In Krankenhäusern und anderen Gesundheitseinrichtungen werden täglich große Mengen an verschiedenen personenbezogenen Daten verarbeitet. Den größten Anteil haben hierbei Gesundheitsdaten, die als hochsensible Daten unter Art. 9 DS-GVO fallen und damit besonders geschützt werden müssen. Die Verarbeitung von Informationen zum Gesundheitszustand von Patientinnen und Patienten birgt insbesondere bei mangelnden Schutzmaßnahmen ein mitunter enormes Risiko für die betroffenen Personen, weshalb dem Datenschutz und der (IT-)Sicherheit im Gesundheitssektor eine wichtige Bedeutung zukommt.

Trotz des besonderen Schutzbedarfs in Gesundheitseinrichtungen kommt es in Krankenhäusern und Arztpraxen erstaunlich oft zu Datenpannen, insbesondere durch Verletzungen der Vertraulichkeit. Untersuchungen verschiedener deutscher Datenschutzbehörden zeigten teilweise erhebliche Defizite bei der Umsetzung des Datenschutzes in Krankenhäusern und Arztpraxen. Auch der Datenrisiko-Report des amerikanischen IT-Sicherheitsanbieters Varonis Systems deckte enorme Lücken bei der Datensicherheit auf. Zusätzlich steigt die Gefahr von außen, denn die Zahl an (erfolgreichen) Cyberangriffen auf Unternehmen im Gesundheitssektor nimmt stetig zu. Dieser Blogartikel fasst deshalb einerseits zusammen, welche besonderen gesetzlichen Vorgaben Krankenhäuser und Arztpraxen neben der DS-GVO in puncto Datensicherheit erfüllen müssen. Anderseits gibt er einen Überblick über besonders interessante und lehrreiche Datenpannen – von einem sechststelligen Bußgeld für Defizite im Patientenmanagement bis hin zu einem vierstelligen gerichtlichen Vergleich über ein Schmerzensgeld für ein fehlerhaft verschlüsseltes Deckblatt.

Besondere Anforderungen an die IT-Sicherheit von Gesundheitseinrichtungen

Abhängig von der Anzahl an stationären Fällen pro Jahr bzw. der Anzahl an Personen, die ständig mit der Datenverarbeitung betraut sind, müssen Krankenhäuser und Praxen besondere technische und organisatorische Maßnahmen (TOMs) umsetzen, um die IT-Sicherheit zu gewährleisten. Hierbei müssen verschiedene Vorgaben in Gesetzen, Richtlinien sowie Branchenstandards beachtet werden, die je nach der einschlägigen Norm bereits umgesetzt sein oder ab 2022 umgesetzt werden müssen.

Kliniken mit mehr als 30.000 stationären Aufnahmen pro Jahr („große Krankenhäuser“) fallen aufgrund der Festlegungen in der BSI-Kritisverordnung (BSI-KritisV) zu Kritischen Infrastrukturen unter die KRITIS-Regeln des BSIG. Gemäß § 8a Abs. 1 BSIG müssen sie deshalb angemessene technische und organisatorische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Die Einhaltung dieser Vorgabe muss mindestens alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen überprüft und gegenüber dem BSI nachgewiesen werden (§ 8a Abs. 3 BSIG). Bei der Übermittlung der Ergebnisse an das BSI müssen auch etwaige Sicherheitsmängel beigefügt sein.

Die Regelung im BSIG ist eher abstrakt gehalten und enthält keine konkreten Maßnahmen, die geeignet sind, um ein angemessenes Schutzniveau zu gewährleisten. Die betroffenen Branchen können allerdings jeweils Sicherheitsstandards entwickeln und dem BSI zur Prüfung vorlegen. Die Deutsche Krankenhausgesellschaft hat einen solchen branchenspezifischen Sicherheitsstandard (B3S) für die Informationssicherheit in Krankenhäusern erstellt. Mit dem Feststellungsbescheid vom 22.10.2019 hat das BSI bestätigt, dass die Standards geeignet sind, um die Anforderungen des § 8a Abs. 1 BSIG zu erfüllen. Damit existiert für große Krankenhäuser ein einheitlicher Standard in Bezug auf die Informationssicherheit.

Kliniken mit weniger als 30.000 stationären Aufnahmen pro Jahr („kleine Krankenhäuser“) fallen nicht unter die Kritischen Infrastrukturen und damit nicht unter die KRITIS-Regeln des BSIG. Mit dem Patientendaten-Schutz-Gesetz (PDSG) wurden allerdings mit § 75c Regelungen zur IT-Sicherheit in kleinen Krankenhäusern in das Fünfte Sozialgesetzbuch (SGB V) integriert, die ab 01.01.2022 angewendet werden müssen. Sie müssen nach dem Stand der Technik angemessene technische und organisatorische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie weitere Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind (§ 75c Abs. 1 S. 1 SGB V). Dabei müssen die getroffenen Maßnahmen mindestens alle zwei Jahre an den aktuellen Stand der Technik angepasst werden (§ 75c Abs. 1 S. 3 SGB V). Um ein angemessenes Schutzniveau zu gewährleisten, können nach § 75c Abs. 2 SGB V insbesondere die B3S für die Informationssicherheit in Krankenhäusern angewendet werden.

Für Arztpraxen gibt es mit § 75b im SGB V ebenfalls eine Regelung zur IT-Sicherheit, die mit dem Digitale-Versorgung-Gesetz (DVG) eingefügt wurde. Die Norm gibt vor, dass die Kassenärztliche Bundesvereinigung eine Richtlinie festlegen muss, die die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertrags(zahn)ärztlichen Versorgung regelt. Die wörtlich identischen Richtlinien der Kassenärztlichen Bundesvereinigung (KBV) und der Kassenzahnärztlichen Bundesvereinigung (KZBV) sind mit dem BSI abgestimmt und Anfang 2021 in Kraft getreten. Je nach konkreter Maßnahme gelten die Regelungen ab 01.04.2021, 01.07.2021, 01.01.2022 oder 01.07.2022.

Die enthaltenen Sicherheitsmaßnahmen behandeln insgesamt die Bereiche Software und Internet, Hardware inkl. Netz sowie Großgeräte und Telematik. Welche Maßnahmen konkret gewährleistet werden müssen, ist abhängig von der Größe der Praxis. Die Richtlinien unterscheiden zwischen kleinen Praxen (bis zu 5 Personen, die ständig mit der Datenverarbeitung betraut sind), mittleren Praxen (6 bis 20 Personen, die ständig mit der Datenverarbeitung betraut sind) und Großpraxen (mehr als 20 Personen, die ständig mit der Datenverarbeitung betraut sind). Neben Großpraxen sind in der dritten Gruppe auch Praxen umfasst, die in über die normale Datenübermittlung hinausgehendem Umfang in der Datenverarbeitung tätig sind (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).

Gut zu wissen

Die genannten Vorgaben und Richtlinien sowie die zugehörigen Maßnahmen beziehen sich ausschließlich auf den Bereich der IT-Sicherheit. Zusätzlich dazu müssen Krankenhäuser und Arztpraxen auch ein angemessenes Schutzniveau für personenbezogene Daten nach Art. 32 DS-GVO gewährleisten, das über diese Regelungen zur IT-Sicherheit hinausgeht. Aufgrund der größtenteils hohen Sensibilität der betroffenen Daten sind neben hohen Standards bei der IT-Sicherheit auch ausreichende Schutzmaßnahmen außerhalb der Informationstechnik erforderlich, beispielsweise im Bereich der Vertraulichkeit von Papierunterlagen, der fachgerechten Entsorgung von Datenträgern sowie der Sensibilisierung der Beschäftigten.

Datenpannen in Krankenhäusern und Praxen

Diese hohen Schutzanforderungen bei der Informationstechnik sowie in allen anderen Bereichen umzusetzen, ist in vielen Krankhäusern und Praxen allerdings noch nicht gelungen. Immer wieder werden Fälle bekannt, bei denen unzureichende technische und organisatorische Maßnahmen zu meldepflichtigen Verletzungen des Schutzes personenbezogener Daten („Datenpannen“) nach Art. 33 DS-GVO geführt haben. Die anschließenden Ermittlungen der deutschen Datenschutzaufsichtsbehörden endeten bereits mehrfach mit der Verhängung von Bußgeldern, teilweise machten Betroffene auch gerichtlich Schadensersatzansprüche nach Art. 82 DS-GVO geltend. Häufig waren die Datenpannen nicht auf Fehler in Einzelfällen zurückzuführen, sondern auf strukturelle Defizite bei den technischen und organisatorischen Schutzmaßnahmen.

In einem Krankenhaus kam es durch eine Patientenverwechslung bei der Aufnahme eines Patienten zu einer falschen Rechnungsstellung. Die darauf folgenden Ermittlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) offenbarten strukturelle Defizite beim Patientenmanagement. Das Verfahren hatte für das Krankenhaus ein Bußgeld in Höhe von 105.000 Euro zur Folge. Grund für das Bußgeld waren mehrere Verstöße gegen die DS-GVO wegen unzureichender technischer und organisatorischer Maßnahmen beim Patientenmanagement. Der LfDI betonte, dass die Geldbuße auch als Signal gewertet werden soll, dass beim Umgang mit sensiblen Daten im Gesundheitswesen besondere Wachsamkeit an den Tag gelegt werden muss.

Im Eingangsbereich einer Stuttgarter Klinik wurde Mitte Januar 2021 ein USB-Stick mit unverschlüsselten Daten von Patienten des Universitätsklinikums Ulm gefunden und im dortigen Fundbüro abgegeben. Ein Zahnarzt, der bei der Uniklinik angestellt war, hatte Befundberichte von rund 7000 Patienten unberechtigterweise auf einen unverschlüsselten USB-Stick gezogen. Da der Speicherstick namentlich beschriftet war, wurde er an den Mitarbeiter des Universitätsklinikums Ulm zurückgeschickt. Warum die Daten überhaupt auf einen externen Datenträger geladen wurden und wie dieser in die Stuttgarter Klinik gelangt ist, konnte nicht geklärt werden. Nach Angaben des betreffenden Arztes hatte er den USB-Stick verschlossen in seinem Schreibtisch in Ulm aufbewahrt. Abgeflossen sind die Daten der Patienten nach derzeitigem Stand wohl nicht. Der Vorfall wurde der zuständigen Datenschutzaufsichtsbehörde gemeldet und die Betroffenen sollen ebenfalls informiert werden. Zudem wollte die Uniklinik das Arbeitsverhältnis mit dem Arzt beenden und Strafanzeige wegen der Datenschutzverletzung stellen.

Aufgrund von Schwachstellen beim verwendeten Router waren die Krankenakten von rund 30.000 Patienten einer Gemeinschaftspraxis für jedermann im Internet abrufbar. Da der Server ungeschützt war, konnte jeder, der über eine frei zugängliche Server-Suchmaschine die IP-Adresse ermittelt hat, auf die gespeicherten Daten zugreifen. Dies ergab eine Recherche der Computerzeitschrift c’t – magazin für computer technik, die die Praxis umgehend über das Datenleck informierte. Obwohl die Verantwortlichen angaben, dass der Fehler behoben worden sei, waren die Server noch immer offen. Eine weitere Recherche von c’t ergab, dass die Sicherheitslücke auf ein Fehlverhalten beim verwendeten Router zurückzuführen war, durch den zu viele Ports freigegeben wurden, darunter auch Port 445 für Dateifreigaben. Eine Fehlkonfiguration des IT-Dienstleisters hatte dazu geführt, dass nach einem Neustart des Routers die vorherigen Einstellungen wieder aktiv und damit die Sicherheitslücke erneut offen war.

Ein Fehler beim Sperren einer Patientenakte in einem Krankenhaus führte dazu, dass das Patientendeckblatt nicht mitgesperrt wurde und damit über mehrere Wochen hinweg für einige Mitarbeiter einsehbar war. Auf dem Dokument waren neben allgemeinen Daten wie Name und Krankenkasse auch das Kürzel „HIV“ als Diagnose des betreffenden Patienten vermerkt, sodass die Mitarbeiter von der HIV-Infektion erfuhren. Diese unbefugte Offenlegung von besonders sensiblen Gesundheitsdaten stellt einen Verstoß gegen die DS-GVO dar, auch wenn die Ärzte und das Krankenhauspersonal zur Verschwiegenheit verpflichtet sind. Der Vorfall war insbesondere deshalb problematisch, da der betroffene Patient später von der Klinik angestellt wurde und die Personen, die unbefugt Kenntnis erlangt hatten, seine Arbeitskollegen wurden. Das Arbeitsgerichtsverfahren zwischen dem betroffenen Mitarbeiter und der Klinik endete mit einem Vergleich, in dem sich die Parteien auf die Zahlung eines Schmerzenzgeldes gem. Art. 82 DS-GVO in Höhe von 8000 Euro einigten.

Die nicht ordnungsgemäße Sperrung von Patientenakten ist kein Einzelfall. Untersuchungen der Berliner Beauftragten für Datenschutz und Informationsfreiheit bei zwei Berliner Krankenhäusern ergaben, dass die gesetzlichen Anforderungen nicht erfüllt werden. Die Mehrzahl der Beschäftigten konnte auch nach Entlassung und Abrechnung der Behandlung noch auf Patientendaten zugreifen, da die Zugriffsberechtigungen nicht wie vorgeschrieben spätestens ein Jahr nach der Behandlung gesperrt wurden. In einem der beiden geprüften Krankenhäuser waren die Zugriffe zwar besser eingeschränkt, allerdings auch nicht durchgehend und teilweise erst verspätet. Zudem wurden die Daten zum Teil nicht nach Ablauf der Aufbewahrungsfrist von 10 bzw. 30 Jahren gelöscht.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ermittelte in einem Fall, bei dem Patientenakten im Keller eines ehemaligen Krankenhauses gelagert wurden und für Dritte frei zugänglich waren. Das Krankenhaus wurde von einer Krankenhausträgergesellschaft betrieben und nach der Insolvenz des Unternehmens geschlossen, wobei die Papierakten im Gebäude verblieben. Zwar wurde das Gebäude zeitweise von Hausmeistern betreut und das Gelände von einem Sicherheitsdienst kontrolliert, die Akten waren aber dennoch für Dritte zugänglich. Die Datenschutzaufsicht forderte die Grundstückseigentümerin, eine Grundstückseigentumsgesellschaft, die Teil desselben Konzerns wie die Trägergesellschaft war, auf, angemessene Schutzmaßnahmen umzusetzen. Kontaktversuche blieben allerdings erfolglos, da die Grundstückseigentümergesellschaft sich nicht für die Patientenakten verantwortlich fühlte. Sie sei lediglich Eigentümerin des Grundstücks, auf dem sich das Gebäude befand.

Ein Universitätsklinikum wurde Anfang September 2020 Opfer eines Hackerangriffs, infolgedessen es einen weitreichenden Ausfall der IT gab und die Klinik knapp zwei Wochen von der Notfallversorgung abgemeldet war. Die Hacker erlangten über eine Sicherheitslücke in einer weitverbreiteten, handelsüblichen Software für den Fernzugriff Zugriff auf die Systeme. Im Rahmen des Cyberangriffs auf die Klinik wurden 30 Server verschlüsselt, was einen weitreichenden Ausfall der IT zur Folge hatte. Dadurch fielen unter anderem nach und nach die Systeme aus und auf gespeicherte Daten konnte nicht mehr zugegriffen werden, das Klinikum war sowohl telefonisch als auch per E-Mail nur eingeschränkt erreichbar und musste sich aufgrund des fehlenden Zugriffs auf das Krankenhausnetzwerk von der Notfallversorgung abmelden. Darüber hinaus mussten Daten mit Stift, Papier und USB-Sticks ausgetauscht werden. Der Angriff auf die Klinik macht eindrucksvoll deutlich, wie wichtig präventive technische und organisatorische Maßnahmen sind, um sowohl das Risiko, Opfer einer solchen Attacke zu werden, als auch deren Folgen zu minimieren.

Bei einer hessischen Klinik kam es durch Unachtsamkeiten bei der Entsorgung von Infusionslösungsflaschen und anderem Altglas zu einer meldepflichtigen Datenschutzverletzung. Die Glasbehälter wurden in einen normalen, öffentlich zugänglichen Standardcontainer für die Altglasentsorgung geworfen, ohne im Vorfeld die Etiketten zu entfernen. Diese enthielten ausführliche Datensätze zu den Patienten, darunter Name, Geburtsdatum, Krankenversicherungsnummer und die betroffene Krankenhausstation. Der Vorfall wurde der zuständigen Datenschutzaufsichtsbehörde, dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit, gemeldet und weitere Untersuchungen durchgeführt. Dabei wurde unter anderem auch festgestellt, dass ein Großteil der Daten auf den Etiketten gar nicht erforderlich ist, sondern auf die Angaben verzichtet werden kann.

Der Vorfall in der hessischen Klinik zeigt, dass in Gesundheitseinrichtungen eine Reihe von verdeckten Datenverarbeitungen stattfindet, für die es keine standardisierten Prozesse gibt und die im Behandlungsalltag „untergehen“. Dadurch stellen „verdeckte Daten“ ein hohes potenzielles Risiko für Datenschutzverletzungen dar, da sie bei etwaigen Richtlinien zur Aufbewahrung und ordnungsgemäßen Entsorgung nicht berücksichtigt werden. Neben den beschriebenen Etiketten und ähnlichen Patientenaufklebern können sich auch an anderen Stellen personenbezogene Daten befinden, z. B.: Übergabelisten in Stationszimmern, die in Papierform geführt werden; Handkalender/Outlook-Kalender oder Handnotizen zur Organisation im Stationsalltag; ausgehängte Visitenlisten oder Therapiepläne. Je nach genauem Inhalt enthalten diese Dokumente zum Teil auch Informationen zum Gesundheitszustand der Patienten, die eigentlich besonders vertraulich behandelt werden müssen.

Unzureichende Datensicherheit im Gesundheitssektor

Datenschutzprüfung der niedersächsischen Aufsichtsbehörde in Krankenhäusern

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen prüfte im Jahr 2019 mithilfe eines Fragebogens die Umsetzung des Datenschutzes in drei zufällig ausgewählten Krankenhäusern. Die 15 Fragen umfassten allgemeines Datenschutzrecht, Betroffenenrechte und die Orientierungshilfe Krankenhausinformationssysteme (OH KIS). Bei den Fragen zum allgemeinen Datenschutzrecht wie Bestellung eines Datenschutzbeauftragten, regelmäßige Mitarbeiterschulungen, Verzeichnis der Verarbeitungstätigkeiten und Prozesse für die Meldung von Datenpannen sowie bei der Erfüllung von Betroffenenrechten ergaben sich kaum Beanstandungen der LfD Niedersachsen. Anders allerdings bei der Umsetzung der OH KIS – in diesem Punkt wurde noch Verbesserungspotenzial festgestellt. Mängel ergaben sich insbesondere bei der Umsetzung von Rollen- und Berechtigungskonzepten, der regelmäßigen Protokollierung und anlassunabhängigen Auswertung der Zugriffe auf Patientenakten sowie der Einschränkung der Verarbeitung bei abgeschlossenen Fällen. Die LfD Niedersachsen hat, wie angekündigt, im Jahr 2020 begonnen, weitere Krankenhäuser zu prüfen. Die Ergebnisse werden allerdings erst im Tätigkeitsbericht für das Jahr 2021 vorgestellt, da den Krankenhausverwaltungen aufgrund der Auslastung durch die Coronapandemie eine längere Frist für die Beantwortung der Fragen gewährt wurde.

Zahlreiche Beschwerden bei der LDI NRW wegen mangelhafter TOMs in Arztpraxen

Bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) gingen im Jahr 2019 zahlreiche Beschwerden betroffener Personen wegen mangelhafter technischer und organisatorischer Maßnahmen (TOMs) in Arztpraxen ein. Wiederholt wurde im Bereich der Anmeldung die Vertraulichkeit nicht beachtet, da aufgrund baulicher Gegebenheiten keine Trennung zwischen Anmelde- und Wartebereich gegeben war und andere Patienten mithören sowie teilweise sogar die Bildschirminhalte an den PCs einsehen konnten. In anderen Fällen standen die Aktenschränke in der Nähe von Warteplätzen und wurden im Alltagsgeschäft nicht immer abgeschlossen. Mängel bei der Vertraulichkeit wurden auch in Behandlungszimmern beanstandet, da Patienten, die allein in den Räumen warteten, offen daliegende Notizen und Akten einsehen oder aktiv auf das IT-System zugreifen konnten. Letzteres stellt nicht nur eine Verletzung der Vertraulichkeit dar, sondern birgt auch die Gefahr, dass die Systeme kompromittiert werden. Ein weiterer Grund für Beschwerden war die fehlende TLS-Verschlüsselung auf Internetseiten der Praxen, über die auch eine Kontaktaufnahme zur Terminvereinbarung oder zu Behandlungszwecken möglich war.

Recherche von Journalisten deckt Datenleck durch ungeschützte PACS-Server auf

Eine gemeinsame Recherche des Bayerischen Rundfunks (BR) und der US-Investigativplattform ProPublica deckte auf, dass millionenfach hochsensible Gesundheitsdaten auf ungesicherte Server geladen werden und ungeschützt im Netz stehen. Nach den Ergebnissen sind allein in Deutschland über 13.000 Datensätze von Patienten von der Sicherheitslücke betroffen, die von mindestens fünf Standorten stammen. Werden Patienten in einem MRT, einem Röntgengerät oder einem Computertomographen untersucht, schickt das Gerät die Bilder jeweils an spezielle Server für die Bildarchivierung (sog. „Picture Archiving and Communication System“ (PACS)). Diese sind häufig allerdings nicht ausreichend geschützt, weshalb Dritte mit wenig Aufwand in Echtzeit auf die Daten zugreifen können. Die Sicherheitsproblematik bei PACS-Servern war bereits mehrere Jahre vor dieser Recherche bekannt, die Studie eines Professors für Radiologie an der Harvard Medical School identifizierte 2700 offene Systeme. Da Millionen Datensätze noch immer ungesichert im Netz stehen, wurden die Ergebnisse der Studie allerdings wohl nicht ernst genommen.

Datenrisiko-Report eines amerikanischen IT-Sicherheitsanbieters

Neben den Sicherheitsrisiken, die sich durch interne Schwachstellen ergeben, nimmt auch die Zahl von Cyberangriffen auf Krankenhäuser, Biotech- und Pharmaunternehmen immer mehr zu. Da im Gesundheitssektor neben Forschungsergebnissen häufig auch hochsensible Gesundheitsdaten nach Art. 9 DS-GVO betroffen sind, bergen Hackerangriffe hier ein besonders hohes Risiko für betroffene Personen. Dass eine Vielzahl dieser Angriffe auf Gesundheitsdienstleister erfolgreich ist, kann unter anderem auf mangelhafte Schutzmaßnahmen zurückgeführt werden. Ein Datenrisiko-Report des amerikanischen IT-Sicherheitsanbieters Varonis Systems, bei dem Unternehmen aus dem Gesundheitssektor verschiedener Länder – darunter Deutschland – analysiert wurden, zeigt enorme Lücken bei der Datensicherheit.

Die Untersuchungen zeigten, dass jeder Mitarbeiter im Schnitt Zugriff auf 11 Millionen Dateien hat, was rund 20 Prozent des gesamten Datenbestandes entspricht. Besonders kritisch ist dabei, dass jeder Mitarbeiter durchschnittlich Zugriff auf 12 Prozent der sensiblen Daten hat, bei kleineren Gesundheitsdienstleistern (bis zu 500 Mitarbeiter) sind es sogar 22 Prozent. Insgesamt wurden verschiedene Problemfelder analysiert, insbesondere bei Passwörtern, Zugriffsrechten und veralteten Nutzerkonten. Von den untersuchten Krankenhäusern verfügten 77 Prozent über mehr als 500 unbefristete Nutzer-Passwörter. Zudem sind die Zugriffsrechte häufig zu weit gefasst, was zur Folge hat, dass jeder Mitarbeiter im Schnitt auf 31.000 sensible Daten zugreifen kann. Durchschnittlich werden 69 Prozent der Dateien in den Einrichtungen nicht mehr genutzt, bieten für Kriminelle allerdings noch ein interessantes Angriffsziel. Ein weiteres Problem sind nicht mehr genutzte, aber aktive Nutzerkonten, die es Cyberkriminellen ermöglichen, sich unbemerkt im System zu bewegen. Von den analysierten Unternehmen haben 79 Prozent mehr als 1000 veraltete Nutzerkonten.

Dringender Handlungsbedarf bei Sicherheitsmaßnahmen in Gesundheitseinrichtungen

Sowohl die bekannt gewordenen Datenschutzverletzungen als auch die Ergebnisse der Studien von Aufsichtsbehörden und Journalisten zeigen deutlich, dass in einer Vielzahl von Gesundheitseinrichtungen dringender Handlungsbedarf in puncto Datensicherheit besteht. Dies betrifft die IT-Sicherheit sowie weitere (organisatorische) Maßnahmen im Praxisalltag. Hierfür gilt es nicht nur, die verschiedenen Vorgaben zur Sicherheit in der Informationstechnik und die allgemeinen Datenschutzanforderungen umzusetzen. Um potenzielle Gefahrenquellen identifizieren zu können, ist es unerlässlich, alle Prozesse und Abläufe genau zu analysieren und herauszufinden, an welchen Stellen Daten verarbeitet werden, wie sensibel diese Informationen sind und welche Datenverarbeitungen tatsächlich erforderlich sind. Oftmals können Datenschutzrisiken bereits durch kleinere Anpassungen von Abläufen erheblich reduziert werden.