"WannaCry"-Attacke
"Nur ein kleiner Vorgeschmack"
Die jüngst bekannt gewordenen Hackerangriffe in England verunsichern Ärzte. Rechtsanwalt Gerald Spyra erklärt, wie Mediziner Daten schützen können.
Veröffentlicht:Ärzte Zeitung: Herr Spyra, Sie beschäftigen sich seit Jahren mit dem Thema Datensicherheit im Gesundheitswesen. Wie ordnen Sie den aktuellen Hackerangriff, der viele Kliniken und Praxen in Großbritannien getroffen hat, ein?
Gerald Spyra: Zunächst einmal gilt es, festzustellen, dass es sich, auch wenn es in den Medien anders dargestellt wurde, bei "WannaCry" nicht um einen hoch fortgeschrittenen Angriff handelte. Jeder mit entsprechenden Kenntnissen wäre in der Lage gewesen, mithilfe der im Netz verfügbaren Schadprogramme eine mit "WannaCry" vergleichbare Software verhältnismäßig einfach zu entwickeln. Daher ist, ohne Angst zu schüren, dieser Angriff nur ein kleiner Vorgeschmack auf das, was möglicherweise droht, wenn immer mehr vernetzte IT eingesetzt wird, ohne dabei den "Schutz von Daten" ganzheitlich zu berücksichtigen. Meiner Meinung nach zeigt der jüngste Hackerangriff auf, wie essenziell es ist, dass Hersteller und Betreiber – also Klinik und Praxis – Hand in Hand zusammenarbeiten, um die Sicherheit der Datenverarbeitung zu gewährleisten und damit den Patienten zu schützen.
Wie ist die Cyber-Attacke aus juristischer Sicht für Ärzte zu beurteilen?
Auch wenn man meint, dass Microsoft für Fehler in seinen Betriebssystemen primär haften würde, dürfte man diesbezüglich enttäuscht werden. Mit Blick auf geltende produkthaftungsrechtliche Implikationen, dürfte der Softwareriese seine produktrechtlichen Pflichten erfüllt haben. Denn nach Bekanntwerden der Lücke, die bei "WannaCry" eingesetzt wurde, hatte der Konzern unverzüglich einen Patch bereitgestellt. Daher dürfte in Schadensfällen eher die Frage im Vordergrund stehen, ob der verantwortliche Betreiber in Haftung genommen werden kann – damit ist der Arzt in der Praxis gemeint oder der Verantwortliche in der Klinik in der Pflicht. Es gilt zu fragen, ob er alles Erforderliche unternommen hat, um einen solchen Vorfall zu verhindern. Weil der Datenschutz in Klinik und Praxis wenig dokumentiert ist, dürften Betreiber vor Gericht der ihnen obliegenden Beweislast häufig nicht nachkommen können, um sich in einem Schadensfall zu exkulpieren.
Welche Gesetze oder Schutzmaßnahmen wären nötig, um so etwas künftig zu verhindern?
Es ist die Frage, ob neue Gesetze in solche Fällen helfen können. Meiner Meinung nach haben wir eigentlich klare Vorgaben im Bereich "Schutz von Daten", die durch die Neuregelungen der EU-Datenschutzgrundverordnung, die ab dem 25. Mai 2018 gelten werden, eine ganz neue Qualität bekommen dürften (Anm. d. Red.: Bußgelder bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes). Auch wenn das keiner gerne hört Krankenhäuser und Arztpraxen müssen, wenn sie immer mehr IT aus Kosteneinsparungs-, Effizienz und Effektivitätsgründen einsetzen wollen, gleichzeitig auch immer mehr Geld in die Hand nehmen, um die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz von Daten zu treffen. Das bedeutet jedoch nicht, dass deswegen gleich die neueste Technik beschafft und eingesetzt werden muss.
Zweckmäßige Maßnahmen sind etwa die Inventarisierung der eingesetzten und vernetzten IT, eine sinnvolle Netzwerksegmentierung, regelmäßiges Patchen sowie Updaten, immer wieder Penetrationstests zu machen, um die Anfälligkeit der Systeme zu testen und eine offene und ehrliche Sensibilisierung der Mitarbeiter für die Relevanz von Daten beziehungsweise der Datenverarbeitung sicherzustellen. Ich würde mir wünschen, dass immer mehr auditierbare Strukturen geschaffen, unterstützt oder auch gefördert werden, damit man sich nicht auf die bei proprietärer Software weitverbreiteten "Security by Obscurity" verlassen muss.
Gerald Spyra
Rechtsanwalt Spyra berät vornehmlich Organisationen in der Gesundheitsbranche.
Die Themen Informations- bzw. Datenschutz, (Software-) Medizinprodukterecht und die IT-Forensik gehören zu seinen Schwerpunkten.
