Cyber-Kriminalität
Hacker sind scharf auf Gesundheitsdaten

Gesundheitsdaten sind bei Hackern hoch begehrt. Mit dem Verkauf großer Mengen solcher sensiblen Informationen lässt sich gehörig Profit machen. In den USA hat sich eine Art Schwarzmarkt für Patientendaten gebildet.
  • 0

BerlinKrankenakte, Notfalldaten, verordnete Medikamente: Die neue elektronische Gesundheitskarte soll in den nächsten Jahren zu einem wichtigen Datenträger im Gesundheitswesen in Deutschland werden. Ob Herzprobleme, Diabetes oder Depressionen – schon jetzt werden Diagnosen bei Ärzten, Kassen und Krankenhäusern digital gespeichert. Fallakten werden angelegt und Labordaten über IT-Systeme übertragen. Dadurch werden Arztbesuch und Behandlung im Krankenhaus effizienter, Therapien können besser koordiniert werden. Doch es lauern Gefahren: Cyberkriminelle haben es zunehmend auf die sensiblen Informationen abgesehen.

So warnte die US-Bundespolizei FBI unlängst alle Dienstleister im amerikanischen Gesundheitssektor, sich besser gegen Attacken aus dem Netz zu schützen. Anlass war ein Angriff auf eine der größten Klinikketten des Landes. Chinesischen Hackern war es gelungen, in das Netzwerk der Community Health Systems Inc einzudringen und die persönlichen Daten von 4,5 Millionen Patienten zu erbeuten. Die Gesundheitsbranche stelle ein attraktives Ziel dar, weil sich mit dem Verkauf großer Datenmengen gehörig Profit machen lasse, sagt Dave Kennedy, Gründer des Unternehmens Trusted SEC, das sich der Sicherheit von Informationssystemen verschrieben hat. Das US-Gesundheitswesen biete dafür leicht zu überwindende Einfallstore.

Bosco Lehr vom Institut für E-Health und Management im Gesundheitswesen an der Fachhochschule Flensburg kann für Deutschland allerdings beruhigen. Mit den Gesundheitsdaten einzelner Personen lasse sich hierzulande viel weniger anfangen als etwa in den USA. Dort hat sich inzwischen eine Art Schwarzmarkt für gestohlene Patientendaten gebildet, wozu neben Namen und Geburtsdaten auch Versicherungsnummern bis hin zu Diagnosecodes und Rechnungsinformationen zählen. Betrüger können damit ID-Cards erstellen, die etwa zum Kauf von Medikamenten oder medizinischen Geräten unter falschem Namen ermächtigen und sich weiterverkaufen lassen. Oftmals erfahren die Nutzer vom Identitätsdiebstahl erst, wenn bei ihnen hohe Rechnungen auflaufen oder gar der Gerichtsvollzieher vor der Tür steht, wie das renommierte Ponemon Forschungsinstitut zu berichten weiß.

In Deutschland ist dies so nicht möglich. Anders als in den USA etwa kann ein Betrüger mit den Gesundheitsdaten von Patienten nicht einfach auf Shopping-Tour gehen, weil die Bankverbindung auf der Gesundheitskarte etwa nicht gespeichert ist. Auch ist es fast unmöglich, sich mit den falschen Daten eine Behandlung zu erschleichen. In den Vereinigten Staaten hingegen ist der Diebstahl von Gesundheitsdaten einzelner Bürger dagegen zuweilen mehr wert als der Klau einer Kreditkarte.

In Deutschland sind Daten von einzelnen Personen für Kriminelle allenfalls dann attraktiv, wenn es sich um Prominente handelt. Der Versuch, an die Patientenakte des siebenmaligen Formel-1-Rennfahrers Michael Schumacher zu gelangen, verdeutlicht dies, auch wenn es sich hierbei nicht um Angreifer aus dem Netz handelte.

Vor allem dürfte es hierzulande für Kriminelle interessant sein, eine Masse von Daten zu erbeuten, die sich etwa zu Marketingzwecken auswerten lassen. „Der eventuelle kriminelle Nutzen aus der Entwendung von Daten steigt proportional mit der Datenmenge“, erläutert Lehr.

Nicht auszuschließen ist, dass Cyberkriminelle damit drohen könnten, geklaute Daten zu veröffentlichen. „Die Gefahr des Diebstahls etwa von Patientendaten gibt es schon ewig, etwa um Krankenhäuser damit zu erpressen. Vor solchen Versuchen ist niemand gefeit“, sagt der für IT zuständige Geschäftsführer der Deutschen Krankenhausgesellschaft (DKG), Jan Neuhaus.

Sicherheit nicht zum Nulltarif

Nicht zuletzt Versicherungen oder Arbeitgeber könnten Interesse an den Gesundheitsdaten ihrer Kunden oder Mitarbeiter haben. Gewöhnlich werde ein Arbeitgeber ja nie über die genaue Krankheit eines Mitarbeiters informiert, merkt der Internet-Experte David Fickeisen vom Portal „kliniken.de“ an. Allerdings müssten sich die Unternehmen dazu auf einem Schwarzmarkt bedienen, was sie gewöhnlich abschrecken dürfte.

Eine Gefahr besteht laut Fickeisen auch darin, dass Cyberkriminelle Daten im Kliniksystem vertauschen oder manipulieren, woraus am Ende eine falsche Medikation oder Therapie resultieren könne. DKG-Experte Neuhaus weiß um solche Gefahren. Jeder Arzt sei letztlich gefordert, vor einer Behandlung die Plausibilität der Angaben zu prüfen. Zudem lägen die meisten Unterlagen nach wie vor in Papierform vor.

Experten sehen aber keinen Grund für Hysterie. „In Deutschland sind die Sicherheitsanforderungen im internationalen Vergleich besonders hoch, etwa in Form von Verschlüsselungen und Schutzanforderungen an die Server“, sagt Lehr. Daten würden in gut gesicherten Rechenzentren gespeichert, die meist bei den Kliniken selbst angesiedelt seien. „Vor allem aber nehmen sie keinen Weg über das Ausland“, unterstreicht der Flensburger Professor.

Ein Sprecher von Deutschlands größter Klinikkette Helios betont, bei ihnen existierten „hausindividuelle Sicherheitskonzepte mit mehrstufigen Sicherheitskontrollen“. Das Netzwerk verbinde die einzelnen Standorte über verschlüsselte Leitungen und biete einen geschützten Übergang ins Internet.

Und Neuhaus betont, die DKG empfehle als Dachverband den mehr als 2000 Kliniken, sich an einen Leitfaden der Datenschutzbeauftragten von Bund und Ländern zum Schutz der Informationssysteme im Krankenhaus zu halten. Die dort beschriebenen Vorkehrungen böten ein Schutzniveau über das unbedingt Notwendige hinaus. Die Krankenhaussysteme seien zudem meist in sich geschlossen und nicht direkt mit dem Internet verbunden.

Neuhaus gibt allerdings zu bedenken, dass den Krankenhäusern Geld für Investitionen fehle, da die Bundesländer ihren Zahlungsverpflichtungen nicht nachkämen. „Sicherheit im Gesundheitswesen gibt es nicht zum Nulltarif“, betont auch Lehr. Aus seiner Sicht sollte der Datenschutz „ganz oben in der Führungsstruktur eines Krankenhauses verankert“ sein. Auch in der Ausbildung von Ärzten und Pflegekräften müsse der sensible Umgang mit Patientendaten eine wichtige Rolle spielen.

Die Bundesregierung möchte die Telematik im Gesundheitswesen weiter ausbauen, um so die Versorgung von Patienten zu verbessern. Minister Hermann Gröhe hat dazu noch für dieses Jahr einen Gesetzentwurf angekündigt. Damit will er auch die Gesundheitskarte voranbringen. Der Datenschutz werde dabei groß geschrieben, betont eine Sprecherin. Bei der Chipkarte ist vorgesehen, dass der Zugriff wie bei der Bankkarte mit einer PIN geschützt ist. Der Arzt besitzt nochmal einen zweiten PIN-Code, um auf die Daten zugreifen zu können. Nur für den Notfall soll es Ausnahmen geben.

Sicherheit und Datenschutz im Netz sind auch Thema des IT-Gipfels der Bundesregierung in der kommenden Woche in Hamburg. Experten warnen davor, trotz aller Sorgen und Einwände die Digitalisierung von Gesundheitsdaten zu verteufeln. Der Nutzen der Speicherung von Informationen für Patienten und Gesundheitseinrichtungen sei „weitaus größer als die eventuelle Unsicherheit“, betont Lehr.

Agentur
Reuters 
Thomson Reuters Deutschland GmbH / Nachrichtenagentur

Kommentare zu " Cyber-Kriminalität: Hacker sind scharf auf Gesundheitsdaten"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%