Patientendaten in falschen Händen

 
 

- Folgen und Schutz-

 
 

Im digitalen Zeitalter tun sich für Hacker immer mehr Wege auf, um mit Daten Geld zu verdienen. Insbesondere ein sorgloser Umgang mit sensiblen Gesundheitsdaten kann Kriminellen ein vielversprechendes Geschäft verschaffen. Laut dem europäischen Technikchef von Intel Security, Raj Samani, haben Cyber-Kriminelle den Gesundheitssektor als lukrative Industrie entdeckt. „Wir sehen, dass diese Angriffe auf Gesundheitseinrichtungen zunehmen“, sagt er. Attraktiv sind dabei vor allem die Patientendaten von berühmten Personen oder Krankenhäusern. Veraltete Technologie wie Faxgeräte werden dabei als Einfallstor für Hacker genutzt.



Erpressung mit Daten

Doch was passiert mit den geklauten Daten? Denkbar sind Szenarien, bei denen die Patientendossiers bekannter Persönlichkeiten veröffentlicht oder die betreffenden Personen damit erpresst werden. Ein berühmtes Beispiel ist der Diebstahl der Krankenakte von Michael Schumacher. Der Dieb bot die Unterlagen offenbar verschiedenen Medien in Deutschland, der Schweiz und Frankreich zum Preis von 50.000 Euro an.

Im Falle von Kliniken ist für Cyber-Kriminelle vor allem die Masse der Daten attraktiv. Die meisten Angriffe auf Krankenhäuser sind derzeit Erpressungsversuche. So wird beispielsweise damit gedroht die Daten zu veröffentlichen. „Der eventuelle kriminelle Nutzen aus der Entwendung von Daten steigt proportional mit der Datenmenge“, erklärt Bosco Lehr vom Institut für E-Health und Management im Gesundheitswesen an der Fachhochschule Flensburg. So lassen sich die Daten beispielsweise zu Marketingzwecken für Gesundheitsunternehmen auswerten.



Potenziale für Krankenkassen

Ein generelles Interesse an Gesundheitsdaten haben neben Anbietern aus der Gesundheitsbranche auch Versicherungen oder Arbeitgeber. So erstellen beispielsweise in den Vereinigten Staaten immer mehr Unternehmen und Krankenkassen Gesundheitsprofile anhand von Medikamentenrezepten, Kaufverhalten und sogar das Wahlverhalten. Über diese Daten lässt sich herausfinden, wie hoch das Diabetesrisiko von Angestellten ist oder ob eine Mitarbeiterin möglicherweise bald schwanger wird.

Die besondere Gefahr beim Hack von Patientendaten ist die Unveränderlichkeit medizinischer Daten. Im Gegensatz zu Bankdaten, die nur eine Momentaufnahme darstellen, lassen sich beispielsweise genetische Informationen über ein Krankheitsrisiko nicht ändern.



Relevant für alle Ärzte

Auch wenn viele Ärzte glauben, nichts befürchten zu müssen, weil ihre Praxis zu klein oder die Patientendaten nicht interessant sind, sollten sie bestimmte Vorkehrungen für Ihre Praxis-IT treffen, um sich vor Datenverlust zu schützen. Denn die Auswirkungen können massiv sein. Schadprogramme auf dem Praxisrechner können die Praxisabläufe lahmlegen. Gehen beispielsweise Abrechnungsdaten verloren, erhält der Arzt kein Geld für betroffene Leistungen. Zusätzlich drohen Haftungskosten, wenn Patientendaten im Internet landen.

Ärzte sind laut dem Bundesdatenschutzgesetz (§ 42a BDSG) gesetzlich dazu verpflichtet, der zuständigen Aufsichtsbehörde sowie den betroffenen Patienten mitzuteilen, wenn Patientendaten in die Hände Dritter gelangt sind.

Jeder Praxisinhaber ist durch das Bundesdatenschutzgesetz (§ 9 BDSG) sowie durch andere Datenschutzgesetze zudem verpflichtet, technische und organisatorische Maßnahmen umzusetzen, um seine Patientendaten zu schützen. Wer dieser Verpflichtung nicht nachkommt, muss mit erheblichen Schadenersatzforderungen rechnen.

Praxisinhaber können aber auch auch externe Dienstleister beauftragen. Dafür fallen zwar Kosten an, aber das Haftungsrisiko wird minimiert, denn bei Fehlern haftet der externe Dienstleister.

Damit Praxisinhaber und Patientendaten vor ungewolltem Datenverlust geschützt sind, können Ärzte gewisse Vorsichtsmaßnahmen treffen. Die KBV hat hierfür eine kleine Übersicht zusammengestellt:


 
 

Schutz vor Datenverlust: Tipps für den Praxisalltag

  • Aufklärung: Mitarbeiter für das Thema sensibilisieren.
  • Vorsicht: Bei E-Mails mit Anhängen und Links, bei unbekanntem Absender oder kryptischen Mail-Adressen auf Nummer sicher gehen und Websites genau prüfen, bevor Anmeldedaten eingegeben werden.
  • Updates: Regelmäßig das Betriebssystems, den Browser und sämtliche genutzte Software aktualisieren.
  • Schutz: Aktuelle Antiviren-Software und Firewall nutzen
  • Datensicherung: Back-up-Konzept und regelmäßige Datensicherungen helfen im Ernstfall.
  • Spezialisten: Unterstützung bei der Installation einer Antiviren-Software, der richtigen Konfiguration einer Firewall oder der Implementierung eines Datensicherungskonzeptes erhalten Praxen z.B. bei ihrem Praxisverwaltungssystem-Hersteller.
  • Versicherung: Ärzte und Psychotherapeuten können ihren bestehenden Versicherungsschutz (z.B. Berufshaftpflicht) überprüfen und bei Bedarf eine Zusatzversicherung gegen Cyberkriminalität abschließen.

  •