Digitale Krankenakten von mehreren Millionen Patienten sind in deutschen Arztpraxen offenbar kaum vor Hackerangriffen geschützt. Das haben Experten des Computermagazins "c't" entdeckt.

Von Björn Siebke und Holger Bock, NDR

Die Computersysteme Tausender deutscher Arzpraxen sind offenbar nur unzureichend vor Angriffen durch Hacker geschützt. Mithilfe einer speziellen, aber offen im Netz verfügbaren Suchmaschine können Sicherheitslücken von ans Internet angebundenen Praxisrechnern entdeckt werden, wie Ronald Eikenberg von der Computerzeitschrift "c't" erklärt.

Millionenfacher Diebstahl sensibler Kranken-Daten

tagesthemen 22:45 Uhr, 09.02.2020, Björn Siebke, NDR





Download der Videodatei Wir bieten dieses Video in folgenden Formaten zum Download an: Klein (h264) Mittel (h264) Groß (h264) HD (h264) Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen. Video einbetten Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.

Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.

Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten

Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden <iframe src="https://www.tagesschau.de/multimedia/video/video-658745~player_branded-true.html" frameborder="0" webkitAllowFullScreen mozallowfullscreen allowFullScreen width="800px" height="450px"></iframe> Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Schon nach einigen Sekunden tauchen Hunderte roter Punkte auf - hinter jedem verbergen sich ein oder mehrere angreifbare Netzwerke. Mit einem automatisierten Angriff sei es kinderleicht Passwörter der Systeme zu knacken, so Eikenberg. Oft würden Ärzte Standardpasswörter verwenden, wie: "Praxis123" oder "Kennwort1".

2000 Euro für einen aktuellen Patientendatensatz

"c't"-Fachredakteur Ronald Eikenberg zeigt, wie schlecht geschützt viele Praxis-Systeme sind.

Die Daten bedeuteten für Hacker bares Geld - pro Datensatz bis zu 2000 Euro. Der Handel mit den sensiblen Daten ist auf dem digitalen Schwarzmarkt zu einem lukrativen Markt geworden. "Man kann damit definitiv reich werden", sagt Eikenberg. Das sei höchst illegal, aber es gebe genug Leute mit krimineller Energie, die das nicht störe.

Die Daten wurden zum Beispiel genutzt, um Personen gezielt zu attackieren oder zu erpressen. Ältere Daten würden dazu verwendet werden, andere weniger sensible Zugangsdaten abzugreifen oder gezielt Werbemails zu verschicken. Dieses letzte Stück der kriminellen Verwertungskette könne auch Jahre später erst passieren.

Ärzte müssen ihren EDV-Dienstleistern vertrauen können

Patienten wie Torsten Sauer ahnen wenig, wie angreifbar ihr Hausarzt geworden ist. Sie erwarten, dass die Ärztliche Schweigepflicht auch im Digitalen funktioniert. Das werde als selbstverständlich empfunden, meint Sauer. Selbstverständlich ist der Schutz vor dem Diebstahl von Krankenakten keineswegs. Der hausärztliche Internist Christian Scholber aus Hannover sagt, er sei als Arzt seinen IT-Spezialisten ausgeliefert. Und bei der Betreuung der EDV-Systeme liege vieles im Argen.

Ärzte wollen die Vertraulichkeit von Patientendaten gewähren. Doch wie sicher sind die Diagnosen, Krankmeldungen und andere medizinische Details?

Woher weiß ein Arzt, dass die EDV-Firma sich wirklich mit dem Schutz sensibler Daten auskennt und vertrauenswürdig ist? Ein Siegel oder Zertifikat gibt es nicht. Solch ein Zertifikat würde Ärzten durchaus helfen, sagt Mark Barjenbruch von der Vereinigung niedersächsischer Kassenärzte.

"Vergleichen sie es mit dem Auto. Wenn ich mein TÜV-Siegel habe, gehe ich als Fahrer und Besitzer des Autos davon aus, dass es den technischen Anforderungen entspricht." Der Kassenverbandschef sieht aber derzeit keinen Grund, unangemeldete Kontrollen in den Praxen einzuführen. Genau das fordert IT-Experte Eikenberg: Er versteht nicht, warum Hygiene strenger kontrolliert werde als die Datensicherheit.

Ein Siegel für Datensicherheit?

Für Niedersachsens oberste Datenschützerin Barbara Thiel ist die Sache klar: Als die elektronische Gesundheitskarte eingeführt wurde, habe die Politik versäumt, auch auf die Datensicherheit in den Arztpraxen zu schauen. Darum müsse nun nachgebessert werden. Ärzte sollten verpflichtet werden, sich die Sicherheit der Patientendaten bestätigen zu lassen.

Doch wann das Siegel oder Zertifikat für Datensicherheit in Arztpraxen kommen wird, ist offen. Zwar sind die Ärzte seit einem Jahr verpflichtet, ihre Praxis-EDV mit dem Internet zu verbinden, um ihre Honorare abrechnen zu können. Einheitliche Richtlinien, wie der Schutz vor Datendiebstahl technisch konkret aussehen muss, gibt es aber noch nicht.

Solange ist die digitale Tür zu den Krankenakten einer Arztpraxis bestenfalls angelehnt - aber keinesfalls verschlossen. "Man kann davon ausgehen, dass die Zahl der Praxen, die auf die eine oder andere Weise angreifbar sind oder unsicher konfiguriert sind, vermutlich eher in die Zehntausende geht", so der Computerexperte Eikenberg.

Bei durchschnittlich 850 Patienten, die pro Quartal einen Arzt aufsuchen, wären mehr als 8,5 Millionen Patientendatensätze deutschlandweit akut vom Diebstahl bedroht.

Patientendaten in Arztpraxen kaum geschützt

Holger Bock, NDR

10.02.2020 07:22 Uhr Download der Audiodatei Wir bieten dieses Audio in folgenden Formaten zum Download an: mp3 Ogg Vorbis Hinweis: Falls die Audiodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.