Die Kassenärztliche Bundesvereinigung (KBV) will für mehr IT-Sicherheit in Arztpraxen sorgen und geht daher Anfang Juli in die Informationsoffensive. Helfen sollen regelmäßige Informations- und Schulungsangebote zum Schutz vor Cyberkriminalität. Das Themenspektrum reicht laut KBV vom Umgang mit Phishing-Mails über „sichere Passwörter, Virenschutz, Software-Updates und das Nutzen einer Cloud bis hin zum Basisschutz der Praxis-IT oder was bei einem Sicherheitsvorfall zu tun ist“. Gerade mit Blick auf die Anbindung an die Telematikinfrastruktur (TI), die für den sicheren Austausch von Gesundheitsdaten gedacht ist, müssen Praxen für IT-Sicherheit sensibilisiert werden.

Mehr Schulungen für Cybersicherheit

Für mehr IT-Sicherheit hatte die KBV kürzlich ihre IT-Sicherheitsrichtlinie aktualisiert, die seitdem auch vorsieht, das Sicherheitsbewusstsein in Arztpraxen zu stärken. „Wir sind gesetzlich verpflichtet, Anforderungen zur Gewährleistung der IT-Sicherheit in Praxen in einer Richtlinie festzulegen und diese regelmäßig anzupassen“, sagte Steiner.

„Die Bedrohung der IT-Sicherheit wächst weltweit. Auch die ärztlichen und psychotherapeutischen Praxen sind davon betroffen und müssen ihre IT vor unberechtigten Zugriffen schützen“, sagte KBV-Vorstandsmitglied Dr. Sibylle Steiner. Das Heft „IT-Sicherheit“ (PDF) soll dabei einen kompakten Einstieg bieten, es gibt allerdings noch weitere Informationen und Musterdokumente – etwa ein Beispiel für eine Verschwiegenheitserklärung für Mitarbeiter und externe Dienstleister.

Pflege fordert IT-Sicherheit und nutzerfreundliche TI-Produkte

Auch der Deutsche Pflegerat (DPR) fordert „klare gesetzliche Vorgaben“ für die IT-Sicherheit in der Pflege. Er sieht aufgrund zunehmender Cyberangriffe und wachsender Digitalisierung ebenfalls dringenden Handlungsbedarf, um Pflegeeinrichtungen besser vor Angriffen zu schützen. „Auch außerhalb der KRITIS-Kategorien geraten Akteure des Gesundheitswesens, darunter Pflegeeinrichtungen, vermehrt ins Visier – etwa durch Ransomware, DDoS-Angriffe (Distributed Denial of Service) oder Social Engineering“, heißt es im Thesenpapier.

„Mit der geplanten Anbindung der Pflegeeinrichtungen an die Telematikinfrastruktur und somit einem höheren Grad der IT-Durchdringung ist es umso wichtiger branchenspezifische Sicherheitsstandards […] für die ‚Pflegerische Versorgung‘ zu definieren“. Zudem müssen die IT-Hersteller laut DPR zu zertifizierten Sicherheitsstandards verpflichtet werden. Mit der Umsetzung der EU-Richtlinie NIS2 und dem Cyber Resilience Act werde sich der Markt für IT-Lösungen neu strukturieren und bereinigen.

IT-Sicherheit nicht dem Zufall überlassen

„Die Pflege braucht verbindliche und branchenspezifische IT-Sicherheitsstandards. Es darf nicht länger dem Zufall überlassen bleiben, wie gut Pflegeeinrichtungen gegen Cyberangriffe geschützt sind“, sagte Thomas Meißner, Leiter der DPR-Fachkommission „Digitalisierung in der Pflege“. Die Forderungen sollten nach Sicht des DPR gesetzlich im Gesundheitsdatennutzungsgesetz (GDNG) und im Digitale-Versorgung-und-Pflege-Modernisierungsgesetz (DVPMG) verankert werden.

Außerdem will die Pflege selbst definieren, was als Stand der Technik gilt. „Pflegeeinrichtungen brauchen praxistaugliche, sichere Produkte […]. Dies trägt zudem zur Marktbereinigung bei, da minderwertige oder unsichere Produkte auf Dauer ausgeschlossen werden“. Zumindest in Arztpraxen und Krankenhäusern gibt es regelmäßig Kritik über die fehlende Nutzerfreundlichkeit der Anwendungen. Bald muss auch die Pflege an die Telematikinfrastruktur angeschlossen sein, doch bisher sieht es nicht so aus, dass bis Anfang Juli die Anforderungen erfüllt sind.

(mack)

Das unaufgeforderte Zusenden von Fotos oder Videos entblößter Geschlechtsteile einer erwachsenen Person an eine andere ist in Österreich derzeit nicht gerichtlich strafbar. Um das zu ändern, legt die Regierung dem Parlament einen Vorschlag für eine Strafrechtsnovelle vor. Damit soll auch sogenanntes Cyberflashing verboten werden.

Laut vorgeschlagenem Paragraphen 218 Absatz 1b Strafgesetzbuch (StGB) soll strafbar sein, „wer eine andere Person belästigt, indem er ihr im Wege einer Telekommunikation oder unter Verwendung eines Computersystems eine Bildaufnahme, die wesentlich menschliche Genitalien zeigt, vergleichbare bearbeitete Bildaufnahmen oder vergleichbares künstlich erstelltes Material, unaufgefordert und absichtlich übermittelt.“ Klingt einfach und ist im Detail erstaunlich komplex.

Diffizile Abgrenzung

Comics oder Zeichnungen erfüllen das Erfordernis nicht, weil sie echten Bildern nicht „vergleichbar“ sind. Die Formulierung „oder unter Verwendung eines Computersystems“ erfasst Cyberflashing. Dabei werden Abbildungen des Gemächts nicht über klassische Telekommunikation, sondern über Nahfunk, beispielsweise Apples Airdrop oder Bluetooth, unverhofft zugemittelt. Erfasst werden zudem Online-Postings, die Platzierung auf Webseiten oder Internetplattformen aller Art sowie Verbreitung über Soziale Netze. Dabei soll laut Erläuterungen jedoch nicht strafbar sein, wer Aufnahmen „in der eigenen digitalen Sphäre (zB in das eigene Profil)“ hochlädt oder platziert.

Nicht kriminalisieren möchte die Regierung Fälle, in denen von Einverständnis der Beteiligten auszugehen ist: „Dies kann beispielsweise in Beziehungen der Fall sein oder auch bei Teilnahme an Angeboten im Internet, in sozialen Medien oder Apps, die auf den (zulässigen) Empfang oder Austausch von sexuellen Inhalten ausgerichtet sind (zB Erotikplattformen). Die bloße Präsenz oder Teilnahme auf Kontakt-Portalen zur Partnersuche oder in sogenannten ‚Dating-Apps‘ genügt dabei freilich nicht.“

Zudem muss die Belästigung im Zeitpunkt des Empfangs eintreten. Wer sich später, etwa nach einem Beziehungsende, ekelt, hat keine rechtliche Handhabe. Die neuen Tatbestände sind sogenannte Ermächtigungsdelikte. Das bedeutet, dass die Tat nur mit Zustimmung der verletzten Person gerichtlich verfolgt werden kann. Vorgesehen sind dann Freiheitsstrafen bis zu sechs Monaten oder Geldstrafen bis zu 360 Tagessätzen, sofern kein anderer, schwerwiegenderer Tatbestand erfüllt ist.

Übererfüllung einer EU-Richtlinie

Die Novelle setzt die 2004 beschlossene EU-Richtlinie 2024/1385 zur Bekämpfung von Gewalt gegen Frauen und häuslicher Gewalt um. Diese Richtlinie erlegt in Artikel 7 Absatz c den Mitgliedsstaaten auf, „unaufgeforderte, mittels IKT erfolgende Zusendung eines Bildes, eines Videos oder sonstigen vergleichbaren Materials, auf dem Genitalien abgebildet sind, an eine Person, sofern diese Handlungen wahrscheinlich dazu führen, dass der Person schwerer psychischer Schaden zugefügt wird“, spätestens 2027 unter Strafe zu stellen. Die österreichische Novelle geht über die EU-Vorgabe hinaus.

Denn für Strafbarkeit in Österreich soll Belästigung reichen, selbst wenn keine Wahrscheinlichkeit schweren psychischen Schadens besteht. Die Übererfüllung von EU-Vorgaben ist auch als Goldplating bekannt. Genau das sollte in Österreich nicht mehr vorkommen, wie Bundeskanzler Christian Stocker und seine Partei, die ÖVP, versprochen haben. Die Erläuterung der Regierungsvorlage begründet das Goldplating so: „Einerseits scheint die Anknüpfung an den Aspekt der Belästigung (…) sachgerechter; andererseits würde das Kriterium der Wahrscheinlichkeit eines schweren psychischen Schadens Ermittlungs- und Beweisverfahren voraussichtlich verlängern und verkomplizieren (…)“, und es gäbe dann weniger Verurteilungen.

Die österreichische Regierung erwartet, dass es in Zukunft zirka 300 einschlägige Verfahren pro Jahr bei den Staatsanwaltschaften sowie ungefähr 45 Gerichtsverfahren jährlich geben wird. Entsprechend dürfte die Kriminalitätsrate geringfügig steigen. Die Regierungskoalition dürfte die kleine Strafrechtsnovelle ohne Federlesen verabschieden.

(ds)

Bundesländer wie Bayern, Hessen und Nordrhein-Westfalen nutzen unter verschiedenen Namen eine eingeschränkte Version der Big-Data-Software Gotham des umstrittenen US-Konzerns Palantir. Die zuständigen Politiker begründen dies damit, dass die Datenanalyse der Polizei helfe, schwere Gefahren wie Terroranschläge abzuwehren oder diese aufzuklären. In Bayern wurde die entsprechende „verfahrensübergreifende Recherche- und Analyseplattform“ (VeRA) fast hundertmal zwischen September 2024 und Mitte Mai genutzt. Doch bei über zwanzig dieser Fälle ging es um andere als die genannten Zwecke – nämlich etwa um Straftaten im Bereich „Eigentums- und Vermögenswerte“.

Das geht laut einem Bericht von WDR, NDR und Süddeutscher Zeitung aus der Antwort der bayerischen Regierung auf eine Anfrage des Sprechers der bayerischen Grünen-Fraktion für Digitalisierung, Benjamin Adjei, hervor. Viele Einträge deuten demnach auf große Gefahrenlagen hin. Doch das System werde eben auch „für deutlich weniger gemeingefährliche Situationen genutzt, und das besonders oft“, moniert der Informatiker Adjei. Bei den genannten Eigentumsstraftaten könnte es sich etwa um bandenmäßigen Fahrraddiebstahl oder Geldautomatensprenger handeln.

Viele Unbescholtene im Raster?

Auch der bayerische Datenschutzbeauftragte Thomas Petri ist besorgt: Wenn die Polizei VeRA routinemäßig zur vorbeugenden Bekämpfung von Straftaten einsetze, würden massenhaft unbescholtene Menschen dem Risiko polizeilicher Maßnahmen ausgesetzt. Das Innenministerium des Freistaats verweist dagegen auf die Gesetzeslage. Im Katalog der Straftaten, bei denen VeRA genutzt werden könne, sei der Sektor Eigentumswerte enthalten. Nur speziell ausgebildete Kriminalbeamte nutzten die Software, was unverhältnismäßige Ausweitung verhindere.

Palantir sei nach europaweiten Ausschreibungen beauftragt worden, da das Analysewerkzeug der Firma bisher als alternativlos gelte, heißt es dem Bericht zufolge aus Hessen. Dort könnten 2000 Beamte mit der dortigen Version HessenData arbeiten. Diese machten jährlich bis zu 15.000 Mal davon Gebrauch – was erheblichen Einsatz jenseits von Terrorismus und organisierter Kriminalität vermuten lässt. Die Software könne dort aber nur Verbindungen zwischen Daten aufzeigen, die der Polizei bereits vorliegen. Gegen den bundesweiten Einsatz der Datenplattform Palantirs zur Strafverfolgung gibt es Widerstand in mehreren Ländern. Das von Trump-Förderer Peter Thiel mitgegründete Unternehmen steht als „Schlüsselfirma der Überwachungsbranche“ in der Kritik.

(ds)