Datensicherheit in der Praxis? Nicht nur Technik weist oft Lücken auf, auch der Faktor Mensch kann Probleme verursachen

Wo Mensch auf Technik trifft, entstehen Reibungsverluste. Das zeigen die jüngsten Meldungen zur Datensicherheit in Arztpraxen. Praxischefs können Unsicherheiten der IT oder Datenlecks entgegentreten – nicht nur mit besserer Technik.

Das ARD-Fernsehmagazin Panorama berichtete kürzlich von massiven Unsicherheiten beim Anschluss von Arztpraxen an die Telematik Infrastruktur (TI): Nach Recherchen von NDR und Süddeutscher Zeitung haben 90% der Praxen, die bereits an die TI angeschlossen sind, Datenlecks ^[1].

Der Fehler: Die Praxen wurden von den Technikern „parallel“ angeschlossen und nicht, wie es korrekt gewesen wäre, „in Reihe“. Letztere Methode schützt das Praxissystem vor dem Zugriff aus dem Netz, erste verlangt zusätzlich Virenscanner und Firewall. Auf beides wurde aber verzichtet.

Nach Ansicht von Dr. Werner Baumgärtner, dem Vorstandsvorsitzenden von Medi Geno Deutschland, sind die Konnektoren selbst dann unsicher, wenn sie korrekt angeschlossen werden. Indessen entziehe sich die gematik ihrer Verantwortung für die Sicherheitslücken, kritisierte Baumgärtner in einer Pressemitteilung: „Die permanenten Versuche der gematik, sich ihrer Verantwortung zu entziehen, indem sie versucht, diese den Praxisinhabern zuzuschustern, sind infam und hochgradig unlauter.“

Keine 100-prozentige Sicherheit möglich – Faktor Mensch beachten

Wie dem auch sei – Lücken im TI-Praxisnetz sind offenbar Fakt, aber die Praxischefs können etwas gegen Datenverluste und für die Datensicherheit tun. Allerdings gibt es die Sicherheitslücken nicht nur aufgrund technischer Mängel, wie Prof. Dr. Harald Mathis vom Fraunhofer-Institut für angewandte Informationstechnik (FIT) in Hamm sagt. „Das fragen uns die Leute immer wieder, ob die Patienten-Daten in der TI absolut sicher sind. Wir müssen antworten, 100-prozentige Sicherheit gibt es nicht!“, sagt Mathis.

Vor allem seien sie deshalb nicht sicher, weil es Menschen sind, die mit ihnen umgehen. Manchmal müsse man sich doch sehr wundern, wenn man in manchen Praxen sieht, wie das Personal mit den Daten und der Hardware umginge, so der Informatiker.

„Wenn zum Beispiel der Praxiscomputer langsam läuft, verdächtigen Ärzte und MFAs schnell den Virenscanner oder die Firewall. Dabei ist die Technik längst so weit fortgeschritten, dass beides die PCs nicht mehr verlangsamt. Trotzdem schalten die Praxen im Zweifel Scanner und Firewall ab“, sagt Mathis. „Klar, dass die Daten dann unsicher sind.“

„Unbekannte Sticks zu öffnen ist ein No Go!“

Mathis berichtet, wie er bei einer Veranstaltung in einem Krankenhaus einen Datenstick vergaß. Prompt rief eine Mitarbeiterin des Krankenhauses ihn an. Sie habe den Stick geöffnet, um zu erfahren, wem er gehört. Darauf habe sie ihn angerufen, berichtet Mathis. „Die Mitarbeiterin hatte den Stick sorglos geöffnet, obwohl das aus Datensicherheitsgründen ein absolutes NoGo ist! Niemand kann wissen, welche Malware sich womöglich auf einem unbekannten Stick befindet“, sagt Mathis.

„Dabei hatte die Mitarbeiterin kurz zuvor die Veranstaltung zur Datensicherheit besucht.“ So etwas geschehe aber immer wieder, „und da brauchen wir uns keine Gedanken zu machen über die Sicherheit von Konnektoren, solange wir den Faktor Mensch nicht beachten“, sagt Mathis. Die Konsequenz für den Praxisbetrieb: Wach bleiben und immer wieder schulen, das heiße jährlich und zwar in sehr guter Qualität.

Der Faktor Mensch schlägt auch bei den so genannten „work arounds“ zu. Weil viele Anwendungen noch unpraktisch sind und nicht in die Hand des Users hinein entwickelt wurden, suchen Ärzte und Medizinische Fachangestellte (MFA) angenehme Abkürzungen um das System herum und machen ihre eigenen Prozesse. Der Nachteil: „Oft ist die Abkürzung die unsichere Variante“, so Mathis. Auch hier seien immer wieder Schulungen das Mittel der Wahl.

„Die Technik muss up to date sein“

Aber es gibt auch technische Möglichkeiten, die Praxis IT sicherer zu machen.

• Mathis schlägt zum Beispiel vor, nur einen Rechner permanent online zu haben. Nur, wenn Patientendaten oder Abrechnungsdaten online versandt werden sollen, nehmen die Mitarbeiter und Ärzte mit ihrem PC kurz Kontakt auf zum Web-verbundenen Gerät in der Praxis und trennen die Verbindung rasch wieder. So gibt es für Daten-Diebe weniger Gelegenheiten.

• Außerdem: Alte Geräte abschaffen! Mathis hat Praxen gesehen, in denen noch das XP-Betriebssystem auf den Rechnern lief. „Irgendwann schließen die Hersteller bei den alten Systemen die Sicherheitslücken nicht mehr automatisch“, sagt Mathis. „Damit wird auch der Schutz der Praxis-IT immer löchriger.“

Kurz: Die Technik muss up to date sein. Das gilt im Übrigen auch für die Router. Dass das alles viel Geld kostet, weiß auch Mathis. „Ich kann den Ärger der Ärzte verstehen, wenn ein und dasselbe Gerät für den Praxisbetrieb doppelt so teuer ist, wie wenn es privat angeschafft wird. Die angebliche Zertifizierung der teuren Geräte bedeutet ja meistens nichts.“

Auch mit sogenannten Penetrationstests indessen, wie zum Teil gefordert, ist es nicht immer getan – unter anderem deshalb, weil es nicht genügend Fachleute für diese Test gibt. Dabei versuchen „ethical hackers“, also beauftragte „gute" Hacker, mit vielen Tricks in ein geschütztes System einzudringen, um Sicherheitslücken zu offenbaren.

„Eine im Prinzip gute Methode“, meint Mathis. „Aber nur im Zuge der Entwicklung neuer Software oder bei großen Einrichtungen. Für Praxen ist sie unbezahlbar.“
 

Medscape Nachrichten © 2019 

Diesen Artikel so zitieren: Datensicherheit in der Praxis? Nicht nur Technik weist oft Lücken auf, auch der Faktor Mensch kann Probleme verursachen - Medscape - 10. Dez 2019.