Aktuelles, Branche, Studien - geschrieben von dp am Mittwoch, Juli 3, 2019 22:04 - noch keine Kommentare
Gesundheitswesen: Datenschutz und Verschlüsselung mangelhaft
Patrycja Tulinska kommentiert neue Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft
[datensicherheit.de, 03.07.2019] Um den Datenschutz im Gesundheitswesen scheint es schlecht bestellt zu sein: Eine neue Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) zeigt jedenfalls, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern seien. Hinzu komme die Tatsache, dass viele auf Verschlüsselung verzichteten – fatal insbesondere für medizinische Daten.
9 von 10 Ärzten nutzen einfach zu erratende Passwörter
„Demnach setzen neun von zehn Ärzten auf einfach zu erratende Passwörter. Gerne wird der Name des Arztes verwendet oder aber Wörter wie ,Behandlung‘. In neun Prozent aller Arztpraxen sowie 60 Prozent der Kliniken werden sogar Login- und Passwort-Kombinationen genutzt, die von Kriminellen im Darknet angeboten werden“, berichtet Patrycja Tulinska, Geschäftsführerin der PSW GROUP, über die gravierenden Ergebnisse.
Ihr eindringlicher Rat: „Das Thema Datenschutz im Gesundheitswesen muss mit seinen organisatorischen und technischen Maßnahmen richtig angegangen werden. Zudem gefährden Praxen und Kliniken den Datenschutz zusätzlich durch das interne Teilen von Zugängen.“
0,4 Prozent folgten BSI-Verschlüsselungsempfehlungen
Noch schlimmer als beim Passwortschutz sehe es bei der Verschlüsselung personenbezogener Daten aus: Knapp 1.200 niedergelassene Ärzte seien im Rahmen dieser Studie untersucht worden – lediglich fünf von ihnen, also 0,4 Prozent, folgten den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und nutzten E-Mail-Zertifikate.
„Nicht zuletzt gesetzliche Anforderungen sind es, die die unverschlüsselte Datenübertragung solch sensibler Daten aber eigentlich verbieten. Die Datenschutz-Grundverordnung verpflichtet seit über einem Jahr zum Schutz sensibler Daten, um den Datenschutz zu gewähren“, betont Tulinska und erklärt: „Datenschutz und Datensicherheit sind aber nicht gewährleistet, wenn sensible Daten unverschlüsselt auf die Reise gehen. Es besteht die Gefahr, dass die Daten in die Hände unbefugter Dritter geraten, womit eine Verletzung der ärztlichen Schweigepflicht einhergeht.“
Unwissenheit sowie falsches Sicherheitsempfinden erleichtern Phishing-Attacken
Der Gesundheitssektor werde zusätzlich durch das Risiko von Phishing-Mails gefährdet: In jeder zweiten Praxis öffneten die Mitarbeiter potenziell schadhafte E-Mails. 20 Prozent von ihnen klickten sogar auf Links oder öffneten Anhänge.
„Die Gründe für ein solches Verhalten lassen sich wohl auf zwei Hauptgründe zurückführen: Unwissenheit sowie ein falsches Sicherheitsempfinden. Meist sind die Mitarbeiter nicht geschult im Bereich IT-Sicherheit und erkennen keine Phishing-Mails“, warnt Tulinska.
Ärzte, Kliniken und Apotheken sollten IT-Sicherheit realistischer einschätzen!
Eine Forsa-Umfrage habe in diesem Zusammenhang übrigens gezeigt, dass 81 Prozent aller Ärzte glaubten, die eigenen Computersysteme seien umfassend geschützt. Tulinska kommentiert: „Und wie sollte beispielsweise eine Praxis-Mitarbeiterin Gefahren, die von Phishing-Mails ausgehen, erkennen, wenn sie die eigenen Systeme für sicher hält.“
Es wäre der Sicherheit von sensiblen Patientendaten deshalb mehr als zuträglich, wenn Ärzte, Kliniken und Apotheken die Sicherheit ihrer Systeme realistischer einschätzen könnten. Dabei könne eine Kombination aus sicheren Passwörtern, E-Mail-Verschlüsselung und Schulungen die Sicherheit in Arztpraxen schon immens erhöhen: „Mitarbeiter müssen angehalten werden, sichere Passwörter zu generieren und diese unter keinen Umständen weiterzugeben. Weder intern, noch extern. Ein sicheres Passwort ist immer eine Kombination aus Buchstaben, Ziffern und Sonderzeichen, wobei sowohl Groß- und Kleinbuchstaben verwenden werden sollten. Ich empfehle, mindestens ein achtstelliges Passwort, besser aber ein zehn- oder zwölfstelliges, zu wählen, und dieses auch regelmäßig zu ändern.“
Elektronische Kommunikation auch mit E-Mail-Zertifikaten absichern!
Davon unabhängig sollte die elektronische Kommunikation idealerweise auch mit E-Mail-Zertifikaten abgesichert werden, um den ungewollten Abfluss von Daten zu vermeiden und die elektronische Korrespondenz zu schützen. So erfüllten Praxen dann auch einen Teil der gesetzlichen Anforderungen.
„Ich rate zu so genannten S/MIME-Zertifikaten. Sie werden durch eine öffentliche Zertifizierungsstelle ausgestellt, die die Identität des Besitzers beglaubigt. Diese E-Mail Zertifikate sind leicht eingerichtet und werden von beinah allen gängigen E-Mail-Clients auf ,Windows‘, ,Mac‘ und ,Linux‘ unterstützt“, so Tulinska. Die besten Passwörter und die sicherste Verschlüsselung nützten jedoch wenig, wenn das Personal dennoch auf Phishing-Links klickt. Die Schulung und Sensibilisierung der Mitarbeiter sei deshalb ein sehr wichtiger Schritt zur IT-Sicherheit.
Foto: PSW GROUP
Patrycja Tulinska: Schulung und Sensibilisierung der Mitarbeiter sehr wichtiger Schritt zur IT-Sicherheit
Weitere Informationen zum Thema:
GDV DIE DEUTSCHEN VERSICHERER, 08.04.2019
Cybersicherheit im Heilwesen / Deutschlands Ärzte haben ein Passwort-Problem – Zugangsdaten häufig im Darknet zu finden
PSW GROUP, 18.06.2019
Verschlüsselung / Datenschutz im Gesundheitswesen: Verschlüsselung mangelhaft
datensicherheit.de, 30.06.2019
Digitalpolitik: Kurswechsel im Gesundheitswesen gefordert
datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln
datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen
datensicherheit.de, 20.05.2019
Cybersicherheitsrisiken im Gesundheitswesen
datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen
datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier
datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen
datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten, Studien - Apr 20, 2024 0:11 - noch keine Kommentare
World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
weitere Beiträge in Experten
- TÜV-Verband: Digitalministerkonferenz wichtiger, aber überfälliger Schritt zur Koordinierung der Digitalisierungsbestrebungen
- Cyber-Versicherungen: it’s.BB lädt zu Online-Seminar am 24. April 2024
- Neuer TeleTrusT-Podcast zu OT-/IT-Sicherheitsvorfällen und Schutzmaßnahmen
- Thomas Fuchs hat Hamburger Tätigkeitsbericht Datenschutz 2023 vorgestellt
- Bitkom-Umfrage zum Anvertrauen des Smartphones an andere
Aktuelles, Branche - Apr 19, 2024 0:09 - noch keine Kommentare
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an
weitere Beiträge in Branche
- NIS-2: Die Bedeutung der Richtlinie für die Lieferkette
- Mittels internem Marketing Verständnis für IT-Sicherheitsmaßnahmen schaffen
- RUBYCARP: Sysdig Threat Research Team deckt rumänische Botnet-Operation auf
- NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos
- Trotz strenger Gesetze und Vorschriften für IT-Sicherheit: Europa bleibt anfällig für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren