Cybersecurity

Arztpraxen in Gefahr

Die Bedrohung im Cyber-Raum ist so hoch wie nie – zu diesem Ergebnis kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2022 im Bericht zur Lage der IT-Sicherheit in Deutschland. Davon betroffen sind zunehmend auch die Leistungserbringer im Gesundheitswesen. Die Digitalisierung erhöht dort das Risiko von IT-Sicherheitsvorfällen. Niedergelassene Ärzte müssen ihre Praxen besser schützen, mahnen Experten.

Autor:

„Die Bedrohung durch Cyberangriffe ist weltweit gestiegen – auch im Gesundheitswesen. Praxen sollten diese Gefahr sehr ernst nehmen und vorbeugende Schutzmaßnahmen treffen“, sagt Roland Stahl, Pressesprecher der Kassenärztlichen Bundesvereinigung (KBV). Noch konkreter wird Jan Arfwedson, Leiter eHealth Hub beim Cyber-Sicherheitsrat Deutschland e.V.: „Ärzte müssen schon per Gesetz in Cybersecurity investieren. Allerdings wird hierbei erfahrungsgemäß die Bedrohungssituation völlig unterschätzt. Wie im privaten Bereich auch denkt man, dass man selbst für Cyberkriminelle womöglich nicht von Interesse ist. Cyberattacken gerade im niedergelassenen Bereich oder beispielsweise auch auf die Lieferkette nehmen massiv zu. Niedergelassene Ärzte, wie alle anderen Leistungserbringer auch, müssen sich mit diesen Themen auseinandersetzen.“

Wie man die aktuell mehr als 200.000 medizinischen Einrichtungen in Deutschland besser schützen kann, untersucht auch Christoph Saatjohann, Doktorand im Labor für IT-Sicherheit der FH Münster University of Applied Sciences. Im Fokus seiner Forschung stehen dabei unterschiedliche Aspekte – von der Telematikinfrastruktur (TI), der zentralen Plattform für digitale Anwendungen im deutschen Gesundheitswesen über IT-Sicherheitslücken in kardiologischen Implantaten bis hin zur Entwicklung neuer Werkzeuge und Maßnahmen zur Detektion und Reaktion im Falle eines Cyberangriffs.

Ärzte müssen schon per Gesetz in Cybersecurity investieren. Wie im privaten Bereich auch denkt man, dass man selbst für Cyberkriminelle womöglich nicht von Interesse ist.

Warnung vor gravierenden Sicherheitslücken

Vor den gravierenden Sicherheitslücken im Medizinsektor warnte Christoph Saatjohann gemeinsam mit Kollegen bereits mehrfach. So simulierten sie einen Hackerangriff und wären in mehreren Fällen in der Lage gewesen, sensible Patientenakten ohne Passwortschutz aufrufen zu können. Auf vielen Kommunikationswegen sei eine sichere Ende-zu-Ende-Verschlüsselung nach wie vor nicht gewährleistet, sagt der Wissenschaftler: „Klartext-E-Mails mit sensiblen Daten ohne Verschlüsselung verschicken – das geht so nicht“, mahnt der IT-Sicherheitsexperte. „Auch ein Telefax ist heute nicht mehr datenschutzkonform, da es nicht mehr wie früher analog, sondern über das Internet verschickt wird.“ Bei ihrer Untersuchung stellten sie zudem fest, dass die TI bei falscher Handhabung des sogenannten TI-Konnektors, dem zentralen Gerät für den sicheren Netzzugang, fehleranfällig ist. „Es gab zwei potenzielle Sicherheitslücken: Einmal bei einer fehlerhaften Konfiguration des Praxisnetzwerks und zum anderen beim Anschluss an ein zentrales Rechenzentrum“, erklärt Saatjohann.

Täglich werden neue Schwachstellen in Software, in Betriebssystemen oder in Anwendungen identifiziert, welche auch durch Cyber-Kriminelle zum Angriff auf Leistungserbringer wie Ärztinnen und Ärzte, Psychotherapeutinnen und Psychotherapeuten sowie Zahnärztinnen und Zahnärzte ausgenutzt werden können. Auch die beiden IT-Sicherheitsexperten Martin Tschirsich und Andre Zilch haben seit rund fünf Jahren zusammen mit anderen Experten aus dem Umfeld des Chaos Computer Clubs (CCC) immer wieder eklatante Schwachstellen und Sicherheitslücken aufgedeckt – etwa beim ePA-Testballon Vivy, bei Corona-Apps und -Impfzertifikaten, Praxissoftware, der Arzttermin-Buchungssoftware Doctolib, einem digitalen Arztkalender oder bei VideoIdent-Systemen.

Generell gilt, dass Soft- und Hardwareprodukte immer wieder erhebliche Qualitätsmängel in Bezug auf IT-Sicherheit aufweisen, bestätigt das BSI. Eine Vielzahl gravierender Schwachstellen macht es den Angreifern unnötig leicht. Auch der Faktor Mensch – in Form eines nachlässigen oder vorsätzlichen (Fehl-) Verhaltens von Mitarbeiterinnen und Mitarbeitern – spielt eine große Rolle. Daneben sind vernachlässigte Sicherheits-Updates, unbefugte Kenntnisnahmen und schlechte Dokumentation wenig beachtete, aber reale Gefährdungen. Auch im Bereich der Telemedizin bzw. dem Bereich der elektronischen Dienste im Gesundheitswesen wurde in den letzten Jahren immer wieder auf potenzielle Schwachstellen und Sicherheitslücken hingewiesen.

Wenn Hacker Analyseergebnisse verändern

Diese Gefahren können durch unterschiedliche Motivationen entstehen: Weiterverkauf personenbezogener Daten wie Gesundheitsdaten, Beseitigung eines Wettbewerbsvorteils oder Steigerung der Verhandlungsmacht. „Wir müssen mit allem rechnen, auch mit der missbräuchlichen Verwendung eines Instruments der Telemedizin, um eine Person zu überwachen oder ihr Leben in Gefahr zu bringen“, warnt Robert Wakim, Industry Offer Manager bei Stormshield, einem Anbieter für Cybersicherheitslösungen. Die sechs gängigen Risikokategorien gelten voll und ganz für die Telemedizin, sagt er: Vollständigkeit der Daten, Vertraulichkeit, Verfügbarkeit, Authentifizierung, Rückverfolgbarkeit der Kommunikation und Zuschreibung der Handlungen.

Vor Kurzem wurde bewiesen, dass ein Hacker Analyseergebnisse ändern kann, die zu einer falschen Diagnose führen. Er kann aber auch den Zugang zu den Patientenakten blockieren oder die medizinischen Geräte lahmlegen – zum Beispiel, um ein Lösegeld zu erpressen.

Auch die Teleradiologie ist ein Bereich, in dem man sich dieser Herausforderungen deutlich bewusst ist. Robert Wakim erläutert mehrere Szenarien von möglichen Angriffen. „Der Angreifer kann in Echtzeit die Daten ändern, die vom Medizingerät an den Computer des Arztes gesendet werden; er kann auch die Interpretation der Steuerung im Gerät ändern und den Blickwinkel verändern; oder aber er kann die Kontrolle über den Computer des Arztes übernehmen und das Ergebnis, das auf dem Bildschirm angezeigt wird, ändern.“

Auch die 2021 eingeführte Elektronische Patientenakte (ePA), ein Kernelement im Gesundheitswesen, ist gefährdet. Dabei sind die Anforderungen an die Datensicherheit der ePA sehr hoch. Die Daten in der ePA sind in der zentralen TI sicher abgelegt. Die Inhalte sind zudem verschlüsselt, so dass niemand außer dem Versicherten und den von ihm mit Zugriffsrechten versehenen Personen und Institutionen Inhalte lesen können. Die Server zur Verarbeitung der Daten stehen in Deutschland und unterliegen den europäischen Datenschutzbestimmungen. Auch der elektronische Medikationsplan (eMP) und die elektronische Patientenkurzakte (ePKA) sollen Teile der ePA werden. Der laufende Betrieb wird durch das Computer Emergency Response Team (CERT) der gematik überwacht und Sicherheitsvorfälle werden dem BSI gemeldet. Diese komplexen Sicherheitsstrukturen sind erforderlich, um den hohen Anforderungen an den Schutz sensibler medizinischer Daten gerecht zu werden.

„Die höchstmögliche Sicherheit muss aber auch für alle Verfahren gelten, die im Zusammenhang mit der ePA genutzt werden“ heißt es aus dem Bundesamt für Sicherheit in der Informationstechnik. So wurde beispielsweise das Online-Identifikationsverfahren VideoIdent von Krankenkassen genutzt, um Versicherte zu identifizieren, die online eine ePA beantragen. Der Chaos Computer Club (CCC) hatte hierin im August 2022 eine Schwachstelle gefunden, woraufhin die Nutzung von Videoident durch die gematik bis zur Behebung der Schwachstellen untersagt wurde. Das BSI warnt bereits seit 2017, dass Videoident nicht sicher sei.

Einfallstore absichern

Laut BSI sind Einfallstore für Cyberkriminelle nach wie vor Angriffe per E-Mail oder auf mit dem Internet verbundene Systeme, in denen Schwachstellen enthalten sind. Die größte Bedrohung ist dabei nach wie vor Ransomware. Ist ein Angriff erfolgreich, verschlüsselt ein Ransomware-Programm alle Daten auf dem Arbeitsplatzrechner und breitet sich auf andere PCs, Workstations sowie Server im Netzwerk aus. Eine erfolgreiche Ransomware-Attacke kann den Praxisbetrieb unter Umständen wochenlang lahmlegen. Diese Blockaden dauern in der Regel so lange, bis die betroffene Praxis den Erpressern das geforderte Lösegeld zahlt oder ihr IT-System neu aufgesetzt hat. Auch wird bei Ransomware-Angriffen neben der Forderung nach einem Lösegeld immer öfter damit gedroht, zuvor gestohlene Patientendaten zu veröffentlichen, sollte keine Zahlung erfolgen. Mit dieser Schweigegelderpressung erhöhen Cyber-Kriminelle den Druck auf Betroffene. Zudem haben DDoS-Angriffe (Distributed Denial of Service; Überlastungsangriffe) deutlich zugenommen. Cyber-Kriminelle versuchen mit solchen Attacken, das Zielsystem mit einer großen Datenmenge derart zu überlasten, dass es nicht oder nur sehr eingeschränkt verfügbar ist. Sie werden dazu eingesetzt, digital Schutzgeld zu erpressen. 

Laut BSI machen sich zahlreiche Praxen nicht klar, wie viele Patientendaten sich auf besonders einfach angreifbaren mobilen Geräten in E-Mails, Dokumenten, gescannten Bildern oder dem Verlauf von nicht hierfür gehärteten Messenger-Diensten enthalten sein können. Verlorengegangene oder gestohlene Notebooks, Smartphones und USB-Speicher sind häufig die Ursache für Datendiebstahl. Sensible medizinische Daten können durch einen Datenklau ungewollt veröffentlicht werden.

Eine Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) aus dem Jahr 2019 hatte aufgezeigt, wie nachlässig Ärzte sowie Apotheken hierzulande im Umgang mit Passwörtern sind. Demnach setzen neun von zehn Ärzten auf einfach zu erratende Passwörter. „Gerne wird der Name des Arztes verwendet oder aber Wörter wie ‚Behandlung‘. In neun Prozent aller Arztpraxen sowie 60 Prozent der Kliniken werden sogar Login- und Passwort-Kombinationen genutzt, die von Kriminellen im Darknet angeboten werden“, berichtet Patrycja Schrenk, Geschäftsführerin der IT-Sicherheitsfirma PSW GROUP, über die gravierenden Ergebnisse. Noch schlimmer als beim Passwortschutz sehe es bei der Verschlüsselung personenbezogener Daten aus: Knapp 1.200 niedergelassene Ärzte wurden im Rahmen dieser Studie untersucht – lediglich fünf von ihnen, also 0,4 Prozent, folgten den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des BSI und nutzten E-Mail-Zertifikate.

Christoph Saatjohann

Schutz vor Hackerangriffen selbst in die Hand nehmen

Der Gesetzgeber hat die potenzielle Gefahrenlage von Leistungserbringern in der zunehmenden Digitalisierung identifiziert und die Kassenärztliche Bundesvereinigung (KBV) und Kassenzahnärztliche Bundesvereinigung (KZBV) beauftragt, IT-Sicherheitsanforderungen im Einvernehmen mit dem BSI zu definieren. 

Die Anforderungen, welche das Ziel verfolgen, ein grundlegendes Sicherheitsniveau zu etablieren und somit eine Schutzwirkung verfolgen, wurden 2020 erstmals veröffentlicht und werden regelmäßig von den Beteiligten evaluiert und aktualisiert. Zusätzlich unterstützt das BSI die Umsetzung der IT-Sicherheitsrichtlinie nach § 75b SGB V durch begleitende Publikationen.

Dennoch rät Gisa Kimmerle, Head of Cyber beim Spezialversicherer Hiscox Deutschland, Praxisinhabern, im Kampf gegen Datenräuber selbst tätig zu werden. „Auf jeden Fall müssen Ärzte in Cybersecurity investieren! Mindestens müssen sie regelmäßige und sichere Back-Ups sowie ein professionelles Patch-Management realisieren, also das zeitnahe Einspielen von Updates, um Sicherheitslücken zu schließen. Verwendete Altsysteme müssen abgesichert werden. Das im medizinischen Bereich besonders wichtige Thema Datenschutz muss beachtet und die entsprechenden Richtlinien sollten implementiert werden.“

Um die Praxen dabei zu unterstützen, hat die KBV eine spezielle Sicherheitsrichtlinie entwickelt. „Die IT-Sicherheitsrichtlinie der KBV, die mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmt ist, soll die Anforderungen der Datenschutzverordnung in konkrete Maßnahmen für Arztpraxen übersetzen und helfen, die IT-Systeme zu schützen. Sie wird fortlaufend auf aktuelle Entwicklungen angepasst“, sagt Roland Stahl. „Darüber hinaus darf aber auch die Sensibilisierung der Mitarbeitenden für Cyber-Gefahren nicht vergessen werden.“

Denn die aktuelle Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense macht deutlich: Ein Drittel der Angestellten in Deutschland gefährdet die IT-Sicherheit des Unternehmens. Damit nicht genug: Das Wissen um IT-Sicherheit ist im Gesundheitssektor am geringsten.

„Damit diese Mitarbeiter keine Risikoquelle oder potenzielle Sicherheitslücke darstellen, müssen sie gezielt geschult werden. Ein einmaliges unbeabsichtigtes Fehlverhalten eines einzigen Praxismitarbeitenden genügt, um in die Fänge von Cyberkriminellen zu gelangen, etwa durch das Nichterkennen eines Phishing-Angriffs“

Dazu zählen regelmäßige Sicherheitsschulungen, in denen folgende Inhalte vermittelt werden sollten: Identifizierung von Phishing-Attacken, Beherrschung der Passwort-Regeln, sicheres Surfen im Internet, Risiken im Umgang mit Social Media sowie die Anwendung einer Clean Desk Policy. Auch die IT-Notfallkarte „Verhalten bei IT-Notfällen“ der Allianz für Cyber-Sicherheit (ACS) sollte in der Praxis an zentraler Stelle aufbewahrt werden. Sie gibt den Beschäftigten wichtige Verhaltenshinweise bei IT-Notfällen aller Art an die Hand.

Betriebssysteme und Software aktuell halten

„Zu den wichtigsten Maßnahmen für niedergelassene Ärztinnen und Ärzte zählen aktuelle Betriebssysteme und aktuelle Software“, sagt der KBV-Sprecher. „Updates sind essenziell, um erkannte Sicherheitslücken zu schließen. Wichtig sind auch der Schutz vor Schadsoftware durch Virenscanner – idealerweise überall dort, wo es potenzielle Eingangstore für gefährliche Dateien gibt – und die Datensicherung. Es empfiehlt sich, die Daten mehrfach und in jedem Fall verschlüsselt zu sichern.“ Die Maßnahmen – Security-Patches, Backups, Awareness-Schulungen, Phishing-Prävention und Übungen zur Reaktion auf Vorfälle – sind allesamt wichtige Pfeiler der Cyber-Sicherheit, die ebenfalls im Kontext der Leistungserbringer die Gefahr eines erfolgreichen Cyber-Angriffs minimieren können.

Zudem so Roland Stahl, kann es ratsam sein, sich einen Sicherheitsexperten in die Praxis zu holen. Die KBV veröffentlicht eine Liste von Dienstleistern, die speziell nach Paragraf 75B Absatz 5 des Fünften Sozialgesetzbuchs für Informationssicherheit/IT-Security zertifiziert sind unter: https://www.kbv.de/media/sp/KBV_ISAP_Dienstleister_ZERT_P75b_SGBV.pdf

Einen Selbsttest für Praxen bietet der KBV-Praxis-Check „Datenschutz und Informationssicherheit“. Hier können Ärztinnen und Ärzte anhand von 15 Fragen relevante Aspekte rund um den Schutz ihrer Patientendaten überprüfen – von Aufbewahrungsfristen der Patientenunterlagen über Risiko- und Fehlermanagement bis hin zu Zugängen zu IT-Systemen. 

Das BSI begrüßt, dass mittlerweile rund 30 Versicherungsunternehmen inzwischen auch Cyber-Versicherungen anbieten, weil der Abschluss einer Cyber-Versicherung meist daran geknüpft ist, dass bestimmte Cyber-Sicherheitsmaßnahmen umgesetzt oder IT-Standards erfüllt werden. Eine Cyber-Versicherung sei aber in keinem Fall ein Ersatz für die Umsetzung von Cyber-Sicherheitsmaßnahmen. Allerdings könne sie eine Möglichkeit sein, die eventuellen Folgen eines Cyber-Angriffs abzufedern, sich vor Vermögensschäden durch Hacker-Angriffe zu schützen und dafür zu sorgen, dass die Systeme im Schadenfall schnell wieder funktionsfähig sind.

Großer Nachholbedarf im Bereich IT-Sicherheit

Den Mahnern geht jedenfalls die Arbeit nicht aus: Im Februar steht bei einer Konferenz des „DFN-CERT“, dem „Computer Emergency Response Team“ (CERT) des Deutschen Forschungsnetzes (DFN), der nächste Fachvortrag an. Erneut geht es um unsichere E-Mail-Kommunikation. Christoph Saatjohann und Fabian Ising, ebenfalls Doktorand im Labor für IT-Sicherheit der FH Münster, referieren zum Thema „KIM: Kaos in der Medizin – Unsichere Mails in der TI“. Im Mittelpunkt stehen Schwachstellen im Clientmodul der Fachanwendung Kommunikation im Medizinwesen (KIM). Das Modul soll Nachrichten beim Versand verschlüsseln und signieren sowie E-Mails beim Abruf entschlüsseln und die Signatur prüfen. Die FH-Doktoranden hatten der gematik, der nationalen Agentur für digitale Medizin und Verantwortungsträgerin der TI, im Frühjahr 2022 Sicherheitslücken gemeldet. „Im Medizinsektor gibt es grundsätzlich großen Nachholbedarf im Bereich IT-Sicherheit“, fasst Saatjohann zusammen. „In kaum einem Bereich ist die Sicherheit von Daten und die Vermeidung unberechtigter Zugriffe so wichtig wie im Gesundheitswesen.“

Weitere Beiträge

230505_chronik
Chronik der Telematik­infrastruktur – 2001 bis 2024
230606_DG_Motivaufnahmen-49_web
Digitalisierung im Gesundheitswesen: Wer, wie, was – und warum?
Symbolbild - Digitalwissen für alle
Es ist angerichtet: Digitalisierungswissen für alle
Grafik/Organigramm Qualifizierte Elektronische Signatur (QES)
Die qualifizierte elektronische Signatur (QES)
Kommunikation im Medizinwesen (KIM)
KIM-Adressen im zentralen Verzeichnis finden

Weitere Themengebiete

Wir freuen uns über Ihre Beteiligung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert