Während Wörter wir Industriespionage, das Hacken von Social-Media-Profilen und Phishing noch halbwegs bekannt sind, sind die aus dieser Kenntnis gezogenen Lehren oft nur marginal. Der Satz „Warum sollte ausgerechnet mir das passieren?“ wird zur Grundlage guter Hoffnungen gemacht – privat wie beruflich.

Gesundheitsdienstleister wie Ärzte, Praxen, MVZen und Kliniken wissen zwar um die Schweigepflicht; sie wissen auch um den Wert von Daten im Allgemeinen und Patientendaten im Besonderen. Dass sie aber – ganz gleich, ob kleine Praxis oder großer Klinikkonzern – selbst Opfer von Cyberkriminellen werden könnten, blenden viele aus. Dabei ist zu prognostizieren, dass künftig gerade Gesundheitsdaten vermehrt das Ziel von Cyberangriffen werden könnten.

Mögliche Szenarien

Varianten, wie über das Internet Geld „verdient“ werden könnte, gibt es in diesem Zusammenhang viele. Über sog. Ransomware, etwa Krypto-Trojaner, greifen Cyberkriminelle auf die eigenen Daten zu, verschlüsseln sie und verlangen ein Lösegeld (meist in der virtuellen Währung Bitcoin), damit sie den Code zur Entschlüsselung preisgeben. Wird nicht gezahlt, drohen Patientendaten unwiederbringlich verloren zu sein. In Bonn ist einer Arztpraxis genau das 2017 wiederfahren. Die Rechner kosmetischer Kliniken könnten gehackt werden (geschehen 2017 in Litauen), um mit den Daten die Patienten und Patientinnen zu erpressen. Selbst auf Medizintechnik, etwa ein MRT, kann u. U. von außen zugegriffen werden – um Daten abzuschöpfen oder Einstellungen zu verändern. Mögliche Einfallstore gibt es viele – Gesundheitsdaten bringen auf dem Schwarzmarkt, im Dark Web, fast so viel wie Kreditkarteninformationen.

Folgen

Wer Opfer eines solchen Angriffs wird, verliert meist mehrfach: an Geld, das man an den Erpresser zahlt; an Vertrauen, das die Patienten ihrer Ärztin oder ihrem Arzt entgegenbringen; und nochmals an Geld, weil auch die Ordnungs- und Datenschutzbehörden bei Verstößen regelmäßig prüfen, ob ein unsorgfältiges Handeln im Vorfeld den Abfluss der Patientendaten begünstigt hat.

Handlungsoptionen

Wer die ihm anvertrauten Patientendaten schützen will, sollte handeln – nicht nur bei und nach einem Angriff, sondern schon zuvor. Denn wer sich unabhängig von einem Vorfall zu schützen sucht, gewinnt doppelt: Angriffe können, wenn nicht 100-prozentig vermieden, dann aber so erschwert werden, dass der Aufwand für einen Täter zu groß scheint. Und: Wer vorsorgt und Compliance auch auf diesem Feld betreibt, steigert seine Chancen, nicht auch noch von den Ordnungsbehörden in Anspruch genommen zu werden, selbst wenn der Angriff gelingt.

FS-PP Berlin berät Ärzte und Kliniken in allen Bereichen des Gesundheitsrechts, auch bei datenschutzrechtlichen Fragen und Problemen mit Cybercrime. Ob in der Vorfeldberatung, der Nachbereitung nach einem Angriff oder in Akutsituationen, in denen ein Angriff gerade im Gange ist – FS-PP Berlin stehen mit Rat und Tat zur Seite. Den Kontakt mit den Behörden – Datenschutz-, Ordnungswidrigkeiten- oder Strafverfolgungsbehörden – übernehmen wir gern, damit Ärztinnen und Ärzte sich auf ihr Kerngeschäft konzentrieren können.

Ansprechpartner
Dr. Sebastian T. Vogel