Ist Telemedizin wirklich sicher?

Dienste und Apps für Telemedizin werden immer beliebter und verbessern die Verfügbarkeit medizinischer Angebote. Doch wie sicher ist Telemedizin und welche Risiken birgt sie?

Die Gefahren der Telemedizin: Datenschutzverletzungen, Phishing und Spam

Telemedizin gilt landläufig als eine der Krönungen des wissenschaftlichen Fortschritts: Man kann sich von einem Arzt beraten lassen, ohne das Haus zu verlassen. Leider hat die Sache einen Haken …

Medizinische Daten werden auf illegalen oder inoffiziellen Märkten wesentlich häufiger verkauft als Kreditkarteninformationen oder Social-Media-Anmeldedaten. Eine Kreditkarte lässt sich sperren und ersetzen, deine Krankengeschichte kannst du dagegen nicht einfach zurücksetzen. Name, Geburtstag, Adresse, Telefonnummer, Versicherungsnummer, Diagnosen, Testergebnisse, Rezepte und Behandlungspläne bleiben über Jahre hinweg relevant. Eine wahre Goldgrube für gezieltes Marketing, Erpressung, Betrug oder Identitätsdiebstahl.

Und seit die KI überall ihre Finger im Spiel hat, wird das Internet von Fake-Websites geradezu überflutet. Es wird für medizinische Services geworben, die in Wirklichkeit nur vertrauliche Informationen von ahnungslosen Opfern beschaffen. Heute sehen wir uns an, welche medizinischen Daten gefährdet sind, warum Hacker sich dafür interessieren und wie man sich vor dieser Gefahr schützen kann.

Wertvoller als Kreditkarten

Betrüger machen gestohlene medizinische Daten zu Geld – egal, ob umfangreiche Datensätze oder individuelle Arztberichte. Normalerweise erpressen die Kriminellen zuerst die Unternehmen, die erfolgreich gehackt wurden. (2024 wurden in den USA 91 % der Datenlecks im Gesundheitswesen durch Ransomware-Angriffe verursacht.) Anschließend werden die durchgesickerten Daten auch für gezielte Angriffe auf Einzelpersonen genutzt. Anhand gestohlener Daten können Hacker medizinische Profile der Opfer erstellen (welche Medikamente werden wie oft gekauft und langfristig eingenommen). Diese Informationen werden dann an große Pharmaunternehmen oder Vermarkter verkauft oder für gezielten Phishing-Betrug eingesetzt. Beispielsweise zur Werbung für scheinbar innovative Arzneimittel. Außerdem werden Patienten mit sensiblen Diagnosen erpresst oder die Informationen werden verwendet, um auf illegale Weise Rezepte für verschreibungspflichtige Medikamente zu erhalten. Darüber hinaus sind auch Versicherungsunternehmen an dieser Art von Daten interessiert. Sie analysieren diese Informationen, um die Versicherungsprämien für Patienten zu erhöhen, oder können in bestimmten Fällen den Versicherungsschutz sogar kündigen. Kurz gesagt: Es gibt unzählige Möglichkeiten, wie Betrüger diese Daten gegen dich verwenden können.

Wie schlimm ist es wirklich?

Die größte Sicherheitsverletzung bei medizinischen Daten wurde im Februar 2024 verzeichnet, als die Hackergruppe BlackCat in die Systeme von Change Healthcare eindrang. Dies ist eine Abteilung der UnitedHealth Group, die jährlich rund 15 Milliarden Versicherungstransaktionen abwickelt und als Finanzvermittler zwischen Patienten, Gesundheitsdienstleistern und Versicherungsunternehmen agiert.

Neun Tage lang durchstreiften die Angreifer ungestört die internen Systeme von Change Healthcare und schöpften sechs Terabyte an vertraulichen Daten ab. Dann ließen sie ihre Ransomware von der Leine. UnitedHealth war gezwungen, die Rechenzentren von Change Healthcare vollständig vom Netz zu nehmen, um eine weitere Ausbreitung der Ransomware zu verhindern. Und das Unternehmen zahlte den Erpressern ein Lösegeld in Höhe von 22 Millionen Dollar. Der Angriff legte das amerikanische Gesundheitssystem faktisch lahm. Die Zahl der Opfer wurde mehrfach revidiert: von 100 Millionen auf 190 Millionen und schließlich 192,7 Millionen Betroffenen. Der Gesamtschaden wurde auf 2,9 Milliarden Dollar beziffert. Der Grund (auf Seiten von Change Healthcare) für diesen massiven Vorfall (den wir in einem separaten Artikel genau beschrieben haben) war ziemlich einfach: Auf einem Fernzugriffs-Portal gab es keine Zwei-Faktor-Authentifizierung.

Zuvor hatte das Telemedizin-Start-up Cerebral, das auf psychische Gesundheit spezialisiert ist, Tracking-Tools von Drittanbietern direkt in seine Website und Apps integriert. Dadurch sickerten die Daten von 3,2 Millionen Patienten (einschließlich Namen, Krankengeschichten, Rezepten und Versicherungsinformationen) an LinkedIn, Snapchat und TikTok durch. Die US-amerikanische Handelskommission belegte das Unternehmen mit einer Geldbuße von 7,1 Millionen Dollar und erließ ein beispielloses Verbot für die Verwendung medizinischer Daten zu Werbezwecken. Dasselbe Start-up machte noch weitere Schlagzeilen: Es schickte an seine Kunden Werbepostkarten ohne Umschläge. Darauf standen nicht nur die Namen der Patienten, sondern es gab auch Informationen, die Rückschlüsse auf die jeweilige Diagnose erlaubten.

Warum Telemedizin so anfällig ist

Werfen wir einen Blick auf die wichtigsten Schwachstellen von Telemedizin-Diensten.

  • Anzeigen-Tracker in medizinischen Apps. Tracker von Facebook, TikTok, Snapchat und anderen Technologiegiganten werden oft direkt in Telemedizin-Plattformen integriert und geben Patientendaten an Werbetreibende weiter, ohne dass die Nutzer es überhaupt bemerken.
  • Ungeschützte Kommunikationskanäle. Ärzte chatten mit ihren Patienten manchmal über normale Messaging-Apps anstatt über zertifizierte medizinische Plattformen. Das ist zwar praktisch, aber für den Anbieter illegal und für den Patienten überaus riskant.
  • Schwachstellen auf Plattformen. Telemedizin-Plattformen sind anfällig für klassische Web-Angriffe. Dazu zählen SQL-Injektionen, bei denen Hacker ganze Patientendatenbanken stehlen, Session-Hijacking sowie das Abfangen von Daten bei zu schwacher oder fehlender Verbindungsverschlüsselung.
  • Ungenügende Ausbildung des Personals. Unsere Untersuchungen haben ergeben, dass 30 % der Ärzte speziell während Telemedizin-Sitzungen mit kompromittierten Patientendaten zu tun hatten und 42 % des medizinischen Personals nicht wirklich versteht, wie Patientendaten geschützt werden.
  • Veraltete medizinische Geräte. Viele tragbare medizinische Geräte (z. B. Herzmonitore oder Blutdruckmanschetten) nutzen das veraltete MQTT-Datenübertragungsprotokoll. Es ist voller Schwachstellen, über die Hacker vertrauliche Informationen stehlen oder sogar die Funktionsweise des Geräts beeinflussen können.

Spam und Phishing in der Telemedizin

Der medizinische Bereich ist nicht nur für Hacker interessant, sondern auch für Spammer und Betrüger. Sie werben mit Angeboten, die viel zu schön sind, um wahr zu sein, für „medizinische Dienste“, verschicken E-Mails über vermeintliche Änderungen bei der Krankenkasse oder schwärmen von „traditionellen Heilmethoden aus dem Himalaya“. Natürlich führen all diese Links zu verdächtigen Websites, die fragwürdige Artikel oder Dienstleistungen anbieten.

Spam-E-Mails, die anscheinend von Medicare, der staatlichen amerikanischen Krankenversicherung, stammen
Spam-Nachrichten, die scheinbar von Medicare, der staatlichen Krankenversicherung der USA, stammen. Dem Benutzer wird vorgegaukelt, dass sich die Versicherungsbedingungen geändert haben, um ihn auf eine gefälschte Website zu locken
Betrüger, die für wundersame Traditionen aus dem Himalaya zur Diabetes-Behandlung werben
DIABETES EINFACH HEILEN: Alles, was Sie tun müssen, ist … Betrüger werben für eine wundersame Himalaya-Tradition zur Diabetes-Behandlung. Das einzige, was hier garantiert ist: Dein Geld ist weg!
Zweifelhafte Werbung für ein Medikament gegen Pilzinfektionen mit 70 % Rabatt
Nicht zu vergessen natürlich das klassische „Wundermittel“ gegen Pilzinfektionen – jetzt mit 70 % Rabatt.

Wenn du auf einer solchen Phishing-Website landest, versuchen Betrüger, dir alle möglichen privaten Informationen zu entlocken: Fotos deines Personalausweises und deiner Versicherungspolice, Rezepte und manchmal sogar Fotos von Körperteilen, die angeblich ärztlich behandelt werden müssen. Diese Daten werden gesammelt und können dann im Darknet verkauft oder für Erpressung, Nötigung und Phishing-Angriffe genutzt werden. Mehr über die Funktionsweise von heimlich tätigen Datenkraken findest du in unseren Artikel Was geschieht mit Daten, die per Phishing gestohlen wurden?

Eine gefälschte Klinik-Website mit überzeugendem Design
Eine gefälschte Klinik-Website, die ziemlich überzeugend aussieht. Betrüger erstellten auch Seiten für „medizinisches Personal“, „Fachabteilungen“ und „Forschung“. Aus irgendeinem Grund gibt es auf dieser Website aber nirgends eine Datenschutzerklärung oder Nutzungsbedingungen
Ein KI-Diagnose-Tool sammelt jede Menge persönlicher Daten
Eine andere verdächtige Website bietet eine KI-Diagnose und fragt viele persönliche Informationen ab: vollständiger Name, Telefonnummer, E-Mail-Adresse, bisher genutzte medizinische Dienste, Anamnese und derzeit eingenommene Medikamente
Betrügerische Seite, die einen visuellen Gesundheits-Check anbietet. Dabei sollen hochgeladene Fotos von Zunge und Augen analysiert werden
Diese betrügerische Website bietet einen „visuellen KI-Gesundheits-Check“ an – du musst nur Fotos von deiner Zunge und deinen Augen hochladen! Nur zur Erinnerung: Netzhautscans werden unter anderem zur biometrischen Authentifizierung verwendet

Als Faustregel gilt: Gefälschte Klinik-Websites enthalten normalerweise keine Datenschutzbestimmungen und bombardieren dich mit „Nur heute“-Angeboten, die einfach zu schön sind, um wahr zu sein. KI machte es inzwischen zum Kinderspiel, eine professionell wirkende Website zu erstellen, die nicht von einer echten zu unterscheiden ist: Dafür sind keine Designkenntnisse nötig und man muss nicht einmal die Sprache des Opfers beherrschen. Genau aus diesem Grund empfehlen wir unsere umfassende Sicherheitssuite – sie wurde entwickelt, um Spam, Betrug und Phishing zu erkennen und dich rechtzeitig vor gefälschten Websites zu warnen.

Sicherheitstipps für Telemedizin-Patienten

  • Richte eine extra E-Mail-Adresse für medizinische Dienste ein. Sollte diese Adresse durch einen Hackerangriff auf eine Klinik abfließen, ist es für Betrüger viel schwieriger, dein digitales Leben auch in anderen Bereichen nachzuvollziehen.
  • Melde dich nicht über Google, Apple oder soziale Medien bei Telemedizin-Websites an. Wenn du deine Accounts getrennt hältst, können deine medizinischen Daten nicht so einfach mit deinen persönlichen Konten verknüpft werden.
  • Überprüfe gründlich, welche Plattform für die Beratung verwendet wird. Wenn die Klinik einen Anruf oder Chat über eine gewöhnliche Messaging-App vorschlägt, solltest du vorsichtig sein. Viel sicherer ist ein geschütztes, verschlüsseltes Patientenportal, das von der Klinik bereitgestellt wird.
  • Sende medizinische Dokumente nicht über Chat-Apps oder Social Media. Lade Laborergebnisse, Scans und Aufzeichnungen immer über das offizielle Patientenportal der Klinik hoch.
  • Verwende für jedes Konto ein einmaliges, schwieriges Kennwort. Egal, ob Behördenportal, Klinik-Website oder Arzttermin-App, jedes Benutzerkonto muss ein eigenes Kennwort haben. Kaspersky Password Manager kann alle Kennwörter für dich generieren und speichern. Zudem überprüft unsere App regelmäßig, ob eines deiner Benutzerkonten kompromittiert wurde.
  • Aktiviere die Zwei-Faktor-Authentifizierung. Dies ist besonders wichtig für deine Benutzerkonten bei Behörden und medizinischen Organisationen. Verwende eine Authenticator-App anstelle von SMS-Codes: Diese Option ist sicherer und völlig anonym. Kaspersky Password Manager kann dir auch hier weiterhelfen.
  • Gib nur die nötigsten Daten weiter. In medizinischen Apps oder auf Websites kannst du optionale Felder ruhig leer lassen. Je weniger Daten ein Dienst speichert, desto weniger Daten können verloren gehen.
  • Vorsicht, wenn du Gesundheitsinformationen in sozialen Medien oder in Chat-Apps teilst. Betrüger stürzen sich gerne auf verwundbare Menschen. 2024 gewannen Hacker beispielsweise das Vertrauen des Entwicklers von XZ Utils. Er hatte zuvor öffentlich über Burnout und Depressionen berichtet. Sie überzeugten ihn, ihnen die Kontrolle über sein Tool zu überlassen, das sie dann mit schädlichem Code ausnutzen. Da XZ Utils in zahlreichen Linux-Systemen verwendet wird und OpenSSH (ein Protokoll für Remote-Server-Verbindungen) betrifft, hätte der Angriff das Internet im großen Stil stören können – zum Glück wurde er rechtzeitig bemerkt.
  • Installiere keine Telemedizin-Apps von unbekannten Entwicklern. Sieh dir die Bewertungen an und lies die Datenschutzerklärung. Auch große Plattformen können deine Daten an Dritte weitergeben.
  • Achte gut auf deine medizinischen Unterlagen. Seltsame Rezepte, Arztbesuche, die du nie gemacht hast, oder Medikamente, von denen du überhaupt nichts weißt, können darauf hinweisen, dass dein Konto kompromittiert wurde.
  • Konfiguriere deine Gesundheits-Gadgets und aktualisiere sie regelmäßig. Fitness-Uhren, Blutdruckmessgeräte, Smart-Waagen und Aktivitäts-Tracker senden Daten ins Internet. Unsachgemäße Einstellungen oder nicht gepatchte Schwachstellen können Datenschutzverletzungen begünstigen.

Was Sie sonst noch über den Schutz deiner Gesundheit im Internet wissen sollten:

CrystalX RAT: Ein Trojaner für Pranks, Fernzugriff und Kryptowährungsdiebstahl

CrystalX RAT kann deinen Bildschirm manipulieren und Kryptowährung stehlen

Der neue Remote-Access-Trojaner (RAT) CrystalX sieht oberflächlich betrachtet aus wie die Scherzprogramme der 90er Jahre, richtet jedoch weitaus größeren Schaden an. Er spioniert alles aus, was auf deinem Computer geschieht, stiehlt Kryptowährung und Zugangsdaten und verschafft dem Angreifer die volle Kontrolle über das Gerät. Wir erklären, wie er funktioniert und wie du vermeiden kannst, zu einem seiner Opfer zu werden.

CrystalX RAT: Ein Trojaner für Pranks, Fernzugriff und Kryptowährungsdiebstahl
Tipps
  • Für alle anderen Länder