Datenschutz und Verschlüsselung im Gesundheitswesen siechen vor sich hin

Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) offenbart: Sensible Daten von Patientinnen und Patienten nicht ausreichend geschützt.

https://pixabay.com/de/

Um den Datenschutz im Gesundheitswesen ist es schlecht bestellt: Eine neue Studie der GDV zeigt, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern sind. Hinzu kommt die Tatsache, dass viele auf Verschlüsselung verzichten – fatal, wenn es um medizinische Daten geht. »Demnach setzen neun von zehn Ärzten auf einfach zu erratende Passwörter. Gerne wird der Name des Arztes verwendet oder aber Wörter wie »Behandlung«.

In 9 Prozent aller Arztpraxen sowie 60 Prozent der Kliniken werden sogar Login- und Passwort-Kombinationen genutzt, die von Kriminellen im Darknet angeboten werden«, nennt Patrycja Tulinska, Geschäftsführerin der PSW GROUP (www.psw-group.de), die gravierenden Ergebnisse. Ihr eindringlicher Rat: »Das Thema Datenschutz im Gesundheitswesen muss mit seinen organisatorischen und technischen Maßnahmen richtig angegangen werden. Zudem gefährden Praxen und Kliniken den Datenschutz zusätzlich durch das interne Teilen von Zugängen.«

Noch schlimmer als beim Passwortschutz sieht es laut Studie bei der Verschlüsselung personenbezogener Daten aus: Knapp 1.200 niedergelassene Ärzte wurden im Rahmen der Studie untersucht. Lediglich fünf von ihnen, also 0,4 Prozent, folgen den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und nutzen E-Mail-Zertifikate.

»Nicht zuletzt gesetzliche Anforderungen sind es, die die unverschlüsselte Datenübertragung solch sensibler Daten aber eigentlich verbieten. Die Datenschutzgrundverordnung verpflichtet seit über einem Jahr zum Schutz sensibler Daten, um den Datenschutz zu gewähren«, betont Tulinska und erklärt: »Datenschutz und Datensicherheit sind aber nicht gewährleistet, wenn sensible Daten unverschlüsselt auf die Reise gehen. Es besteht die Gefahr, dass die Daten in die Hände unbefugter Dritter geraten, womit eine Verletzung der ärztlichen Schweigepflicht einhergeht.«

Der Gesundheitssektor wird zusätzlich durch das Risiko von Phishing-Mails gefährdet: In jeder zweiten Praxis öffnen die Mitarbeiter potenziell schadhafte E-Mails. 20 Prozent von ihnen klickten sogar auf Links oder öffneten Anhänge. »Die Gründe für ein solches Verhalten lassen sich wohl auf zwei Hauptgründe zurückführen: Unwissenheit sowie ein falsches Sicherheitsempfinden. Meist sind die Mitarbeiter nicht geschult im Bereich IT-Sicherheit und erkennen keine Phishing-Mails«, so Patrycja Tulinska. Eine Forsa-Umfrage zeigte in diesem Zusammenhang übrigens, dass 81 Prozent aller Ärzte glauben, die eigenen Computersysteme seien umfassend geschützt. »Und wie sollte beispielsweise eine Praxis-Mitarbeiterin Gefahren, die von Phishing-Mails ausgehen, erkennen, wenn sie die eigenen Systeme für sicher hält«, bringt es die Expertin auf den Punkt. Es wäre der Sicherheit von sensiblen Patientendaten deshalb mehr als zuträglich, wenn Ärzte, Kliniken und Apotheken die Sicherheit ihrer Systeme realistischer einschätzen könnten.

Dabei kann eine Kombination aus sicheren Passwörtern, E-Mail-Verschlüsselung und Schulungen die Sicherheit in Arztpraxen schon immens erhöhen: »Mitarbeiter müssen angehalten werden, sichere Passwörter zu generieren und diese unter keinen Umständen weiterzugeben. Weder intern, noch extern. Ein sicheres Passwort ist immer eine Kombination aus Buchstaben, Ziffern und Sonderzeichen, wobei sowohl Groß- und Kleinbuchstaben verwenden werden sollten. Ich empfehle, mindestens ein achtstelliges Passwort, besser aber ein zehn- oder zwölfstelliges, zu wählen, und dieses auch regelmäßig zu ändern«, rät Patrycja Tulinska.

Davon unabhängig sollte die elektronische Kommunikation idealerweise auch mit E-Mail-Zertifikaten abgesichert werden, um den ungewollten Abfluss von Daten zu vermeiden und die elektronische Korrespondenz zu schützen. So erfüllen Praxen dann auch einen Teil der gesetzlichen Anforderungen. »Ich rate zu sogenannten S/MIME-Zertifikaten. Sie werden durch eine öffentliche Zertifizierungsstelle ausgestellt, die die Identität des Besitzers beglaubigt. Diese E-Mail Zertifikate sind leicht eingerichtet und werden von beinah allen gängigen E-Mail-Clients auf Windows, Mac und Linux unterstützt«, so Tulinska.

Die besten Passwörter und die sicherste Verschlüsselung nützen jedoch wenig, wenn das Personal dennoch auf Phishing-Links klickt. Die Schulung und Sensibilisierung von Mitarbeitern ist deshalb ein sehr wichtiger Schritt zur IT-Sicherheit. Weitere Informationen unter: https://www.psw-group.de/blog/datenschutz-im-gesundheitswesen-verschluesselung-mangelhaft/7025

 

734 Artikel zu „Gesundheit Sicherheit“

Der Technik vertrauen können: Warum wir mehr Sicherheit im vernetzten Gesundheitswesen brauchen

Zweifelsohne haben das Internet der Dinge (IoT) und die damit verbundenen Dienste das Gesundheitswesen revolutioniert. Dafür gibt es zahlreiche Beispiele. Es ist möglich, direkt auf Patientenakten zuzugreifen, Ferndiagnosen zu stellen und entsprechende Behandlungsoptionen anzubieten. Dazu kommen Lifecycle Management und Apps zum Überwachen von Vitalfunktionen. Zwei Motive treiben das Wachstum in diesem Segment ganz besonders an.…

Gesundheitswesen als chronischer Patient in Sachen IT-Sicherheit – Herausforderungen und Lösungswege

Automatisierung ist einer der entscheidenden Schritte, um IT-Sicherheitspersonal zu entlasten und das Sicherheitsniveau zu verbessern. Die IT-Sicherheitsexperten von Vectra Networks haben im aktuellen (2017) Verizon Data Breach Investigation Report [1] bemerkenswerte Ergebnisse zur Cybersicherheit im Gesundheitswesen ausgemacht. Als Anbieter für die automatisierte Erkennung von laufenden Cyberangriffen nehmen die Spezialisten die aktuellen Erkenntnisse zum Anlass, die…

Sicherheitsarchitektur: Cloud-Sicherheit wird zum Fokusthema, nicht nur im Gesundheitswesen

In fast allen Branchen, nicht zuletzt im Gesundheitswesen, wird eine wachsende Menge an Daten in die Clouds von Amazon Web Services (AWS) und Microsoft Azure verschoben. Dies ist durchaus sinnvoll, weil beispielsweise Klinikverwaltungen sich auf die Behandlung von Patienten, anstatt die Verwaltung von Rechenzentren konzentrieren wollen. »Die Tatsache, dass die Cloud eine kostengünstigere Option ist,…

IT-Sicherheitsreport: Gesundheitsdaten ziehen Kriminelle besonders an

Cyber Security Intelligence Index 2016: Gesundheitsbranche das weltweit attraktivste Angriffsziel für Cyberkriminelle. Gefahren durch Insider in Organisationen steigen weiter an. Fast zwei Drittel mehr schwere Sicherheitsvorfälle als noch 2014. Ein aktueller IT-Security-Report von IBM listet detailliert die größten Cybergefahren des vergangenen Jahres auf: So geht aus dem neuen »Cyber Security Intelligence Index 2016« hervor, dass…

Tatort Gesundheit: Sicherheitsanalyse zu Chancen und Risiken der Vernetzung im Gesundheitswesen

Internet der Dinge verspricht große Einsparungen im Gesundheitssektor. Integrierte Sicherheit muss bei vernetzten medizinischen Geräten von Anfang an berücksichtigt werden. Der Report »Internetfähige Geräte im Gesundheitswesen« beleuchtet den Bereich der Chancen und Risiken vernetzter Geräte im Gesundheitswesen des »Internets der Dinge« (IoT) und enthält Empfehlungen für Industrie, Regulierungsbehörden sowie Ärzte [1]. Die Vernetzung des Gesundheitswesens…

CeBIT: Big-Data-Analysen für Wirtschaft, Sicherheit, Sport, Gesundheitswesen und Städteplanung

Das Hasso-Plattner-Institut (HPI) gehört in diesem Jahr zu den größten Ausstellern im Themenbereich »Research and Innovation« der CeBIT. In Halle 9 am Stand D44 präsentieren die Informatikwissenschaftler neuste Forschungs- und Entwicklungsergebnisse aus der Welt der Big Data für die »d!conomy« – so das Kunstwort für die digital economy. Es soll die Transformation hin zur vollständig…

Gesundheitscheck: Ausblick für 2015 zur IT-Sicherheitslage im Gesundheitswesen

2015 wird ein Jahr der Veränderungen für die Cyber-Sicherheit in der Gesundheitsversorgung, denn die Branche muss in dieser Hinsicht aufholen [1]. Dies betrifft das gesamte Ökosystem: kleine bis große Krankenhäuser, Krankenversicherungen, Anbieter von Healthcare-Applikationen, Hersteller medizinischer Geräte und teilweise auch Pharma- und Biotechnologie-Unternehmen. »Der Bereich der Gesundheitsvorsorge ist gekennzeichnet durch eine Technologie- und Informationsflut, ohne…

Mangelhafter Sicherheitsansatz – nur ein Viertel der Führungskräfte sind von ihrer Cybersicherheit überzeugt

Deutsche Unternehmen bekämpfen Sicherheitsbedrohungen im digitalen Zeitalter mit alten Tools. Schlechte Zeiten für die Sicherheit: Laut einer neuen Studie, die von VMware beauftragt und von Forbes Insights durchgeführt wurde, sind nur 25 % der Führungskräfte in Europa von ihrer aktuellen Cybersicherheit überzeugt [1]. Drei Viertel (76 %) der Führungskräfte und IT-Sicherheitsexperten aus der Region glauben,…

#Changehabits: Mit einer Gesundheits-App ziehen neue Gewohnheiten in den Alltag ein

Das mehrfach ausgezeichnete Health-Startup YAS.life erweitert seine kostenlose Motivations-App YAS um das Feature »Gesundheitsziele«. Das neue Tool gibt Impulse in den Bereichen Fitness, Ernährung und Mentales Wohlbefinden. Dabei funktioniert YAS ohne erhobenen Zeigefinger und motiviert niederschwellig und individuell. Finanziert wird das Präventionsprogramm, das auf selbstlernenden Algorithmen basiert, von der Pro FIT Förderung der Investitionsbank Berlin…

Sicherheitsbedürfnisse dominieren das Wohlstandsdenken in Deutschland

Ohne finanzielle Sorgen leben zu können, ist für 78 Prozent der Bundesbürger aktuell die Grundvoraussetzung dafür, im Wohlstand zu leben. Damit einhergehend setzt Wohlstand sichere Einkommen und Arbeitsplätze voraus. 68 Prozent der Deutschen verbinden mit Wohlstand die Möglichkeit, sich materielle Wünsche erfüllen zu können, so das Ergebnis des »Nationalen Wohlstandsindex für Deutschland«, den das Markt-…

Woran uns der Whatsapp-Hack erinnert: Internetsicherheit ist Einstellungssache

Nur selten bekommt der gemeine Nutzer oder die Öffentlichkeit mit, wenn ein raffinierter Schädling sich verbreitet oder eine neue Sicherheitslücke aus der üblichen Masse heraussticht und ausgenutzt wird. Dankbar haben die Medien vorige Woche den Whatsapp-Hack aufgegriffen: Es wurde bekannt, dass sich über eine Sicherheitslücke bei dem Messenger-Dienst Schadsoftware auf dem Smartphone installieren lässt. Die…

Sicherheitstipps für Huawei-Nutzer

Huawei musste am Sonntag erfahren, dass Google die Geschäftsaktivitäten mit ihnen einstellen wird. Dieser Schritt ist Teil einer aktuellen Eskalation eines Handelsstreits. Bereits jetzt steht fest, dass es keine weiteren Android-Versionsupdates für Huawei Geräte geben wird. Dies hat ernsthafte Auswirkungen auf das Benutzererlebnis sowie auf die Datensicherheit von Nutzern von Huawei-Smartphones und Tablets. Google bestätigte,…

Rohde & Schwarz Cybersecurity und Utimaco bieten hardwaregestützte Sicherheit in der Cloud

Mit der Kombination von R&S Trusted Gate des IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity und dem High-Security-Modul von Utimaco bieten die beiden Unternehmen jetzt auch hardwaregestützte Sicherheit in der Cloud. Kryptografisches Material kann separat in einem Hardware-Sicherheitsmodul generiert werden. Somit steht den Kunden zukünftig auch eine zusätzliche Hardwareoption zur Einhaltung höchster Sicherheitsanforderungen mittels R&S Trusted Gate…

Weitere Artikel zu