihnen klickten sogar auf Links oder öffneten Anhänge. „Die Gründe für ein solches Verhalten lassen sich wohl auf zwei Hauptgründe zurückführen: Unwissenheit sowie ein falsches Sicherheitsempfinden. Meist sind die Mitarbeiter nicht geschult im Bereich IT-Sicherheit und erkennen keine Phishing-Mails“, so Patrycja Tulinska. Eine Forsa-Umfrage zeigte in diesem Zusammenhang übrigens, dass 81 Prozent aller Ärzte glauben, die eigenen Computersysteme seien umfassend geschützt. „Und wie sollte beispielsweise eine Praxis-Mitarbeiterin Gefahren, die von Phishing-Mails ausgehen, erkennen, wenn sie die eigenen Systeme für sicher hält“, bringt es die Expertin auf den Punkt.

Es wäre der Sicherheit von sensiblen Patientendaten deshalb mehr als zuträglich, wenn Ärzte, Kliniken und Apotheken die Sicherheit ihrer Systeme realistischer einschätzen könnten. Dabei kann eine Kombination aus sicheren Passwörtern, E-Mail-Verschlüsselung und Schulungen die Sicherheit in Arztpraxen schon immens erhöhen: „Mitarbeiter müssen angehalten werden, sichere Passwörter zu generieren und diese unter keinen Umständen weiterzugeben. Weder intern, noch extern. Ein sicheres Passwort ist immer eine Kombination aus Buchstaben, Ziffern und Sonderzeichen, wobei sowohl Groß- und Kleinbuchstaben verwenden werden sollten. Ich empfehle, mindestens ein achtstelliges Passwort, besser aber ein zehn- oder zwölfstelliges, zu wählen, und dieses auch regelmäßig zu ändern“, rät Patrycja Tulinska. Davon unabhängig sollte die elektronische Kommunikation idealerweise auch mit E-Mail-Zertifikaten abgesichert werden, um den ungewollten Abfluss von Daten zu vermeiden und die elektronische Korrespondenz zu schützen. So erfüllen Praxen dann auch einen Teil der gesetzlichen Anforderungen. „Ich rate zu so genannten S/MIME-Zertifikaten. Sie werden durch eine öffentliche Zertifizierungsstelle ausgestellt, die die Identität des Besitzers beglaubigt. Diese E-Mail Zertifikate sind leicht eingerichtet und werden von beinah allen gängigen E-Mail-Clients auf Windows, Mac und Linux unterstützt“, so Tulinska .

Die besten Passwörter und die sicherste Verschlüsselung nützen jedoch wenig, wenn das Personal dennoch auf Phishing-Links klickt. Die Schulung und Sensibilisierung von Mitarbeitern ist deshalb ein sehr wichtiger Schritt zur IT-Sicherheit.

Weitere Informationen unter: https://www.psw-group.de/blog/datenschutz-im-gesundheitswesen-verschluesselung-mangelhaft/7025

www.psw-group.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Datenaustausch

Datenschutz und Compliance - Datenaustausch aus dem Homeoffice

Die netfiles GmbH, ein Anbieter von virtuellen Datenräumen in Deutschland, hat die Ergebnisse ihrer aktuellen Trendstudie mit dem Titel „Datenschutz und Compliance beim Datenaustausch aus dem Homeoffice – Herausforderungen für die IT in der Corona-Krise“…
Datenbank Sicherheit

Die Sicherheit von Daten beginnt in der Datenbank

Die Datenbank ist das Herzstück eines Security-Konzepts. Der Datenbank-Pionier Couchbase nennt die vier wichtigsten Sicherheitskriterien, die sie zum Schutz sensibler Daten erfüllen muss.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!