„Bodenloser Leichtsinn bei Ärzten und Apothekern“

Wenig Sensibilität für IT-Risiken

Der Gesamtverband der Deutschen Versicherungswirtschaft hat eine Untersuchung über Cyberrisiken bei Ärzten und Apotheken durchgeführt. 25 Arztpraxen haben sich hierfür auf freiwilliger Basis den Künsten eines Hackers preisgegeben. Die dabei durchgeführten Phishing-Attacken hatten oft Erfolg. Es zeigte sich, dass den Betroffenen Risiken bewusst sind, eine eigene Gefährdung aber kaum für möglich halten. Arztpraxen und Apotheken sind jedoch in hohem Maße von einer funktionierenden IT abhängig.

Der sorglose Umgang mit sensiblen Daten und viel zu leicht zu entschlüsselnde Passwörter treffen vermutlich nicht auf große Teile der Ärzteschaft zu. Wie leicht aber jeder im Netz auszuspionieren ist, wurde am Montag in Berlin auf einer Pressekonferenz des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) zu speziellen Cyberrisiken bei Ärzten und Apotheken demonstriert.

Der Versichererverband hatte dazu den „guten“ Hacker Michael Wiesner, Mitglied im Chaos Computer Club (CCC), eingeladen. Er nutzte für seine Präsentation nur eine unter Hackern weit bekannte Software. Der GDV hatte von September bis Dezember 2018 eine dreistufige IT-Sicherheitsuntersuchung zu Cyberrisiken speziell bei Ärzten, Krankenhäusern und Apotheken initiiert.

Eigene Gefährdung wird nicht erkannt

22 von 25 Arztpraxen aus den verschiedensten Fachrichtungen hätten sehr einfach zu erratende Passwörter wie etwa Behandlung, Praxis oder den Namen des Arztes benutzt, sagte Wiesner der zudem im Expertennetzwerk des VdS Schadenverhütung GmbH arbeitet. Zum bodenlosen Leichtsinn gehöre auch, wenn überhaupt kein Passwort benötig werde. Auch einen solchen Fall konnte Wiesner live vorführen. Dabei achtete er stets darauf, nicht die Grenze zur Straftat zu überschreiten.

Der Vorsitzende der Projektgruppe Cyberversicherung im GDV, Gert Baumeister, verwies auf eine im Auftrag des GDV vorgenommene Befragung unter Arztpraxen und Apotheken der Forsa Politik- und Sozialforschung GmbH. Darin wird das Risiko, Opfer von Cyberkriminalität zu werden, durchaus gesehen (Ärzte: 44 Prozent, Apotheker: 48 Prozent). Eine eigene Gefährdung wird aber kaum für möglich gehalten (Ärzte: 17 Prozent, Apotheker: 23 Prozent).

IT-Ausfälle legen schnell Praxen und Apotheken lahm

Dabei sind Arztpraxen und Apotheken in hohem Maße von einer funktionierenden IT abhängig. Ein mehrtägiger Ausfall der IT-Systeme würde nach den Umfrageergebnissen in über drei Viertel der Arztpraxen zu starken oder sehr starken Einschränkungen führen. Bei den Apotheken sahen sich sogar 97 Prozent betroffen.

Baumeister zufolge herrscht in den Arztpraxen und Apotheken ein gefährlicher Irrglaube. „Unsere Computersysteme sind geschützt“, würden 89 Prozent der Apotheken und 80 Prozent der Arztpraxen glauben. Für Hacker Wieser ist dagegen klar, dass viele IT-Dienstleister nicht das leisten, was sie eigentlich müssten. Hier fehle es an einer Dienstleisterhaftung.

Eine Cyberpolice könne zwar als Rettungsanker dienen, sagte Baumeister. Allerdings gebe es die Versicherung erst, wenn Mindesthürden bei der IT eingehalten würden. „Erst sichern, dann versichern.“

Wiesner: Menschliche Neugier führt zum Datenverlust

Hacker Wiesner zufolge führten sogenannte Phishing-Attacken viel zu oft zum Erfolg. Bei sechs der 25 am Test beteiligten Arztpraxen sei der Phishing-Angriff erfolgreich gewesen. Man müsse nur geschickt die menschliche Neugier wecken. Sechs Mal sei die dabei eingesetzte Mail geöffnet und in fünf Fällen auch der angehängte Mailanhang heruntergeladen worden. In einem Fall sei sogar das Schadprogramm ausgeführt worden.

In den Arztpraxen würden zwar die Daten regelmäßig wöchentlich gesichert. Aber nur in neun von 25 Fällen seien die Daten auch verschlüsselt worden. Dem Datendiebstahl werde so Tür und Tor geöffnet. Und auch nur in vier Fällen habe es Tests gegeben, ob sich die Daten auch wiederherstellen lassen. Hier herrsche blindes Vertrauen, sagte Wiesner.

Autor: Manfred Brüss

Quelle: VersicherungsJournal am 9. April 2019