IT-Sicherheit:

So schützen Sie Ihre Praxis vor Cyberattacken

KBV Richtlinie und Mitarbeiterschulungen unterstützen Praxisinhaber

Kritische Infrastrukturen im Fokus von Hackern

Deutsche Unternehmen werden immer häufiger Ziel von Cyberangriffen – das zeigt eine im August veröffentlichte Studie des Digitalverbands Bitkom. Demnach sind in den Jahren 2020 und 2021 von 1.000 befragten Unternehmen aus allen Branchen 88 Prozent von Datendiebstahl, Spionage oder Sabotage betroffen gewesen – darunter auch Unternehmen im Gesundheitssektor. So musste sich das Uniklinikum Düsseldorf im September vergangenen Jahres kurzzeitig von der Notfallversorgung abmelden und Operationen verschieben, weil die Krankenhaus-IT nach einem Hackerangriff lahmgelegt war. Betreiber kritischer Infrastrukturen, zu denen auch Kliniken und Arztpraxen zählen, fühlen sich laut Bitcom besonders von Cyberkriminellen bedroht.

Patientendaten in Gefahr

Kritisch wird es vor allem, wenn Patientendaten nicht ausreichend gesichert sind. Dann steht unter Umständen mehr als nur der gute Ruf der Praxis auf dem Spiel. Eine Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft zeigte 2019 erhebliche Schwachstellen in Praxen auf: Von knapp 1.200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Stand der Technik. Hinzu kam, dass Passwörter unvorsichtig vergeben wurden und Mitarbeiter in jeder zweiten Praxis eine potenziell schadhafte Mail öffneten, 20 Prozent klickten sogar auf einen Link oder öffneten den Anhang.

Seit April 2021 verbindliche Anforderungen

Um IT-Systeme und sensible Daten in Arzt- und Psychotherapeutenpraxen besser zu schützen, hat die Kassenärztliche Bundesvereinigung (KBV) im Dezember 2020 die IT-Sicherheitsrichtlinie verabschiedet. Sie definiert Maßnahmen, mit denen Patientendaten noch sicherer verwaltet und Datenverlust oder Betriebsausfälle möglichst vermieden werden sollen. Die Richtlinie ergänzt die Datenschutz-Grundverordnung (DSGVO), die europaweit seit 2018 gilt, aber für Arztpraxen zum Teil zu ungenau oder nicht passend war. Die Sicherheitsanforderungen richten sich nach der Größe der Praxis und werden Schritt für Schritt umgesetzt. Seit dem 1. April 2021 schreibt die Richtlinie beispielsweise den Einsatz aktueller Virenschutzprograme vor, das Abmelden und Sperren von Endgeräten nach jeder Nutzung sowie die Dokumentation des internen Netzes anhand eines Netzplanes. Weitere umfassende Anforderungen an Hard- und Software in Arztpraxen treten zum 1. Januar sowie zum 1. Juli 2022 in Kraft. Zusätzliche Sicherheitsanforderungen gibt es für Praxen, in denen medizinische Großgeräte wie Computertomographen (CT) oder Magnetresonanztomographen (MRT) zum Einsatz kommen.

Unterstützung bei der Umsetzung

Auf einer eigenen Online-Plattform stellt die KBV als Unterstützung für Ärzte Begleitinformationen und Umsetzungshinweise zur Richtlinie bereit, die kontinuierlich ergänzt werden. Auch stehen dort Musterdokumente zu bestimmten Aspekten der Sicherheitsrichtlinie zum Download zur Verfügung – beispielsweise ein Muster-Netzplan oder eine Muster-Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten. Zusätzlich bietet die KBV über ihr Fortbildungsportal Online-Schulungen zur IT-Sicherheit in der Praxis an, für die CME-Punkte erworben werden können. Dr. Thomas Kriedel, Mitglied des Vorstands der KBV geht davon aus, dass die Umsetzung in den wenigsten Praxen einen sehr hohen Aufwand bedeuten wird. „Vieles davon wird im Praxisalltag bereits angewendet, da es durch die europäische Datenschutzgrundverordnung vorgegeben ist. Die Richtlinie konkretisiert die Verordnung und macht sie praxistauglich“, betont er.

„Faktor Mensch“ als schwächstes Glied der Sicherheitskette

Die korrekte und konsequente Umsetzung der IT-Sicherheitsrichtlinien liegt jedoch nicht allein in der Hand der Praxisinhaber. Das gesamte Praxisteam muss die Maßnahmen kennen, entsprechend geschult und laufend auf den neuesten Stand gebracht werden. Denn Cyberkriminelle lassen sich immer wieder neue Tricks einfallen, um an wertvolle Daten zu gelangen oder Systeme zu bedrohen und damit Unternehmen zu erpressen. Auch muss die Einhaltung der Vorgaben, beispielsweise für die Vergabe von Passwörtern, für regelmäßige Softwareupdates oder den Umgang mit Links und Anhängen in E-Mails immer wieder kontrolliert werden. Denn die besten technischen Vorkehrungen für die IT-Sicherheit einer Praxis nützen nichts, wenn das Passwort der Name der Praxis ist oder sich mehrere Benutzer dieselbe Zugangskennung teilen.

Drei Tipps für mehr IT-Sicherheitsbewusstsein im Praxisteam

1. Schulen Sie alle Mitarbeitenden Ihres Praxisteams regelmäßig zu Fragen der IT-Sicherheit. Inzwischen gibt es eine Reihe von Unternehmen, die sogenannte IT-Security-Awareness-Trainings anbieten. Sie unterstützen das Verständnis und die Akzeptanz von Sicherheitsmaßnahmen und schärfen das Bewusstsein für potenzielle Bedrohungen.

2. Erstellen Sie – ggf. gemeinsam mit Ihrem IT-Dienstleister – einen Krisenplan für den Fall einer Cyberattacke. Eine schnelle und professionelle Reaktion ist im Ernstfall wichtig, um die Schäden zu begrenzen. Ein guter Krisenplan definiert den Krisenfall, die Verantwortlichkeiten und enthält Handlungsanweisungen.

3. Fördern Sie eine offene Kommunikation und stellen Sie sicher, dass Ihre Mitarbeitenden wissen, an wen sie sich bei Fragen zur IT-Sicherheit wenden können. Das kann ein IT-Dienstleister ebenso sein wie ein IT-affines Mitglied Ihres Praxisteams. Unterstützen oder belohnen Sie es, wenn verdächtige E-Mails oder andere ungewöhnliche Vorfälle gemeldet werden.