Mit der Datenschutz-Grundverordnung (DSGVO) ist das Thema Datenschutz auch bei Privatpersonen in den Fokus gerückt. Niemand will persönliche Daten in den falschen Händen sehen. Jedoch zeige die Vergangenheit, dass gerade in einem äußerst sensiblen und wichtigen Sektor großer Nachholbedarf besteht: beim Datenschutz im Gesundheitswesen, so die IT-Sicherheitsexperten der PSW Group. Sie verweisen dabei auf eine kürzlich erschienene Studie zur IT-Sicherheit bei Ärzten und Apotheken des Gesamtverbands der Deutschen Versicherungswirtschaft.

Demnach sind vor allem mangelndes Wissen der Mitarbeiter sowie Hürden in der Umsetzung der IT-Sicherheit Ursachen für Datenskandale. Patientendaten werden häufig unverschlüsselt und damit für jeden einsehbar per E-Mail versendet. „Aufgrund der Unwissenheit öffnen Mitarbeiterinnen und Mitarbeiter in Praxen und Apotheken E-Mail-Anhänge von zwar unbekannten, jedoch vermeintlich unauffälligen Absendern, ohne diese vorher genau zu prüfen. Fallen diese Mitarbeiter auf solche Phishing-E-Mails herein, sind Patientendaten in Gefahr. Auch durch die fehlende Verschlüsselung ist die Gefahr sehr hoch, dass digitale Patientenakten in die Hände unbefugter Dritter gelangen“, warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

Tatsächlich habe die jüngere Vergangenheit gezeigt, dass es nicht gut um den Datenschutz im Gesundheitswesen bestellt ist. Im Juli 2019 sorgte ein Cyberangriff dafür, dass ein kompletter Verbund an Krankenhäusern und Altenpflegeeinrichtungen stillgelegt wurde. Mittels eines Verschlüsselungstrojaners platzierten Cyberkriminelle demnach Ransomware in die Netzwerke des DRK Rheinland-Pfalz ein und verschlüsselten wichtige Patientendaten. „Wenngleich keine Patientendaten abgegriffen wurden, waren dennoch wichtige Daten nicht mehr verfügbar, und über Wochen konnte ein normaler Krankenhaus- oder Pflegeheimalltag kaum noch stattfinden“, erklärt Tulinska.

Erst vor einigen Monaten wurde bekannt, dass Millionen von Patientendaten auf öffentlichen Servern einsehbar waren. Auch mehr als 13.000 Datensätze von Patienten in Deutschland waren betroffen. Neben der Tatsache, dass die Bilder hochauflösend waren, waren sie auch mit personenbezogenen Daten versehen: Vor- und Zuname, Geburtsdatum, Untersuchungstermin sowie Behandlungs- und Arztinformationen waren zu finden.

Nicht ein großes Datenleck war für diesen Vorfall verantwortlich, sondern zahlreiche ungeschützte Server. Weltweit fand Sicherheitsforscher Dirk Schrader mehr als 2.300 Rechner, auf denen diese Datensätze offenlagen. „Unsichere Server waren der Grund für diesen Super-GAU. Dabei hätten relativ simple Sicherheitsmaßnahmen genügt, um dies verhindern zu können“, betont Tulinska und erläutert: „Mit sehr einfachen Sicherheitsmaßnahmen, darunter eine Zugriffskontrolle mit Nutzernamen und sicherem Passwort oder auch die Verschlüsselung der Daten und Server, wäre es gelungen, eine Katastrophe dieses Ausmaßes zu vermeiden. Bei den offengelegten Gesundheitsdaten wurden aber selbst diese leicht umzusetzenden Maßnahmen nicht angewendet.“

Die Expertin verwies darauf, dass IT-Sicherheit ein komplexes Thema ist. „Wohl auch deshalb scheuen sich viele, sich näher damit auseinanderzusetzen. Die gesetzlichen Vorgaben aus der DSGVO und dem Bundesdatenschutzgesetz können hilfreich sein, decken jedoch nicht den kompletten Alltag im Gesundheitswesen.“ Dennoch ist sie überzeugt: „Für einen effizienten Schutz von Patientendaten und für mehr Datenschutz im Gesundheitswesen sind keine hoch komplizierten Vorgänge notwendig. Fußt die IT-Sicherheit in einer Praxis oder einem Krankenhaus auf den Komponenten SSL-Verschlüsselung, E-Mail-Verschlüsselung und Awareness, ist bereits ein sehr hohes Maß an Sicherheit erreicht.“

SSL-Zertifikate sichern die Kommunikation zwischen Geräten und Servern ab. Die E-Mail-Verschlüsselung mittels S/MIME-Zertifikaten macht die Kommunikation zwischen zwei Parteien von außen uneinsehbar und schützt Nachrichten sowie Anhänge vor Manipulationen. Dennoch: IT-Sicherheit kann – allen technischen Vorkehrungen zum Trotz – immer nur so gut sein wie der Mensch, der die IT benutzt. „Aufgrund einer sich ständig weiterentwickelnden Bedrohungs- und Schutzlage ist die Beratung durch einen erfahrenen Dienstleister unabdingbar“, so Tulinska.

Weitere Informationen stehen unter www.psw-group.de/blog/datenschutz-im-gesundheitswesen-sichere-digitale-kommunikation/7198 zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.