News

PSW warnt: Datenschutz im Gesundheitswesen mangelhaft

Besseres Verständnis für IT-Sicherheit unabdingbar für Gesundheitssektor

04.07.2019 - Eine Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft offenbarte kürzlich, dass Ärzte sowie Apotheken in Deutschland nachlässig im Umgang mit Passwörtern umgehen un...

Eine Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft offenbarte kürzlich, dass Ärzte sowie Apotheken in Deutschland nachlässig im Umgang mit Passwörtern umgehen und auf die nötige Verschlüsselung verzichten - auch, wenn es um sensible medizinische Daten geht. PSW betont vor dem Hintergrund dieser Ergebnisse die Wichtigkeit von IT-Schulungen, auch im Gesundheitssektor.

„Demnach setzen neun von zehn Ärzten auf einfach zu erratende Passwörter. Gerne wird der Name des Arztes verwendet oder Wörter wie "Behandlung". In neun Prozent aller Arztpraxen sowie 60 Prozent der Kliniken werden sogar Login- und Passwort-Kombinationen genutzt, die von Kriminellen im Darknet angeboten werden“, gibt Patrycja Tulinska, Geschäftsführerin der PSW Group, die Ergebnisse wider.

„Das Thema Datenschutz im Gesundheitswesen muss mit seinen organisatorischen und technischen Maßnahmen richtig angegangen werden. Zudem gefährden Praxen und Kliniken den Datenschutz zusätzlich durch das interne Teilen von Zugängen.“

Wenig Sicherheit für personenbezogene Daten
Knapp 1.200 niedergelassene Ärzte wurden im Rahmen der Studie untersucht. Lediglich fünf von ihnen - also 0,4 Prozent - folgen den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des Bundesamts für Sicherheit in der Informationstechnik und nutzen E-Mail-Zertifikate.

„Nicht zuletzt gesetzliche Anforderungen sind es, die die unverschlüsselte Datenübertragung solch sensibler Daten eigentlich verbieten. Die Datenschutz-Grundverordnung verpflichtet seit über einem Jahr zum Schutz sensibler Daten, um den Datenschutz zu gewähren“, betont Tulinska und erklärt: „Datenschutz und Datensicherheit sind aber nicht gewährleistet, wenn sensible Daten unverschlüsselt auf die Reise gehen. Es besteht die Gefahr, dass die Daten in die Hände unbefugter Dritter geraten, womit eine Verletzung der ärztlichen Schweigepflicht einhergeht.“

Einfallsstelle Phishing-Mails
Der Gesundheitssektor wird zusätzlich durch das Risiko von Phishing-Mails gefährdet: In jeder zweiten Praxis öffnen die Mitarbeiter potenziell schadhafte E-Mails.
20 Prozent von ihnen klickten sogar auf Links oder öffneten Anhänge.

„Die Gründe für ein solches Verhalten lassen sich wohl auf zwei Hauptgründe zurückführen: Unwissenheit sowie ein falsches Sicherheitsempfinden. Meist sind die Mitarbeiter nicht geschult im Bereich IT-Sicherheit und erkennen Phishing-Mails nicht als solche“, so Patrycja Tulinska.

Demnach sei es für die Sicherheit von sensiblen Patientendaten mehr als zuträglich, wenn Ärzte, Kliniken und Apotheken die Sicherheit ihrer Systeme realistischer einschätzen könnten. Dabei könne eine Kombination aus sicheren Passwörtern, E-Mail-Verschlüsselung und Schulungen die Sicherheit in Arztpraxen schon immens erhöhen.

„Mitarbeiter müssen angehalten werden, sichere Passwörter zu generieren und diese unter keinen Umständen weiterzugeben - weder intern, noch extern. Ein sicheres Passwort ist immer eine Kombination aus Buchstaben, Ziffern und Sonderzeichen, wobei sowohl Groß- und Kleinbuchstaben verwendet werden sollten. Ich empfehle, mindestens ein achtstelliges Passwort, besser aber ein zehn- oder zwölfstelliges, zu wählen, und dieses regelmäßig zu ändern“, rät Tulinska.

Davon unabhängig sollte die elektronische Kommunikation idealerweise auch mit E-Mail-Zertifikaten abgesichert werden, um den ungewollten Abfluss von Daten zu vermeiden und die elektronische Korrespondenz zu schützen. So erfüllen Praxen dann auch einen Teil der gesetzlichen Anforderungen.

„Ich rate zu sogenannten S/MIME-Zertifikaten. Sie werden durch eine öffentliche Zertifizierungsstelle ausgestellt, die die Identität des Besitzers beglaubigt. Diese E-Mail Zertifikate sind leicht eingerichtet und werden von beinahe allen gängigen E-Mail-Clients auf Windows, Mac und Linux unterstützt“, so Tulinska.

Die besten Passwörter und die sicherste Verschlüsselung nützen jedoch wenig, wenn das Personal dennoch auf Phishing-Links klicke: Die Schulung und Sensibilisierung von Mitarbeitern sei daher ein sehr wichtiger Schritt zur IT-Sicherheit.

Kontakt

PSW Group

Flemingstraße 20-22
D-36041 Fulda
Deutschland

030 / 530 47 73 - 0