1 41 Table of Contents 43 124

Zahnärztliche Mitteilungen Nr. 09

zm 109, Nr. 9, 1.5.2019, (42) Ärzte gehen nachlässig mit Passwörtern in ihren Praxen um und gefährden damit die Sicherheit von Patientendaten. So lautet das Ergebnis einer Untersuchung zur IT-Sicher- heit im Gesundheitssektor im Auftrag des Gesamtverbands der Deutschen Versiche- rungswirtschaft (GDV) – durchgeführt von dem Computersicherheitsexperten Michael Wiesner. Wiesner ist ein sogenannter „White hat“: ein Hacker, der auf Bestellung IT-Systeme prüft, wie beim Sicherheitscheck für den GDV, „Penetration-Test“ oder kurz „Pen-Test“ ge- nannt. Ergebnis: 22 der 25 getesteten Praxen nutzen sehr einfach zu erratende Passwörter, zum Beispiel „Behandlung“, „Praxis“, den Namen des Arztes, den „Namen“ des Com- puters, an dem der Anwender sitzt – oder gar keine Passwörter. Trotzdem wiegen sich Ärzte bei diesem sensiblen Thema in Sicher- heit, rügte der Fachmann bei der Vorstellung des Branchenreports „Cyberrisiken bei Ärzten und Apothekern“ im April in Berlin. Um eine Praxis zu hacken, müsse man gar kein „Superhacker“ sein – „Kreativität und Dreistigkeit reichen schon aus!“ „DocCheck: Ihre Praxis wurde mit 4- bewertet!“ Insgesamt fielen Wiesner doch erhebliche Schwächen bei der organisatorischen Sicher- heit auf: „Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte!“ Auch mit Phishing-Attacken machten Hacker oft leichte Beute: „In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte E-Mail, 20 Prozent klickten sogar auf einen Link oder öffneten den Anhang. So diente der Betreff „Bewertung Ihrer Praxis auf DocCheck mit einer Note von 4-“ als Druck- oder Lock- mittel. Bei diesem „Social Engineering“ werden Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität genutzt, um Personen zu manipulieren. Dass Patientendaten in Kliniken und Praxen häufig nicht sicher aufgehoben sind, zeigt ein Test: Von knapp 1.200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom Bundesamt für Sicherheit in der Informa- tionstechnik (BSI) empfohlenen Stand der Technik. Kliniken und Praxen wurden dafür bundesweit willkürlich ergoogelt und es wurde auf einen Mix aus großen und kleinen Standorten aus Stadt und Land geachtet. Patientendaten gehackt – ohne ein einziges Passwort Bei der GDV-Veranstaltung zeigte Wiesner, wie er mithilfe der Suchmaschine „Shodan“, die vernetzte Computer und mit dem Inter- net verbundene Dienste identifiziert, eine Praxis ohne Sicherung ihrer IT ausfindig macht. Mit einigen Klicks kam er bis zum Serververzeichnis mit den Patientenakten, ohne auf dem Weg dahin nur ein Kennwort eingegeben zu haben. Noch sei solch ein „digitaler Hausfriedensbruch“ nicht straf- bar, erläuterte Wiesner, eine Änderung im Strafgesetzbuch jedoch geplant. Welche Folgen unbedachtes Klicken haben kann, demonstrierte Wiesner am Beispiel einer Kölner Zahnarztpraxis: Eine Mitarbeiterin hatte den schadhaften Anhang einer fingier- ten Bewerbungsmail geöffnet und dem An- greifer dadurch Zugang zum System gewährt. Die Zahnärztin hatte jedoch den Computer sofort vomNetzwerk gelöst und den Stecker gezogen. Dieser Vorfall hätte schlimmeren Schaden anrichten können. Die Zahnärztin zog Konsequenzen und ließ technisch „auf- rüsten“. Ihre IT wird nun regelmäßig gewar- tet. Sie selbst änderte sofort die Zugangs- passwörter – auch die privaten. Was macht eigentlich ein Kennwort zu einem guten Kennwort? Wiesner: „Gute Passwörter sind in der Regel keine Wörter, sondern ganze Sätze. Grundsätzlich gelte die Regel: je län- ger, desto besser. Bei kürzeren Passwörtern sollten möglichst viele unterschiedliche Zeichen verwendet werden – also Groß- und Kleinbuchstaben, Ziffern und Sonder- zeichen. Die Mindestlänge sollte bei neun Zeichen liegen.“ Cybercrime in der Zahnarztpraxis Man muss kein Superhacker sein – Hauptsache dreist! Wer glaubt, dass Hacker über galaktische IT-Kenntnisse verfügen müssen, um die Praxis-IT zu knacken, ist im analogen Zeitalter steckengeblieben. Computer- sicherheitsexperte Michael Wiesner demonstriert, wie man ohne Passwort direkt zu den Patientendaten kommt – nur mit einer Portion Kreativität und Dreistigkeit! Foto: AdobeStock/Leo Lintang 42 Praxis

RkJQdWJsaXNoZXIy MjMxMzg=