Patientendaten sind leichte Beute

Ein Test zeigt: Die IT-Netzwerke von Arztpraxen weisen zum Teil gravierende Sicherheitslücken auf. Das kann auch für Patienten gefährlich werden.

Auch gespeicherte Röntgenbilder in Patientendossiers sind vor Hackern nicht sicher. Foto: Callista Images (plainpicture)

Auch gespeicherte Röntgenbilder in Patientendossiers sind vor Hackern nicht sicher. Foto: Callista Images (plainpicture)

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Wie leichtgläubig sind Ärzte? Zumindest Christoph Niederberger reagiert schlagfertig, als er von Tagesanzeiger.ch/Newsnet gefragt wird, ob man seine Praxis auf Datensicherheit überprüfen dürfe. «Woher weiss ich, dass das nicht schon der Test ist?»

Der Hausarzt hatte an unserer Umfrage bei 256 Ärzten teilgenommen. 110 von ihnen, darunter der Allgemeinmediziner aus Wil SG, bekundeten darin ihr Interesse an einer IT-Sicherheitsüberprüfung. Der Check, durchgeführt von der Churer Firma First Security Technology AG, sollte zeigen, wie anfällig Arztpraxen für Cyberangriffe sind, wie gravierend deren Sicherheitslöcher, und wie diese am besten gestopft werden können.

Niederberger hat vorbildlich auf die Anfrage reagiert – weil vorsichtig. Weder kannte er die Journalisten von Tagesanzeiger.ch/Newsnet noch die Mitarbeiter der Firma First Security persönlich. Der Kontakt lief anfangs nur über E-Mail. «Dahinter könnte jeder stecken», sagte sich der Arzt.

Schwachstelle Mensch

Tatsächlich beginnen viele Cyberangriffe mit einer E-Mail, deren Absender den Empfängern unbekannt sind. Letztere klicken gedankenlos auf den PDF-Anhang oder das Word-Dokument einer fingierten Rechnung. Schon lädt im Hintergrund ein Programm, das die IT-Sicherheit ausschaltet. In der Branche gilt deshalb: Das grösste Einfallstor in ein IT-Netzwerk ist immer der Mensch, sei das Angriffsziel nun eine kleine Arztpraxis, sei es eine Grossfirma, wie aktuell das Beispiel des Rüstungskonzerns Ruag.

Erst nachdem sich Niederberger von der Identität der Mailabsender überzeugt hatte, willigte er ein, an der IT-Schwachstellenanalyse teilzunehmen; gemeinsam mit zehn weiteren Arztpraxen aus der ganzen Schweiz. Von den total elf testwilligen Ärzten liessen sich nur die Ergebnisse von sieben auswerten. In den restlichen vier Fällen war der Sicherheitstest nicht möglich, weil die Praxen die nötigen Geräte nicht richtig installierten, sie ihre Computer nicht einschalteten oder weil die Internetverbindung zu langsam war.

Keine Updates, keine Firewall

Das Resultat: Alle sieben getesteten Arztpraxen wiesen Sicherheitsprobleme auf. Einer der Ärzte benutzte einen veralteten, ohne Passwort gesicherten WLAN-Router. Mit wenig Aufwand könnte man so den Datenverkehr ausspionieren, um Passwörter oder E-Mails zu stehlen. In einer anderen Praxis war es möglich, von extern die Firewall auszuschalten. So könnten unbemerkt Viren in die ­Praxis eingeschleust werden.

In zwei der sieben Arztpraxen stiess die Firma First Security auf schwerwiegende Löcher. In beiden Fällen betrafen diese sogenannte NAS. Die Abkürzung steht für Network Attached Storage, auf Deutsch: netzgebundene Speicher. Diese werden eingesetzt, um unterwegs auf Daten zuzugreifen, die im Falle der Ärzte auf dem Computer in der Praxis abgespeichert sind. Sie sind besonders bei Privatnutzern beliebt, um etwa Fotos abzulegen – und sie so jederzeit greifbar zu haben. Weil NAS so günstig und einfach zu handhaben sind, setzen auch ­immer mehr KMU darauf; wie der Test zeigte, gehören auch Arztpraxen dazu. Diese verwenden diese Art von Speichern aber nicht für Ferienfotos, sondern für sensible Patientendaten.

Die Betroffenen merken nicht, dass sie bestohlen werden.

Beide betroffenen Arztpraxen setzten netzwerkgebundene Speicher der Firma Synology ein. Trotz deren Empfehlung, die regelmässigen Sicherheitsupdates durchzuführen, verzichteten die Ärzte darauf. Die NAS der Praxen waren zudem nicht mit einer Firewall geschützt. Das würde es für Cyberkriminelle noch einfacher machen, an gespeicherte Röntgenaufnahmen, Laborberichte oder Gesundheitschecks zu kommen.

Umfrage

Glauben Sie, Ihre Patientendaten sind von Ihrem Arzt genügend geschützt?




Die Hacker bräuchten dafür nicht einmal besonders gewieft zu sein. Sie könnten via Internet das Passwort der Geräte zurücksetzen lassen und dann das automatisch generierte E-Mail abfangen, indem sie das offene WLAN in den Praxen ausspionieren. Ist das zu aufwendig, gäbe es die Variante Vorschlaghammer. Mit einer kostenlosen Software könnten die Kriminellen automatisch alle Passwortkombinationen prüfen. Das kann je nach Passwortlänge zwar Wochen dauern. Doch irgendwann ist das Passwort geknackt. NAS-Geräte, die wie im Fall der beiden Ärzte ohne Firewall in Betrieb sind, können solche millionenfache Passworteingaben nicht verhindern. Das Perfide: Die Betroffenen merken nicht, dass sie bestohlen werden, weil die Originaldaten auf ihrem Computer noch unbeschädigt vorhanden sind.

Spektakuläre Hackerangriffe

Aber wie hoch ist das Risiko für kleine Privatpraxen überhaupt? Tatsächlich ist es in jüngster Zeit zu spektakulären Fällen gekommen. Im Januar dieses Jahres wurde etwa das Hollywood Presbyterian Medical Center in Los Angeles Opfer von Cyberkriminellen. Die Ärzte des Luxusspitals mussten umgerechnet 3,7 Millionen Franken an Hacker bezahlen, um Zugang zu gestohlenen Patientendaten zurückzuerhalten. Die Kriminellen waren in das Spitalsystem eingedrungen und hatten sensible Daten verschlüsselt. Für die Patienten der Super-GAU. Auf einen Schlag waren ihre Krankenakten von den Ärzten nicht mehr einsehbar. Wenn der Arzt oder die Pflegeperson nicht weiss, wie ein Patient behandelt wurde, welche Medikamente er wie oft braucht, kann das schnell lebensbedrohlich werden. Davon abgesehen, könnten die Hacker die Patientendaten an Unbefugte weiterverkaufen – beispielsweise an Arbeitgeber.

Ähnliches erlebten im Februar zwei Spitäler in Deutschland: Cyber-Gangster nahmen Patientendaten des Neusser ­Lukaskrankenhauses bei Düsseldorf als Geisel. Dasselbe passierte im Klinikum Arnsberg bei Dortmund. Hier poppten auf Bildschirmen der Klinik Lösegeld­forderungen auf, weil die Server gehackt wurden. Auch kleine Arztpraxen rücken ins Visier der Hacker, wie letztes Jahr der Fall eines Arztes aus Freiburg im Breisgau zeigte. Auch in der Schweiz gab es vereinzelte Fälle, wie die FMH auf Anfrage sagt. Details sind nicht bekannt.

«Eigentlich sollten Ärzte ihre IT-Systeme regelmässig überprüfen, um Löcher zu finden.»Pascal Mittner, CEO First Security

Pascal Mittner, Chef von First Security, der den Test für Tagesanzeiger.ch/Newsnet durchführte, sagte: «Es gibt kein Allheilmittel gegen Cyberangriffe, genauso wie es kein Allheilmittel dagegen gibt, zu Hause ausgeraubt zu werden.» Es seien auch bei weitem nicht nur Ärzte, die sorglos mit Speichersystemen umgingen, die am Internet hängen. Bei einem schweizweiten Scan, dessen Ergebnisse seine Firma in ihrem Swiss Vulnerability Report Anfang Juni veröffentlicht und den der TA bereits einsehen konnte, stiess Mittner auf mehrere Tausend NAS-Geräte, die schutzlos im Netz hingen. Unter ihnen befinden sich auch die Datenspeicher von Anwälten und Treuhändern.

Mittner stellt fest, dass Ärzte zu den Berufsgruppen gehörten, die es besonders nötig hätten, ihr Sicherheitsbewusstsein im Internet zu überdenken. Er empfiehlt Daten-Backups an einem sicheren Ort – etwa im internen Netzwerk, einer separaten, gut geschützten Netzwerkzone für Backups oder bei einer auf Backups spezialisierten Firma. Auch die Kontrolle der Firewall-Einstellungen sei wichtig. «Eigentlich sollten die Ärzte ihre Systeme regelmässig überprüfen, um überhaupt zu wissen, wo es Löcher gibt.» Ähnlich wie ein regelmässiger Gesundheitscheck beim Menschen Auskunft über den aktuellen Zustand gebe und auf künftige Probleme hinweisen könne, gebe eine solche Prüfung wichtige Hinweise für Massnahmen in der IT.

Hausarzt Niederberger erachtet das Resultat der IT-Schwachstellenanalyse als «bedenklich bis erschütternd». Er sei davon ausgegangen, «alle erdenklichen Massnahmen» ergriffen zu haben, um sein IT-System gegen Angriffe von aussen zu schützen. Auch deshalb habe er am Test teilgenommen und auf eine «Top-Note» gehofft. «Wenn wir schon durchfallen, wie steht es dann mit all den Praxen, die sich dieser Prüfung nicht stellten?»

Erstellt: 27.05.2016, 21:32 Uhr

Artikel zum Thema

Hacker dringen in Schweizer Arztpraxen ein

Die Cyber-Kriminellen verschlüsselten Patientendaten und wollten Geld erpressen. Mehr...

Jeder zehnte Arzt verletzt die Schweigepflicht

Eine Umfrage von Tagesanzeiger.ch/Newsnet zeigt, dass etliche Ärzte Patientendaten nicht verschlüsseln. Sie verletzen somit gleich reihenweise das Arztgeheimnis und machen sich strafbar. Mehr...

Schutzlose Patienten

Kommentar Nur wenige Ärzte machen sich die Mühe, die Daten ihrer Patienten zu verschlüsseln. Das rächt sich. Mehr...

IT-Schwachstellenanalyse

Elf Arztpraxen im Test

82 Prozent aller Ärzte in der Schweiz speichern ihre Patientendaten lokal auf ihrem Computer – also praxisintern. Das zeigte kürzlich eine Onlineumfrage von Tagesanzeiger.ch/Newsnet, an der 256 Ärzte teilgenommen hatten. Elf von ihnen liessen ihre Systeme von der Churer Firma First Security auf Herz und Nieren überprüfen. Sie hängten dafür während 24 Stunden ein kleines Gerät an ihre Computer, das ihnen die Bündner zur Verfügung stellten. Die Box identifizierte Systeme, die im gleichen Netzwerk angeschlossen sind, zum Beispiel WLAN-Router, Handys, Datenspeicher oder medizinische Geräte wie Röntgenscanner. Sodann ermittelte der Test, welche dieser Geräte für Angriffe von aussen Sicherheitslücken aufwiesen und somit teilweise das ganze System in Gefahr bringen. (bsk)

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blog

Kommentare

Paid Post

Weg mit hartnäckigen Fettdepots und Cellulite!

Sie möchten abnehmen, ohne auf lästige Diäten zurückzugreifen und ohne Sport machen zu müssen? Slim&more zeigt Ihnen, wie Ihre Pfunde ganz ohne Pillen und Eingriffe purzeln.

Die Welt in Bildern

Notlage: Eine palästinensische Flüchtlingsfamilie wärmt sich bei kaltem Wetter im Süden des Khan-Younis-Flüchtlingslagers im Gaza-Streifen an einem Feuer. (21. Januar 2020)
(Bild: Mohammed Saber/EPA) Mehr...