Cybersicherheit

Nachlässiger Umgang mit Passwörtern

Deutsche Ärzte gehen nachlässig mit Passwörtern in ihren Praxen um – und gefährden damit die Sicherheit von Patientendaten. Das ist das Ergebnis einer Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft.

Cybersicherheit

Von jeder zehnten Arztpraxis und sogar von 60 Prozent der Kliniken finden sich E-Mail- und Passwort-Kombinationen im Darknet. | Weissblick - stock.adobe.com

Neun von zehn Ärzten verwenden leicht zu erratende Passwörter wie „Behandlung“ oder den Namen des Arztes. Zudem finden sich von jeder zehnten Arztpraxis (9 Prozent) und sogar von 60 Prozent der Kliniken E-Mail- und Passwort-Kombinationen im Darknet. Trotzdem wiegen sich Ärzte beim Thema Cybergefahren in Sicherheit.

In bundesweiten Tests in 25 Arztpraxen zeigten sich erhebliche Schwächen bei der organisatorischen Sicherheit. „Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte“, erklärt Computersicherheits-Experte Michael Wiesner, der die Praxis-IT im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) testete. Auch bei Phishing-Attacken wären viele Praxen leichte Beute: In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte Mail, 20 Prozent klickten sogar auf einen Link oder öffneten den Anhang.

Digitalisierung

Durch die fortschreitende Digitalisierung entstehen neue Herausforderungen in Bezug auf die Daten-und IT-Sicherheit. Das belegt die diesjährige Rochus-Mummert-Studie zur Digitalisierung in der Gesundheitswirtschaft.

weiterlesen

Weiteres Ergebnis: Patientendaten sind bei deutschen Kliniken und Ärzten nicht sicher aufgehoben, wie ein Test der Mailserver mit dem Analysetool Cysmo ergab: Von knapp 1.200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Stand der Technik.

Risiko eines Cyberangriffs auf Praxen

Alle anderen ließen eine Verschlüsselung des Mail-Verkehrs auch mit veralteten und unsicheren Standards zu. Wird eine solche Mail zwischen Sender und Empfänger abgefangen, könnte sie von Fremden gelesen werden. Bei den Kliniken verwendeten immerhin fünf Prozent den aktuellen BSI-Standard.

Die Ergebnisse der Sicherheitstests stehen im Gegensatz zur Selbsteinschätzung der Ärzte: Einer repräsentativen Forsa-Befragung zufolge glauben 81 Prozent der Ärzte, ihre Computersysteme seien umfassend geschützt.

Immerhin 44 Prozent der Ärzte halten das Risiko eines Cyberangriffs auf Praxen für eher hoch bis sehr hoch. Doch lediglich 17 Prozent der Mediziner sehen dieses Risiko für die eigene Praxis. Und das, obwohl beinahe jedem die Folgen einer Cyberattacke sehr bewusst sind: Acht von zehn Arztpraxen (78 Prozent) in Deutschland müssten nach eigener Ansicht ihre Arbeit einstellen oder stark einschränken, wenn die Praxis-IT lahmgelegt würde.

 

Drei Tipps für ein sicheres Passwort

1. Denken Sie sich laaaaaaaange Passwörter aus
Sonderzeichen und Großbuchstaben helfen nur bedingt weiter, ebenso das ständige Wechseln von Passwörtern. Wichtiger ist die Länge. Hacker „raten“ Passwörter nicht, sondern probieren mithilfe von Programmen in kurzer Zeit große Mengen möglicher Kombinationen aus. Je länger das Passwort ist, desto länger braucht auch der Computer. Ein einfaches Beispiel, das Sie bitte nicht direkt verwenden: Um „Pa$$W0rt“ zu knacken, braucht  ein herkömmlicher PC nach Auskunft der Webseite checkdeinpasswort.de gerade mal sechs Stunden, für „Pa$$W0rtHallo123“ mehrere Milliarden Jahre.

2. Verwenden Sie einen Passwort-Manager
Sie können sich die vielen langen und komplizierten Passwörter nicht merken? Dann fangen Sie auf keinen Fall an, immer das gleiche oder nur ein leicht abgewandeltes Passwort einzugeben. Das macht es Hackern zu einfach: Ist das Muster einmal erkannt, können Hacker die Zugangsdaten für andere Dienste leicht erraten. Die bessere Alternative sind Passwort-Manager. Sie generieren und verwalten starke (=lange) Passwörter, die Sie sich nicht merken müssen; das übernimmt der Manager. Da die Anbieter ihre Daten in aller Regel verschlüsseln, sind die Passwörter auch gegen Hackerangriffe geschützt. Sie brauchen für alle Passwörter hingegen nur noch das „Master-Kennwort“ – das natürlich wiederum sehr sicher sein sollte.

3. Nutzen Sie die Zwei-Faktor-Authentifizierung
Da das E-Mail-Postfach besonders wichtig ist, sollten Sie ernsthaft eine Zwei-Faktor-Authentifizierung in Betracht ziehen. Das Verfahren kennen Sie von Ihrer Bank: Am Geldautomaten brauchen Sie ihre Giro-Karte (1. Faktor) und die PIN (2. Faktor), auch eine Überweisung beim Online-Banking funktioniert in aller Regel nur mit PIN und TAN. Den Zugang zu Ihrem Mail-Konto können Sie genauso schützen – dann bekommen Sie nach der Eingabe Ihres Passwortes zum Beispiel noch einen Code auf Ihr Smartphone geschickt. Mit dem Passwort allein können Hacker dann nichts mehr anfangen. Die Zwei-Faktor-Authentifizierung wird mittlerweile von vielen bekannten Mail-Diensten angeboten, aber nur von den wenigsten Kunden genutzt.

 

Quelle: GDV, 08.07.2019