Deutschland: Ärzte und Apotheker verschlüsseln E-Mails ungenügend

23.04.2019

Eine Analyse in Deutschland offenbart IT-Sicherheitsmängel bei Berufsgeheimnisträgern im Gesundheitswesen. In unserem Statement erfahren Sie, was bei der Absicherung der E-Mail-Kommunikation zu beachten ist.

Eine aktuelle Studie des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) zeigt, dass die meisten Arztpraxen, Apotheken und Kliniken ihre Daten nicht ausreichend schützen. Insbesondere bei der E-Mail-Verschlüsselung hinken sie aktuellen Standards hinterher. Dabei sind sensible Gesundheitsdaten von Patienten nicht erst seit Inkrafttreten der Europäischen Datenschutzgrundverordnung 2018 besonders schützenswert. Änderung tut dringend Not. Was also ist bei der Absicherung der E-Mail-Kommunikation zu beachten?

Für sogenannte Berufsgeheimnisträger wie Notare und Ärzte gelten besonders strenge Datenschutzrichtlinien: Der sächsische Datenschutzbeauftragte Andreas Schurig etwa meint, dass für sie E-Mail-Verschlüsselung obligatorisch sei, da ansonsten ein Verstoss gegen § 203 Strafgesetzbuch (Verschwiegenheitspflicht) vorliege. Irgendeine Verschlüsselung einzusetzen reicht allerdings nicht: Der automatisierte Sicherheitscheck des GDV bei 1.200 niedergelassenen Ärzten hat ergeben, dass 99,6 Prozent der getesteten Mail-Server noch veraltete Verschlüsselungsstandards wie TLS 1.0 und 1.1 nutzen, die nicht mehr als sicher gelten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hingegen die neueren Versionen TLS 1.2 und TLS 1.3.

Transport- und Inhaltsverschlüsselung kombinieren
Darüber hinaus reicht die Verschlüsselung mit TLS alleine nicht aus, denn damit wird nur der Transportkanal verschlüsselt. Auf ihrem Weg durch das Internet wird die E-Mail aber von Rechner zu Rechner weitergeleitet, wo sie mitgelesen, manipuliert oder kopiert werden könnte, bevor sie schliesslich bei ihrem Empfänger landet. Bestmöglich sind E-Mails nur geschützt, wenn zusätzlich deren Inhalt mit OpenPGP oder S/MIME verschlüsselt wird. Dann sind die Informationen auch im Postfach oder auf dem Server geschützt.

Wie E-Mail-Verschlüsselung umzusetzen ist
Es gibt in Bezug auf E-Mail-Verschlüsselung einige verbreitete Irrtümer, die sich aber leicht ausräumen lassen. Die GDV-Studie zeigt, dass die sensiblen Informationen sehr häufig mit Dritten wie anderen Ärzten, Kliniken oder Versicherungen geteilt werden. Kommunizieren Organisationen viel mit Partnern, sind sie oftmals der Meinung, dass sie diese zunächst von ihrer Verschlüsselungslösung überzeugen müssen, da E-Mail-Verschlüsselung nur reibungslos funktioniert, wenn alle Beteiligten die gleiche Technologie einsetzen. Für diesen Fall gibt es jedoch Verschlüsselungs-Gateways. Sie erkennen, welche Technologie der Kommunikationspartner nutzt, und schlüsseln die Nachrichten dann jeweils in den passenden Standard um. Jeder kann also den Standard einsetzen, den er möchte.

Zudem wissen viele nicht, wie sie mit Privatpersonen verschlüsselt kommunizieren können, die häufig gar keine Verschlüsselung einsetzen. Auch dafür gibt es alternative Lösungen, etwa ein sicheres Webportal, in dem der Empfänger seine verschlüsselte Nachricht abholen kann. Ärzte und Apotheker können E-Mails also unkompliziert verschlüsseln – entsprechend gesetzlicher Vorgaben und konform zu BSI-Empfehlungen.

Gefährliche Arglosigkeit im Gesundheitswesen
Der häufigste Irrglaube in Bezug auf Verschlüsselung äussert sich in Aussagen wie: „Das brauche ich nicht.“ Die Organisationen im Gesundheitswesen sind hier keine Ausnahme. Sie halten sich für gut geschützt oder glauben, dass ihre Daten für Hacker nicht interessant sind – entweder, weil diese angeblich nicht sensibel seien oder weil sie sich für zu unbedeutend halten. Diese Einstellung kann sehr gefährlich werden: Sensible Patientendaten machen beispielsweise Kliniken zum lohnenden Ziel für Erpressungsversuche. Dass sich ungefähr 80 Prozent der durch den GDV befragten Ärzte und Apotheker für gut geschützt hält, lässt am Problembewusstsein in der Branche zweifeln. Es wird noch einiges an Aufklärungsarbeit nötig sein, damit Patienten zukünftig ihre Daten in guten Händen wissen.

Marcel Mock, Chief Technology Officer