Hausarzt IT-RatgeberIT-Sicherheit: Mögliche Gefahren und wie Sie sich schützen

Von einfach zu knackenden Passwörtern bis zum neuen Verdachtsfall Telematik-Konnektor: Immer wieder machen vermeintliche IT-Sicherheitslücken in Arztpraxen Schlagzeilen.

Zu Besuch auf der IT-Messe DMEA: Dr Axel Wehmeier, Vorstand der Hausärztlichen Vertragsgemeinschaft AG (rechts)

Es ist eine Reaktion, die wohl jeder Computernutzer kennt: Öffnet sich in der Alltagshektik auf dem Bildschirm das Fenster zur Aktualisierung der Sicherheits-Software, so wird das Update nur allzu gern verschoben – oder gar ganz vergessen. Die Folgen sind mitunter beträchtlich, bereits vor dem Patientendaten-Leck als Worst-Case-Szenario: Denn gerade die Praxen sind im Alltag auf einen reibungslosen Ablauf der Informationstechnik (IT) angewiesen. Rechner, Internetanbindung und Co sind damit feste Größen im “Herzen” der Praxis – und wie beim Menschen lauern für dieses schnell gesundheitliche Gefahren, wird die Pflege vernachlässigt.

Dabei wächst das Bewusstsein für IT-Sicherheit auch im Gesundheitswesen. So waren auf der IT-Messe DMEA, vormals conhIT, im April rund 570 Firmen anzutreffen, darunter neben etablierten Technik-Größen auch zahlreiche Start-ups, die sich auf die Absicherung von Arztpraxen spezialisieren. Ein Beispiel: Das Kölner Unternehmen SoSafe bietet ein Training, das Praxismitarbeiter für Phishing-Mails sensibilisiert. “Über 90 Prozent aller Cyberangriffe starten mit einer Phishing-Mail”, weiß man hier. Das Problem: 80 Prozent aller Mitarbeiter erkennen solche Betrugsmails laut Erfahrung von SoSafe nicht.

Dabei hat der Schutz gegen Cyberangriffe in der öffentlichen Wahrnehmung nicht zuletzt mit der vorgeschriebenen Anbindung von Arztpraxen an die Telematikinfrastruktur (TI) an Gewicht gewonnen – äußerten Ärzte doch zuletzt immer wieder Bedenken hinsichtlich der Sicherheit der Komponenten.

Dass sich mit dem Konnektor ein neues “Einfallstor” in Praxisnetzwerke öffnet, verneinen Kassenärztliche Bundesvereinigung (KBV) und Hersteller entschieden. Als die “sicherste Infrastruktur eines Gesundheitswesens weltweit” bezeichnet Jan Wemmel von Arvato, einem der vier auf dem Markt befindlichen Konnektor-Hersteller, die TI am Stand in der Berliner Messehalle. KBV-Vorstand Dr. Thomas Kriedel zufolge bietet der Konnektor bei korrekter Anbindung gar zusätzlichen Schutz für die Praxis. Nichtsdestotrotz rät die KBV Ärzten zu einem umfassenden Sicherheitskonzept – unabhängig von der TI-Anbindung. Dieses sollte folgende Bereiche abdecken:

  • Technische Ausstattung als Basis
  • Interne Risiken – etwa durch zu einfache Passwörter oder falsch geschulte Praxismitarbeiter
  • Gefahren von außen mit Phishing-Mails als bekanntestem Beispiel
  • Die TI-Anbindung ist laut Herstellern und KBV sicher – doch auch hier können sich bei der Installation Fallstricke ergeben.

Die Basis: Software stets aktuell halten

Veraltete Betriebssysteme, die die Hersteller nicht mehr mit Sicherheitsupdates versorgen, erleichtern Krimi-nellen den Angriff. Daran erinnert das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig in seinen Lageberichten. Darüber hinaus kann auch ein neues System angegriffen werden, wenn der Nutzer es versäumt, ein Sicherheitsupdate zu machen.

Tipps

  • Prüfen Sie Ihr Computersystem: Ist es veraltet, so installieren Sie ein aktuelles Betriebssystem.
  • Beschaffen Sie sich eine aktuelle Firewall. Setzen Sie dabei auf externe Virensoftware – diese ist oft spezialisierter als die Virensoftware, die in Paketen angeboten wird.
  • Machen Sie regelmäßig Backups und Sicherheitsupdates – idealerweise aufeinander abgestimmt und zu Zeiten, die in Ihre Praxisabläufe passen.

Schritt 1:Das eigene Team stärken

Als interne Gefahren für die IT-Sicherheit in der Praxis sind einerseits unsichere Passwörter, andererseits aber auch nicht ausreichend geschultes Personal zu sehen. Eine Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) zeigte jüngst Handlungsbedarf (“Der Hausarzt”8/19): Neun von zehn Ärzten verwenden demnach leicht zu erratende Passwörter wie “Behandlung” oder den Namen des Arztes. Jede zehnte Arztpraxis (neun Prozent) und 60 Prozent der Kliniken würden E-Mail- und Passwort-Kombinationen verwenden,

die auch von Kriminellen im Darknet angeboten werden. Zwar handelte es sich bei der Umfrage lediglich um eine Stichprobe von 25 Arztpraxen in Deutschland, doch weist sie auf offensichtliche Fehler hin, betonen auch Aussteller auf der DMEA.

“Für den Alltag in der Praxis ist die Praktikabilität meist mindestens so wichtig wie die Sicherheit”, beobachtet Armin Flender, Geschäftsführer der DGN Deutsches Gesundheitsnetz Service GmbH. “So stehen gerade in Arztpraxen oft Rechner in verschiedenen Räumen, die alle schnell zu entsichern sein sollen. Ein 28-stelliges Kennwort ist dabei nicht praktikabel, doch Mindestanforderungen sollten trotzdem eingehalten werden.”

Mit dem auf der DMEA erstmals vorgestellten elektronischen Heilberufeausweis (https://hausarzt.link/uK8N4) wird sich diese Gratwanderung wohl noch verstärken: So müssen Ärzte die scheckkartengroße Karte stets bei sich tragen, um sich damit bei Bedarf an Geräten zu authentifizieren. Keinesfalls dürfen andere Mitarbeiter diese verwenden, was im Sicherheitskonzept der Praxis dann auch zu berücksichtigen sein wird.

Tipps

  • Stellen Sie Regeln zum Passwortgebrauch auf und kommunizieren Sie diese an Ihre Mitarbeiter. Ein Passwort sollte aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen bestehen, mindestens zwei dieser Zeichenarten enthalten und mindestens acht Zeichen lang sein. Es muss so komplex sein, dass es nicht leicht zu erraten ist – jedoch nicht zu kompliziert, damit alle Benutzer in der Lage sind, es auswendig zu lernen. Sogenannte Trivialpasswörter wie „ABCDE“, den Praxisnamen oder ein KfZ-Zeichen auf keinen Fall verwenden!
  • Ist mein Passwort (noch) sicher? Die Webseite www.haveibeenpwned.com stellt einen kostenfreien, einfachen Test zur Verfügung, ob die eigene E-Mail bei größeren Datenlecks wie zuletzt bei Facebook betroffen war und man daher sein Passwort ändern sollte.
  • Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für die IT-Sicherheit. Checklisten können helfen, das Bewusstsein im Praxisalltag zu verankern und Rechtssicherheit zu schaffen! Geben Sie klare Regeln vor: Dürfen Mitarbeiter private E-Mails abrufen oder Online-Bestellungen tätigen?

Schritt 2: Gefahren von außen bewusst machen

Sie sind oft perfekt getarnt – und gehen häufig genau auf die aktuellen Nöte der Praxen ein. “Wir wissen, dass Phishing-Mails zum Beispiel als Bewerbung daherkommen, wenn die Praxis aktuell etwa öffentlich nach Mitarbeitern sucht”, erklärt Constanze von Fragstein von SoSafe.

Im Alltag ist eine sogenannte Phishing-Mail, die durch Schadsoftware Daten aus der Praxis “abfischen” will, daher schnell geöffnet: Bei der GDV-Stichprobe öffneten in jeder zweiten Praxis Mitarbeiter eine potenziell schadhafte Mail, jeder Fünfte klickte sogar auf einen Link oder öffnete den Anhang. Im Jahr 2016 machte ein Fall Schlagzeilen: So legte eine Schadsoftware die IT des Lukaskrankenhauses in Neuss lahm. Der Urheber ist bis heute unbekannt, die Analyse und die Wiederherstellung der IT kosteten die Klinik laut BSI über eine Million Euro.

Die Idee hinter solchen Angriffen ist einfach: Durch einen unberechtigten Zugriff “infiziert” sich der PC mit einer Schadsoftware, die Daten verschlüsselt und unleserlich macht. Hacker fordern meist ein Lösegeld, um die Daten herauszugeben. Wird eine Arztpraxis Ziel eines Cyberangriffs, können Schäden in Millionenhöhe entstehen – nicht nur aufgrund der Wiederherstellung der Daten, sondern etwa auch aufgrund der Rufschädigung bei Bekanntwerden des Datenlecks.

Auch private USB-Sticks bieten Angriffsflächen für Schadprogramme.

Tipps

  • Klären Sie Ihre Mitarbeiter über die Schwachstellen im PC-Netzwerk auf und schärfen Sie – ergänzend zu den Tipps aus Schritt 1 – das Bewusstsein für Gefahren von außen.
  • Erwägen Sie ggf. eine Schulung durch externe Anbieter: Ein versehentlicher Klick auf eine Test-Phishing-Mail kann deutlich sensibilisieren, beim Bearbeiten von E-Mails Aufmerksamkeit walten zu lassen.
  • Um für den Schadenfall vorzusorgen, empfiehlt sich möglicherweise der Abschluss einer Cyberversicherung für Ärzte. Eine vorhandene Sicherheitskonzeption kann sich dabei positiv auf die zu zahlenden Beiträge auswirken: Können Sie etwa nachweisen, dass die Wiederbeschaffung der Daten im Falle einer defekten Festplatte für Sie kein Problem ist, weil Sie täglich ein Backup erstellen, so könnte sich die Versicherung bei der Risikobewertung auf die reinen Hardwarekosten beschränken.
  • Im Ernstfall: Keinesfalls nicht auf die Forderungen der Erpresser eingehen und die Polizei informieren!

Aktuell: Augen auf bei der Telematik-Anbindung

Während der derzeit laufenden Anbindung vieler Praxen an die TI werden immer wieder Sicherheitsbedenken laut. Medienberichten zufolge hätten Servicetechniker bei der Installation von Konnektoren die lokale Firewall der Praxis abgeschaltet. Der Gematik seien dazu jedoch “keine verbindlichen Zahlen bekannt”, hieß es bis Redaktionsschluss. Gleichwohl sei man als Betreibergesellschaft um Klärung bemüht. KBV-Vorstand Dr. Thomas Kriedel appellierte an die Firmen, beim Anschluss der Praxen immer auch die Sicherheit des gesamten Praxisnetzwerkes im Blick zu haben.

Die Frage der Anbindungsart ist dabei essenziell:

Der Reihenbetrieb zeichnet sich dadurch aus, dass der Konnektor alle Internetverbindungen erfasst und dadurch die Praxis schützen kann. Denn: Die integrierte Firewall schützt nicht nur die TI vor Angriffen von außen, sondern das gesamte Praxisnetzwerk. Doch ersten Erfahrungsberichten zufolge können bei dieser seriellen Anbindung Probleme bei Anwendungen wie Online-Laborabruf oder HZV-Online-Key auftreten. Bei der KBV war das Problem bei Redaktionsschluss aber noch nicht aufgelaufen, wie “Der Hausarzt” auf Anfrage erfuhr.

Im Parallelbetrieb hingegen sind alle Komponenten wie Computer und Kartenterminals auch direkt hinter der Internetanbindung am Router angeschlossen. Der Konnektor wird “parallel” zum restlichen Netzwerk angebunden und kann somit nur die TI-Verbindungen, nicht aber das Praxisnetzwerk schützen. Diese Anbindungsvariante ist laut KBV sinnvoll bei größeren Praxen oder Medizinischen Versorgungszentren (MVZ), die bereits über ein hohes Sicherheitsniveau verfügen. Da gerade für kleinere Praxen mitunter Kosten für zusätzliche Schutzmaßnahmen entstehen können, haben die Delegierten des Deutschen Hausärzteverbandes jüngst die Erstattung dieser Folgekosten gefordert (S. 26).

Cave: Für die Haftung bei einem Datenschutzvorfall gilt: Bis zum Konnektor ist die Praxis verantwortlich, danach die TI. Für eine sichere Firewall beim Parallelbetrieb des Konnektors haftet also letztlich der Praxisinhaber.

Tipp

Informieren Sie Ihren Dienstleister vor der Installation der TI-Komponenten über besondere Anforderungen: Wollen Sie auch weiter von zu Hause aus auf den Praxisrechner zugreifen? Nutzen Sie Internet-Telefonie? Danach richtet sich, wie der Konnektor in das Netzwerk der Praxis integriert wird (Reihen- oder Parallelbetrieb) und welche Sicherheitsmaßnahmen ggf. nötig sind.

Quellen: Die aufgeführten Tipps basieren auf Informationen des BSI (s. Link-Tipps) sowie der KBV.

E-Mail-Adresse vergessen? Schreiben Sie uns.
Passwort vergessen? Sie können es zurücksetzen.
Nur wenn Sie sich sicher sind.

Sie haben noch kein Passwort?

Gleich registrieren ...

Für Hausärzte, VERAH® und ÄiW (Allgemeinmedizin und Innere Medizin mit hausärztlichem Schwerpunkt) ist der Zugang immer kostenfrei.

Mitglieder der Landesverbände im Deutschen Hausärzteverband profitieren außerdem von zahlreichen Extras.


Persönliche Daten

Ihr Beruf

Legitimation

Die Registrierung steht exklusiv ausgewählten Fachkreisen zur Verfügung. Damit Ihr Zugang freigeschaltet werden kann, bitten wir Sie, sich entweder mittels Ihrer EFN zu legitimieren oder einen geeigneten Berufsnachweis hochzuladen.

Einen Berufsnachweis benötigen wir zur Prüfung, wenn Sie sich nicht mittels EFN autorisieren können oder wollen.
Mitglied im Hausärzteverband
Mitglieder erhalten Zugriff auf weitere Inhalte und Tools.
Mit der Registrierung als Mitglied im Hausärzteverband stimmen Sie zu, dass wir Ihre Mitgliedschaft überprüfen.

Newsletter
Sie stimmen zu, dass wir Ihre E-Mail-Adresse für diesen Zweck an unseren Dienstleister Mailjet übermitteln dürfen. Den Newsletter können Sie jederzeit wieder abbestellen.

Das Kleingedruckte
Die Zustimmung ist notwendig. Sie können Sie jederzeit widerrufen, außerdem steht Ihnen das Recht zu, dass wir alle Ihre Daten löschen. Jedoch erlischt dann Ihr Zugang.

Auswahl
Alle der unten angegebenen Newsletter
Spicker, Checklisten und Medizin für die hausärztliche Praxis, berufspolitische News, Inhalt und E-Paper neuer HAUSARZT-Ausgaben, sowie Neues aus Wissenschaft und Organisation
Nachrichten aus der Industrie

Das Kleingedruckte
Die Zustimmung ist notwendig. Sie können Sie jederzeit widerrufen, außerdem steht Ihnen das Recht zu, dass wir alle Ihre Daten löschen. Jedoch erlischt dann Ihr Zugang.

Auswahl ändern/abbestellen

Wenn Sie für Ihr bestehendes Newsletter-Abo andere Themen auswählen oder den Newsletter abbestellen wollen, geben Sie bitte Ihre E-Mail-Adresse an und wählen Sie die gewünschte Funktion. Wir senden Ihnen dann eine E-Mail zur Bestätigung.