Von Christina Berndt, Katrin Kampling und Jasmin Klofta

Patientendaten sind in zahlreichen Arztpraxen ungenügend gegen Hacker geschützt. Das geht aus einem vertraulichen Papier der Gesellschaft Gematik hervor, das NDR und Süddeutscher Zeitung vorliegt. Demnach gibt es in mehr als 90 Prozent der Praxen, die bereits an das bundesweite Gesundheitsdatennetzwerk angeschlossen sind, Sicherheitsrisiken. Sie sind mit einer Methode an das Netzwerk angeschlossen, die eine zusätzliche technische Absicherung erfordert. Diese Absicherung wurde in der Regel aber nicht vorgenommen.

Hacker können sich daher leicht Zugang zu den sensiblen Gesundheitsdaten von Millionen Patienten verschaffen. Dass das Problem nicht nur theoretischer Natur ist, berichten Ärzte, die auf ihren Praxiscomputern bereits Schadsoftware zum Abgreifen von Daten gefunden haben.

Die Digitalisierung des Gesundheitswesens schreitet derzeit schnell voran, denn Praxen drohen Honorareinbußen, wenn sie sich nicht ans Netzwerk anschließen. Rund 115 000 der 170 000 verpflichteten Praxen sind daher inzwischen mit Krankenhäusern, Krankenkassen und Apotheken verbunden. Über die Gesundheitskarte und elektronische Patientenakten soll die Behandlung so verbessert werden.

Eigentlich hat die Gematik, die mehrheitlich dem Bund gehört, klare Vorgaben entwickelt, wie der Anschluss der Praxen zu erfolgen hat. Ob die Vorgaben aber bei der Installation von IT-Dienstleistern auch umgesetzt werden, überprüft die Gematik nicht. Schon seit Monaten warnen Computerexperten, dass viele Anschlüsse nicht den Sicherheitsstandards folgen. Dem ist die Gematik inzwischen nachgegangen - mit erschreckendem Ergebnis, wie das vertrauliche Papier zeigt, das NDR und SZ vorliegt. Demnach erfolgten bis Mai 2019 mehr als 90 Prozent der Installationen im sogenannten Parallelbetrieb, bei dem zusätzliche Schutzfunktionen unerlässlich sind, zum Beispiel eine Hardware-Firewall. Doch solche Schutzfunktionen gibt es in den meisten Praxen nicht. Die alternative Anschlussmethode, den Reihenbetrieb, würden viele IT-Dienstleister gar nicht anbieten, heißt es in dem Papier weiter.

Wie anfällig für Hacker jene Praxen sind, die im Parallelbetrieb angeschlossen wurden, hat Harald Mathis, Professor am Fraunhofer-Institut für Angewandte Informationstechnik, im Auftrag des bayerischen Fachärzteverbands exemplarisch in 30 Praxen untersucht. "Ein Drittel war sicher, und die anderen zwei Drittel waren in einem beklagenswerten Zustand", sagt er. Es bestehe das Risiko, "dass mit den Daten auch Schindluder getrieben wird".

Das Bundesgesundheitsministerium und die Gematik weisen die Verantwortung für die Sicherheitslücken von sich. Die sichere Installation sei Aufgabe der Praxen, heißt es auf Anfrage. Die Opposition erwartet hingegen "Aufklärung darüber, in wie vielen Praxen es Probleme gibt und wie sie schnellstmöglich behoben werden", sagt Maria Klein-Schmeink, die gesundheitspolitische Sprecherin der Grünen im Bundestag. "Datensicherheit muss im Gesundheitswesen so selbstverständlich werden wie Händewaschen."