Viele Praxen gehen zu nachlässig mit Passwörtern um und unterschätzen die Risiken aus Cyber-Angriffen. Zu diesem Ergebnis kommt eine Studie im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Zwischen der optimistischen Selbsteinschätzung von Praxen und Krankenhäusern hinsichtlich ihrer IT-Sicherheit und der Realität besteht demnach häufig eine große Kluft.

"Das Bewusstsein ist da, dass Cyberangriffe jeden treffen können", sagt Gert Baumeister, Vorsitzender der Projektgruppe Cybersicherung im GDV. Die Einschätzung des eigenen Risikos sei in der Selbstwahrnehmung jedoch geringer ausgeprägt als in anderen Branchen. So halten etwa 56 Prozent der befragten Ärzte ihre Praxis für zu klein, um in den Fokus von Cyberkriminellen zu geraten – laut Baumeister ein fataler Irrtum, da viele Angriffe ungezielt unternommen würden.

Veraltete Verschlüsselungstechniken
Zusätzlich zur Umfrage hatte der Verband einen mehrmonatigen IT-Sicherheitstest in Auftrag gegeben. Das alarmierende Ergebnis: Von den Arztpraxen waren nur fünf (0,4 Prozent) bei den verwendeten Verschlüsselungsverfahren auf dem technischen Stand, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt. Die übrigen Praxen ließen eine Verschlüsselung des E-Mail-Verkehrs auch mit veralteten oder unsicheren Standards zu, sodass diese potenziell auch von unbefugten Dritten gelesen werden könnten. Zudem setzten nur fünf Prozent der untersuchten Kliniken sichere Verschlüsselungstechnologie ein.

Im dritten Schritt der Untersuchung hat der GDV die IT-Sicherheit von 25 niedergelassenen Ärzten analysieren lassen, die sich dazu freiwillig gemeldet hatten. Dabei zeigten sich erhebliche Defizite bei der organisatorischen Sicherheit. Zum Beispiel verwendeten neun von zehn Ärzten leicht zu erratende Passwörter wie "Praxis". Einige verzichteten sogar komplett auf einen Passwortschutz. (fp)