150 150 BFS

Tipps für Ihre Passwortsicherheit

"Arztpraxis 1234" reicht nicht aus

In vielen Praxen steht es um die IT-Sicherheit nicht gut. Eine Untersuchung zur IT-Sicherheit im Gesundheitssektor zeigt: Häufige Schwachpunkte sind die Verwendung schwacher Passwörter oder veralteter Software.

Untersuchung zur Passwortsicherheit

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat in einem Zeitraum von November 2018 bis März 2019 die Mailserver von 1.200 Praxen und 250 Kliniken und Apotheken auf öffentlich einsehbare Informationen und potenzielle Angriffspunkte analysiert. Das Ergebnis: Neun von zehn Ärzten verwendeten leicht zu erratende Passwörter. Am beliebtesten war die Kombination aus „Praxis“ und dem Namen des jeweiligen Arztes. Einige der untersuchten Praxen verzichteten sogar komplett auf den Passwortschutz.Damit Sie und Ihre Praxis es besser machen, haben wir für Sie einige hilfreiche Tipps rund um Ihre Passwortsicherheit zusammengestellt.

Passwörter können nicht komplex genug sein

Häufig werden Sie ohnehin dazu aufgefordert, ein Passwort bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zu verwenden. Doch auch solche Passwörter können geknackt werden, wenn sie nicht ausreichend komplex sind. Denn: Hacker verfügen über Passwortlisten und einfach zu erratende Passwörter wie „Hallo12345!“ oder das eingangs erwähnte „Arztpraxis1234“ sind darin mit großer Wahrscheinlichkeit enthalten. Passwortlisten enthalten Zugangsdaten, die durch Datenklau, Phishing, gehackte Internetseiten und Datenbanken zusammengetragen wurden. Häufig enthalten solche Listen Millionen von Zugangsdaten. Auch in der Untersuchung des GDV konnte ein Experte für Cybersicherheit bei 60 Prozent der Kliniken und in jeder zehnten Arztpraxis ohne besonderen Aufwand E-Mail und Passwortkombinationen im Darknet recherchieren.

Die Methode der Hacker

Bei einem häufig verwendeten Hash Verfahren (MD5) wird ein Passwort in einer Datenbank „verschlüsselt“ hinterlegt. In folgendem Beispiel wird das Kennwort Schalke04 mit dem MD5 Verfahren verschlüsselt: Schalke04 = 97b6515781563c4f2dc0e17fbac6968a Mit dem Zahlencode lässt sich dann beispielsweise in Datenbanken erkennen, wenn zwei Benutzer identische, häufig vorkommende Passwörter verwenden. Diese Grafik zeigt beispielsweise, dass die Benutzer Peter und Tobias beide das Passwort „Schalke04“ verwenden:

Ganze Sätze statt einzelne Wörter

Sollte sich ein Angreifer Zugang auf diese Datenbank verschaffen, würde eine Google-Suche ausreichen, um das Passwort anhand des Hashwertes herauszufinden. Um solche Angriffe zu vermeiden, empfiehlt es sich, komplexe und individuelle Passwörter zu verwenden. Eine gute Art und Weise entsprechende Passwörter zu generieren, ist es, ganze Sätze zu verwenden. Beispiel: „UnserePraxishatam01012013eröffnet!“ Ganze Sätze sind schwerer zu erraten, als einzelne Begriffe. Außerdem sollten Sie darauf achten, Passwörter nirgends zu notieren oder für Dritte einsehbar aufzubewahren.