PEN-TEST IN 25 PRAXEN: IT-CHECK OFFENBART GROSSE SICHERHEITSLÜCKEN IN PRAXEN
Sind Ärzte gut gerüstet für die Digitalisierung? Ein IT-Check in 25 Praxen zeigt: Bei der Mehrheit stehen die Türen weit offen für Cyberattacken.
BERLIN. Die große Mehrheit der Arztpraxen bietet Hackern weitgehend ungeschützte Angriffsflächen. Darauf deutet eine Untersuchung im Auftrag des Gesamtverbands der deutschen Versicherungswirtschaft (GDV), die der „Ärzte Zeitung“ vorliegt.
Die Selbstwahrnehmung der Ärzte ist allerdings eine andere: Acht von zehn Ärzten glauben laut einer Forsa-Umfrage, ihre Praxen seien gegen Angriffe gesichert.
Tatsächlich offenbarten fast alle untersuchten Praxen Schwachstellen, die es Cyber-Kriminellen erlauben würden, die Daten zu kompromittieren, zu stehlen oder auch zu verschlüsseln und dann den Praxisinhaber zu erpressen.
Große Sicherheitslücken vor Ort
Besonders groß sind offenbar Sicherheitslücken vor Ort: Danach wurde bei 21 von 25 untersuchten Praxen (84 Prozent) das Risiko für einen internen Angriff, etwa über freiliegende Netzwerkdosen, als hoch oder sehr hoch eingestuft.
Die IT-Systeme der 25 deutschen Praxen prüfte der IT-Sicherheitsexperte Michael Wiesneraus dem Expertennetzwerk der VdS Schadenverhütung GmbH Ende 2018 für den GDV auf Herz und Nieren. Dazu testete er vor Ort in der Praxis und von außen mit Phishing-Mails und Pen-Test (Penetration, Eindringen in ein fremdes IT-System).
Die Teilnehmer hatten sich auf einen Aufruf der „Ärzte Zeitung“ hin gemeldet. So zeigten sich nach einer Forsa-Umfrage 8 von 10 Mitarbeitern überzeugt, der eigene Betrieb habe „in ausreichendem Maße Maßnahmen zum Schutz vor Internet-Kriminalität ergriffen“. Doch wie sicher sind Deutschlands Praxen wirklich?
"Nicht für die Digitalisierung gerüstet"
Mit Blick auf die Ergebnisse sagte Wiesner im Gespräch mit der „Ärzte Zeitung“, dass Ärzte so „nicht für die Digitalisierung gerüstet“ seien. Zugang zu Daten finde in vielen Praxen schon, wer kein Programmiergenie ist – ganz simpel durch die Eingangstür. Nicht gesperrte Monitore im leeren Behandlungszimmer oder nicht abgeschlossene Serverschränke machten es möglich.
Abseits davon seien zu schwache und damit schnell zu knackende Passworte ein großes Sicherheitsrisiko. „Oft werden einfach das Wort Praxis oder Namen der Ärzte oder der Software verwendet. Nur eine Praxis hatte ein komplexeres Passwort“, so Wiesner.
Ganze 22 der getesteten 25 Praxen nutzten entweder einfach zu erratende oder gar keine Passworte, in ebenso vielen Praxen teilen sich mehrere Benutzer dieselbe Zugangskennung. Abhilfe können lange Passworte schaffen, die regelmäßig geändert werden.
Wiesner empfiehlt zudem eine Zwei-Faktor-Authentifizierung, wie bei Geldkarte mit PIN. Das Verfahren könnten auch Praxen nutzen.
Attacken immer perfider
Häufiges Einfallstor für Hacker sind zudem E-Mails mit Dateianhängen, die Schadprogramme enthalten (Phishing). Auch Wiesner griff damit an. Eine angeblich von einem Arzt-Bewertungsportal stammende E-Mail informierte dabei über eine schlechte Praxisbewertung.
Bei sechs Arztpraxen war die Attacke erfolgreich, Mitarbeiter hatten die Datei heruntergeladen, womit ihr System infiziert wäre und der Hacker vollen Zugriff hätte. In einer wurde das Schadprogramm sogar ausgeführt. Die Attacken würden immer perfider, sagte Wiesner.
So versendeten Angreifer an Unternehmen mittlerweile fingierte E-Mail-Bewerbungen auf reale Stellenausschreibungen.
Ein weiteres Risiko: fehlende Sicherheitsupdates, die Wiesner in neun Praxen feststellte. Software sollte stetig aktuell gehalten werden, empfiehlt Wiesner. Auch die Datensicherung war häufig unzureichend. Zwar sicherten alle Praxen ihre Daten wöchentlich, doch nur neun Praxen verschlüsseln sie.
Ein Back-up sollte getrennt vom Hauptsystem gespeichert werden, etwa auf externen Festplatten, die wöchentlich gewechselt und an einem sicheren Ort aufbewahrt werden sollten, so Wiesner.
Zudem sollte regelmäßig überprüft werden, ob sich die Sicherungskopien überhaupt auf das System zurückspielen lassen.
Nur eine Praxis hatte schriftliches NotfallkonzeptIm Notfall sähe es in den meisten Praxen ganz düster aus: Nur eine der 25 hatte im Test ein schriftliches Notfallkonzept bei einem IT-Ausfall, die anderen verlassen sich auf den IT-Dienstleister.
10 Praxen haben jedoch weder ein Notfallkonzept noch einen entsprechenden Vertrag mit ihrem IT-Anbieter.
Wiesner bewertet die IT-Sicherheit der Testpraxen als unterdurchschnittlich. „Ärzte sind eine gut erpressbare Berufsgruppe“, warnt er.
Es sei mit hohem Imageschaden verbunden, würden ein Sicherheitsleck der Praxis öffentlich und Patientendaten kompromittiert. Mit starken Passwörtern, aktuellen Updates und Zwei-Faktor-Authentifizierung ließen sich 90 Prozent aller Cyberangriffe abwehren.
25 Praxen im Sicherheitscheck Risiko Passwort: 22 Praxen im Test nutzten sehr einfache oder gar keine Passworte.
- Risiko Mailpostfach: Sechs Praxen wurden erfolgreich per Phishing-Angriff über E-Mail attackiert (Öffnen von Datei mit Schadprogramm).
- Risiko Datensicherung: Alle erstellen mind. wöchentlich eine Datensicherung. Nur neun verschlüsseln diese.
- Risiko Sicherheitsupdate: In neun Praxen fehlten aktuelle Updates der IT-Systeme.
- Risiko Notfallplan: Nur eine Praxis hatte ein schriftliches Notfallkonzept für den Fall eines IT-Ausfalls.
(Quelle: Gesamtverband der deutschen Versicherungswirtschaft)