Arztpraxen hatten bis vor Kurzem zahlreiche IT-Sicherheitslücken, über die sensible Daten von Tausenden Patienten und Patientinnen abgerufen werden konnten. Das berichtet das »Handelsblatt« unter Berufung auf eine Untersuchung von Experten des Chaos Computer Clubs (CCC) und der FH Münster, die am Dienstag auf dem Kongress des CCC vorgestellt wurde.

Dem »Handelsblatt« liegen nach eigenen Angaben Stichproben von sensiblen und teils personenbezogenen Patientendaten vor, darunter Diagnosen, Medikationspläne und Röntgenbilder. Die Zeitung ergänzt damit einen Bericht von NDR und BR von vor zwei Wochen um weitere Details.

»Es ist erschreckend, wie schlecht die Daten in vielen Praxen gesichert sind«, sagt Martin Tschirsich vom Chaos Computer Club, der die Lücken gemeinsam mit Christoph Saatjohann von der FH Münster untersucht hat. Fehlerhafte Sicherheitsmaßnahmen und -einstellungen in Praxen hätten die Datenlecks ermöglicht, sodass selbst technisch weniger versierte Angreifer die Schwachstellen hätten ausnutzen können.

Betroffen war demnach unter anderem das System der elektronischen Arztvernetzung (eAV), das von 20.000 deutschen Medizinern genutzt wird. In zahlreichen Arztpraxen sei demnach der Internetrouter falsch konfiguriert gewesen. Dadurch sei das eAV-System theoretisch für jeden über das Internet erreichbar gewesen.

Hacker hatten auch Zugriff auf Terminkalender von Psychotherapeuten
Praxen, die das staatliche Datenaustauschsystem namens Telematikinfrastruktur (TI) nutzen, hätten ähnliche Problemen gehabt, schreibt das »Handelsblatt«. Über die TI seien bisher allerdings kaum sensible Daten ausgetauscht worden. Das System solle aber bald alle Gesundheitsinstitutionen in Deutschland miteinander vernetzen.

Eine weitere Schwachstelle entdeckten die IT-Experten bei Europas größtem Terminbuchungsportal Doctolib, das auch Technologiepartner des Landes Berlin bei den Corona-Impfungen ist. Mitgliedern des CCC war nach eigener Aussage anonym ein Satz Daten von Doctolib zugespielt worden. Darin hätten sich unter anderem Telefonnummern und E-Mail-Adressen sowie die Terminkalender der Praxen gefunden. Die Daten reichten den Angaben zufolge bis ins Jahr 1990 zurück. »Patienten, die regelmäßig Termine bei einem Psychotherapeuten buchen, könnten Opfer für Erpresser sein«, warnt Tschirsich.

Eine weitere Sicherheitslücke wurde bei der Anwendung Teamportal des bayerischen Unternehmens Digithurst entdeckt. Diese ermöglicht es Ärzten, radiologische Befunde wie Röntgenbilder über einen Browser anzusehen und zu versenden. Auch hier hätten unautorisierte Nutzer die Authentifizierung umgehen und direkt auf sensible Daten zugreifen können, heißt es beim CCC. Sie hätten dazu nur eine bestimmte Internetadresse eingeben müssen. Bis zu 270.000 Datensätze seien gefährdet gewesen, schätzt Digithurst.

Alle Lücken sind mittlerweile geschlossen, und der Staat hat eine Sicherheitsrichtlinie für den Medizinsektor initiiert. Doch auch an dieser haben die Fachleute vom CCC erhebliche Zweifel. Die Regelung sei »ein fauler Kompromiss und für die Patientensicherheit kaum förderlich«, sagt Tschirsich.

spiegel

Tags: