Wir sind auf dem Weg in eine digitale Diktatur: gläserner Bürger, gläserner Patient. Im Gesundheitswesen ist ein laufender Betrieb ohne digitale Infrastruktur inzwischen undenkbar. Das macht die Medizin verwundbar für Cyberangriffe, immer öfter verschaffen sich Kriminelle Zugang zu sensiblen Patientendaten. Kürzlich hat die Kassenärztliche Bundesvereinigung (KBV) vor zunehmenden Hacker-Angriffen gewarnt, die Bedrohung von IT-Systemen im Gesundheitswesen steige ständig. Zwischen 2017 und 2019 ist eine von 25 Arztpraxen mindestens einmal Opfer von Cyber-Angriffen geworden, Apotheken sind noch öfter betroffen, ebenso Kliniken und auch Firmen, die entsprechende Software anbieten.
Anfang November wurde der hessische Praxis-Software-Anbieter Medatixx Opfer einer solchen Attacke, knapp ein Drittel der niedergelassenen Mediziner in Deutschland nutzen die Software des Unternehmens. Medatixx konnte nicht ausschließen, dass Daten geklaut wurden und empfahl seinen Kunden dringend, unverzüglich die Passwörter zu ändern. Wie laufen solche Cyber-Attacken ab? Viren werden in Umlauf gebracht und verschlüsseln die Daten auf dem Computer, so dass die Mitarbeiter keinen Zugriff mehr auf Patientendaten haben. Oft verlangen die Täter für die Entschlüsselung ein Lösegeld, das kann den Praxisalltag vorübergehend fast lahmlegen und bedeutet Kosten für IT-Experten, die das System wieder in Gang bringen müssen. 2016 katapultierte ein Cyber-Angriff das Lukas-Krankenhaus in Neuss zurück in die analogen 1990er-Jahre: Sämtliche Systeme mussten heruntergefahren werden, Befunde von Hand geschrieben, Röntgenbilder von Boten in die Abteilungen gebracht, Operationen abgesagt und das Krankenhaus zeitweise von der Notfallversorgung abgemeldet werden. Eine Woche dauerte es, bis die ersten Systeme wieder hochgefahren werden konnten. Das Beispiel zeigt, wie abhängig die Medizin mittlerweile von einer funktionierenden digitalen Infrastruktur ist.
„Bisher haben wir jedes Krankenhaus innerhalb von 30 Minuten geknackt.“, sagt der IT-Sicherheitsexperte und Profi-Hacker Michael Wiesner. Inzwischen checkt er vermehrt Arztpraxen und sagt, es gebe oft Sicherheitslücken in Hard- und Software und unsichere Passwörter. Offenkundig unterschätzten viele Ärzte das Risiko eines Hacker-Angriffs, so Wiesner. Kriminelle könnten auch vor Ort eine Netzwerk-Wanze platzieren oder per Fernzugriff in das System eindringen. Wer sich und die Daten seiner Patienten schützen möchte, muss viel Aufwand betreiben: das Betriebssystem muss ständig aktualisiert werden, um mögliche Sicherheitslücken zu schließen, sonst kann auch der Konnektor zum Problem werden – das ist die Hardware, die in den Arztpraxen die Verbindung zwischen Praxissystem und Telematik-Infrastruktur herstellt.
Vor zwei Jahren hatte ich darüber berichtet, dass diese Konnektoren offenbar Kinderkrankheiten haben. Vermutlich wurden viele in Deutschland falsch installiert. Es sind Fälle dokumentiert, in denen die Service-Mitarbeiter den Rechner ohne Virenschutz und Firewall ans Internet angeschlossen hatten. So konnte man von außen auf intimste Daten zugreifen. Doch nicht nur die Kinderkrankheiten des Konnektors machten vielen Ärzten Sorgen, die von einer Zwangs-Digitalisierung sprachen. „Das erste und größte Problem ist die Missachtung der Rechte aller Patienten“ schrieb Dr. Markus Fischer 2019 auf heise online: „Schlimm genug, was für ein Schrott für viel Geld angeschafft wird. Aber noch schlimmer ist, dass das kriminelle Regime uns erpresst, bei der Datenhehlerei mit unseren(!) Patientendaten mitzuwirken. Unser Recht auf informationelle Selbstbestimmung wird einfach beiseitegeschoben. Da ist eine kriminelle Verbrecherbande am Werk!“ Der Artikel, den ich damals im Netz fand, wurde inzwischen übrigens gelöscht.
In Ländern, in denen Gesundheitsdaten bereits zentral gespeichert werden, gibt es immer wieder Pannen. 2018 wurden im Stadtstaat Singapur die Gesundheitsdaten von 1,5 Millionen Menschen gestohlen. Die Hacker kopierten Datensätze mit den Namen,
der nationalen Identifikationsnummer, der Adresse, dem Geschlecht, der ethnischen Zugehörigkeit und dem Geburtsdatum von Patienten, die sich zwischen dem 1. Mai 2015 und dem 4. Juli 2018 einer Klinik hatten behandeln lassen. Was aus den Daten wurde, ist nicht bekannt. „Personenbezogene Daten sind im Internet bares Geld wert.“, sagt der Kölner Oberstaatsanwalt Markus Hartmann. „Medizinische Daten sind insoweit wertvoller als andere Daten, weil, meine Kreditkarte kann ich sperren lassen, meine Bankdaten kann ich verändern, auch sonstige Passwörter und ähnliches kann ich ändern. Aber meine medizinischen Daten sind unveränderbar. Das heißt, diese Daten sind wirklich konstante, sehr persönliche Informationen, die jederzeit missbraucht werden können.”, sagte Marco Preuss, Leiter des europäischen Forschungs- und Analyse-Teams der IT-Sicherheitsfirma Kaspersky Lab in einer Sendung der SWR-Sendung Report Mainz über Hackerangriffe auf Gesundheitsdaten. Wenn das die Patienten wüssten…
————————————-
file:///C:/Users/MeinPC/Dropbox/Mein%20PC%20(DESKTOP-28HAI01)/Downloads/publikation—aerztezeitung—cyberangriffe-auf-praxen-data.pdf
https://epa.gesundheitsdaten-in-gefahr.de/category/gematik/
https://www.bzb-online.de/sept18/bzb918_16.pdf
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.