Auwehzwick! Ausgerechnet da, wo Sicherheit besonders wichtig ist, weil es um ausgesprochen sensible Daten geht, gibt es massive Mängel zu beklagen: im Gesundheitswesen. Eine aktuelle Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) stellt fest, dass es nicht sehr gut bestellt ist um den Patienten „Datenschutz“. Eigentlich müsste er stabilisiert und gesundgepflegt werden, stattdessen hat man ihn mancherorts schon in die Leichenhalle geschoben, wo er jetzt kläglich wimmert: „Hallo, ich bin noch gar nicht tot!“
In 9 von 10 Praxen der 1.200 niedergelassenen Ärzte, die in die Studie eingingen, war der Umgang mit Passwörtern katastrophal. Da wurden zum Beispiel der Arztname oder Begriffe wie „Behandlung“ und ähnlich unsichere Passwörter gewählt. Das ist in etwa so, wie wenn ein Arzt empfehlen würde: „Ach, Sie können ruhig rauchen, so gefährlich ist das nicht! Sie werden davon nicht gleich tot umfallen!“ Stimmt ja auch irgendwie. Aber wenn was passiert, ist das eine ziemliche Katastrophe. Und das Risiko, dass was passiert, ist hoch. Neben niedergelassenen Ärzten, sind übrigens auch Kliniken und Apotheken betroffen.

DIAGNOSENDIEBSTAHL IN SINGAPUR UND SICHERHEITSSÜNDER IN DEUTSCHLAND

Gesundheitsdaten sind ein wertvolles Gut und es gibt eine Menge Leute, die heiß darauf sind. Vor ziemlich genau einem Jahr, im Juli 2018, griffen Hacker in Singapur auf die Patientendaten von 1,5 Millionen Menschen zu – bei einem Land mit grade mal 5,6 Millionen Einwohnern ein ziemlich hoher Prozentsatz. Auf diese Weise brachten die Angreifer unter anderem in Erfahrung, welche Medikamente der Ministerpräsident Lee Hsien Loong verschrieben bekommt. Wem ist der Gedanke, dass Diagnosen von unbefugten Dritten eingesehen – und die Daten möglicherweise auch verkauft werden können – schon angenehm? Also, wer jetzt noch plärrt „Ich hab nix zu verbergen!“, sollte sich sicherheitshalber mal durchchecken lassen.
Patientendaten gehören zu den sensibelsten persönlichen Daten und sind deshalb besonders geschützt. Dieser Umstand muss im Gesundheitswesen Tätigen immer wieder vor Augen geführt werden. Wir leben mittlerweile im 21. Jahrhundert und wenn ein Computer in einer Arztpraxis steht, heißt das nicht, dass die Daten darauf in der Praxis bleiben. Gibt ja auch dieses Internet und so, ne?
Es ist ein falsches Sicherheitsempfinden, das dazu führt, dass Zugänge intern geteilt werden oder auch auf Verschlüsselung beim E-Mail-Verkehr verzichtet wird. Dabei wäre es gar nicht so schwer, sicher zu kommunizieren – E-Mail-Zertifikate für eine verschlüsselte Kommunikation sind kein Hexenwerk. Und trotzdem verschlüsseln nur 0,4 (!) Prozent der untersuchten Studienteilnehmer, obwohl es eine klare Verschlüsselungsempfehlung gibt.

MAIL GEÖFFNET – SYSTEM TOT

So, und jetzt bitte mal anschnallen: In der Hälfte der untersuchten Praxen öffneten die Mitarbeiter potenziell schadhafte E-Mails. Das ist erstmal nicht so schlimm und es könnte ja auch sein, dass ein Patient dringend eine Penisverlängerung braucht. Oder ein Patient könnte ja auch im Delirium geschrieben haben – auf Russisch oder in fehlerhaftem Englisch. Aber auf Schritt 1 folgt leider oft auch Schritt 2: Jeder fünfte Mitarbeiter klickte sogar auf Links in Mails oder öffnete Anhänge. Tja, als kleine Eselsbrücke zum Thema „irgendwas öffnen, wovon ich keine Ahnung habe“ empfehle ich den Satz: „Operation gelungen – Patient tot!“ Da wird auch was geöffnet und es passiert was Schlimmes…
Wirkt eine Mail dubios, sollte man mit der Sache auch entsprechend umgehen und bei Unsicherheiten lieber einmal zu oft skeptisch sein als blind auf die Sicherheit, die eine medizinische Umgebung ausstrahlt, zu vertrauen.
Als Arzt oder Apotheker muss man nicht automatisch zum Datenschutzprofi werden – dafür gibt es Experten, die sich darum kümmern. Um mich optimal um meine Gesundheit zu kümmern, muss ich ja auch nicht zwangsläufig Arzt werden. Ich muss mir allerdings bewusst machen, dass es Gefahren gibt und dass diese nicht ganz ohne sind.
Es geht dabei nicht um Panik, sondern um vernünftiges Handeln in Zeiten der Digitalisierung. Oder wie es so schön heißt: „Vorbeugen ist besser als heilen.“

AUS DER DATENSCHUTZBEWUSSTLOSIGKEIT AUFWACHEN

Also, nochmal Klartext: Wenn medizinische Daten in die Hände Dritter geraten, bedeutet das unter Umständen eine Verletzung der Schweigepflicht. Deshalb sollten gerade Ärzte und Apotheker penibel auf IT-Sicherheit achten. Personal, das mit Patientendaten umgeht, muss dringend regelmäßig geschult werden und das Thema sollte nicht zur reinen „Pflichtübung“ degradiert, sondern ernstgenommen werden. Ein zu geringes Bewusstsein für Datenschutz bedeutet in medizinischen Kontexten ein Hochrisikoverhalten. Welcher Arzt würde seinen Patienten nicht davon abraten, auf Brückengeländern und Bahngleisen zu spazieren oder mit 280 über die Autobahn zu heizen? Ja, und warum nimmt man dann „Behandlung“ oder den eigenen Namen als Passwort? Oder öffnet dubiose Mailanhänge? Würde man das in einem privaten Kontext auch tun? „Och ich nehm einfach mal meinen Namen als Passwort! Da kommt doch keiner drauf, yeah, Leben am Limit!“ Bitte, nehmt das Thema einfach ernst, auch wenn bisher „noch nie was passiert“ ist. Starke Passwörter, Verschlüsselung und regelmäßige Schulungen von Mitarbeitern sind definitiv sicherer als das Prinzip Hoffnung.