Angstzustände, Krebs oder Geschlechtskrankheiten – die ärztliche Schweigepflicht ist ein hohes Gut. Eben dieses Vertrauensverhältnis ist im digitalen Zeitalter akut bedroht, wie Recherchen des Norddeutschen Rundfunks NDR zeigen: Demnach sind in Deutschland Millionen digitaler Krankenakten in Arztpraxen kaum vor Hackerangriffen geschützt.
Oft sollen die sensiblen Daten mit Standardpasswörtern wie «Praxis 123» oder «Kennwort 1» «geschützt» sein. So könnten laut dem Bericht bereits interessierte Laien ungehindert auf Millionen Patientendaten zugreifen.
Es ist ein Skandal, dass Patientendaten in Deutschland nicht besser geschützt sind.
Wie SRF-Digitalredaktor Peter Buchmann erklärt, schielen aber vor allem geschäftstüchtige Hacker auf die Daten: «Mit einem Patientendossier sollen Angreifer laut dem Bericht auf dem Schwarzmarkt bis zu 2000 Euro verdienen können.»
Die Informationen könnten etwa dazu genutzt werden, individuell zugeschnittene Werbemails zu verschicken. Denkbar sei auch, dass Ärzte von Cyberkriminellen erpresst würden. «Ich zweifle aber daran, dass sich diese Daten im grossen Stil monetarisieren lassen – auch wenn es ein Skandal ist, dass Patientendaten in Deutschland nicht besser geschützt sind», sagt Buchmann.
Der digitale Hausarzt
Auch in der Schweiz sind die Zeiten längst passé, als Ärzte mit kaum entschlüsselbarer Handschrift Krankenakten anfertigten und wegsperrten. Laut Angaben des Bundesamts für Gesundheit werden mittlerweile in sieben von zehn Arztpraxen die Patientendaten elektronisch erfasst.
Pius Bürki, Vorstandsmitglied des Verbands der Haus- und Kinderärzte Schweiz, ist alarmiert: «Wir vermuten, dass hier das gleiche Problem wie in Deutschland besteht.» Bürki ist beim Verband zuständig für E-Health, also die elektronischen Gesundheitsdienste.
Eine Studie von 2018 habe gezeigt, dass 53 Prozent der befragten Organisationen die Minimalstandards für IT-Sicherheit nicht einhalten würden. Bürki selbst reist landauf landab, um die Ärzteschaft für die Gefahren im Cyberspace zu sensibilisieren. Bis ins hinterste Tal komme seine Botschaft aber noch nicht an.
Über eine spezielle Suchmaschine konnten die Journalisten die Daten unzähliger deutscher Arztpraxen aufspüren. Durch leicht zu erratende Passwörter gelangten die «Angreifer» schliesslich in die mangelhaft geschützten Computersysteme. Dort hatten sie etwa Zugriff auf Diagnosen, Rezepte und Röntgenbilder.
In Deutschland sind Ärzte seit sieben Monaten dazu verpflichtet, diese Daten auf ans Internet angeschlossenen Computern zu speichern – in der Schweiz allerdings nicht, sagt SRF-Digitalredaktor Buchmann: «Und das geplante elektronische Patientendossier sieht eine ganz andere, sehr dezentrale Architektur vor.» Diese mache es Angreifern schwerer, an die Daten zu gelangen.
Die Ärztevereinigung FMH hat kürzlich entsprechende IT-Sicherheitsstandards publiziert. «Mit dem 11-Punkte-Programm ist man wenigstens auf rechtlicher Seite sicher, wenn Patientendaten in einer Praxis entwendet würden», sagt Bürki. Hundertprozentigen Schutz vor Hackerangriffen könne es aber nie geben.
Wer ein ungutes Gefühl hat, soll das Gespräch mit seinem Hausarzt suchen.
Das dürfte die Sorgen von Patientinnen und Patienten kaum zerstreuen. Bürki rät deshalb: Wer sicher sein wolle, ob seine Daten in guten Händen sind, solle direkt nachfragen: «Wer ein ungutes Gefühl hat, soll das Gespräch mit seinem Arzt oder seiner Ärztin suchen.»
Verbindliche Standards für die IT-Sicherheit in Arztpraxen gibt es nicht. Es gebe Ärzte, die alles selber einrichten würden, erklärt Bürki: «Hier ist die Gefahr, dass die Technik nicht state-of-the-art ist.» Andere wiederum griffen auf IT-Dienstleister zurück. Dabei sei zumindest zu erwarten, dass eine «kräftige Firewall» eingerichtet werde.
Kommt hinzu: Lokal gespeicherte Daten sind ein Auslaufmodell. «Die grossen Hersteller wie Apple und Microsoft erlauben bald schon keine lokalen Server-Lösungen mehr. Das heisst: Sämtliche Patientendaten müssen in die Cloud», schliesst Bürki. Und dort liegen sie – wie die Daten jedes anderen Privatkunden – ausserhalb der eigenen Kontrolle.
