Der Gesamtverband der Deutschen Versicherungswirtschaft sorgt sich um die Datensicherheit im Gesundheitssektor. Bei Kliniken, Ärzten und Apotheken kommt häufig veraltete Technik zur Verschlüsselung von E-Mails zum Einsatz, und nicht selten lassen sich Zugangsdaten im Internet finden. Das zeigte ein Zufallstest bei 1200 Arztpraxen und jeweils 250 Apotheken und Kliniken. "Im Darknet lassen sich E-Mail-Adressen von Mitarbeitern finden, teils mit Passwörtern", sagte Gert Baumeister. Er ist Vorsitzender der Projektgruppe Cyberversicherung beim GDV. Das Darknet ist ein besonders gesicherter Bereich im Internet, der als virtueller Markt auch für illegale Geschäfte dient.
Nun untersuchen die Versicherer so etwas nicht aus Freundlichkeit. Sie wollen sich als Experten für Datensicherheit profilieren und Cyberpolicen verkaufen.
Weltweit gilt der Gesundheitssektor neben den Banken als der am meisten von Hackern angegriffene Wirtschaftsbereich. Bisher ist der Markt für Cyberversicherungen in Deutschland noch sehr klein, kaum ein Arzt ist versichert. Der GDV schätzt die Zahl aller Cyberverträge für 2018 auf 50 000 und die Beitragseinnahmen auf 50 Millionen Euro. Das war zwar ein Plus gegenüber 2017, als die Zahl der Verträge 27 000 und die Beiträge bei 22 Millionen Euro betrugen, ist aber immer noch weit von den vier Milliarden Dollar entfernt, die Experten für die USA schätzen. Die versicherten Schäden lagen 2017 in Deutschland bei 9,4 Millionen Euro.
"Das größte Risiko ist ganz klar das Passwort", sagt der IT-Experte Michael Wiesner vom Chaos Computer Club. Im Auftrag des GDV hat er sich 25 Arztpraxen genauer angesehen, die sich freiwillig gemeldet hatten. Bei 90 Prozent seien die Passwörter zu simpel, beliebt ist "Praxis". Ein weiteres Problem: In vielen Praxen haben alle Mitarbeiter Administratorenrechte. Damit sind sie befugt, Software auf die IT der Praxis zu spielen - die auch Viren enthalten kann.
Auch fehlende Sicherheits-Updates machen Wiesner Sorgen. Neun der 25 Praxen hatten es versäumt, Aktualisierungen aufzuspielen. Dann können sich Cyberkriminelle leichter Zugang verschaffen, warnte Wiesner. Bei der Datensicherung sieht er ebenfalls Nachholbedarf. So seien Backups zwar die Regel, doch nur neun der 25 Praxen verschlüsseln sie auch. Und nur vier von 25 testen, ob die automatische Sicherung auch funktioniert. Schließlich vermisste Wiesner ausreichende Vorsorge für den Notfall. Nur eine Praxis habe einen schriftlichen Notfallplan gehabt.
Technik für IT-Sicherheit kostet Geld, aber Firmen und Praxen können bereits durch klare Anweisungen für mehr Sicherheit sorgen, sagte Wiesner. Als Beispiel nannte er den Umgang mit Phishing, bei denen Kriminelle E-Mails mit Schadsoftware im Anhang schicken. Wiesner verschickte eine Mail an die Praxen, in der sie über eine angebliche schlechte Benotung auf einem Portal informiert wurden. Um sie einzusehen, sollten sie sich registrieren. In sechs der 25 Praxen öffneten Mitarbeiter die Mails.