Cybersicherheit Arztpraxen im Fokus der Angreifer
Das Bundesamt für Sicherheit in der Informationstechnik stuft insbesondere Kliniken als kritische Infrastruktur ein, die unter besonderer Gefährdung eines Cyberangriffes steht. Oft in Vergessenheit geraten aber die ambulant arbeitenden Arztpraxen, für die eine ähnlich hohe Gefahr besteht, Opfer einer Hackerattacke zu werden. Laut einer repräsentativen Umfrage glauben rund 80 % der niedergelassenen Ärzt:innen, dass ihre Daten und die persönlichen Informationen über ihre Patient:innen ausreichend geschützt seien. In der Cyberrealität sieht es anders aus: 2020 gab es z. B. einen groß angelegten Hackerangriff in Helsinki, bei dem Cyberkriminelle die Notizen von Psychotherapiesitzungen Tausender Patient:innen stahlen – vermutlich nicht der letzte digitale Raubzug dieser Art. Durch die große Anzahl der Betroffenen Patient:innen aber ein besonders problematischer Fall, der auch bei uns als Beispiel dienen kann.
Die Praxis als Angriffsziel
Einfallstellen für Hackerangriffe in der Arztpraxis entstehen oftmals durch sorglos oder zu großzügig verteilte Zugangsberechtigungen sowie noch immer vorhandene alte Benutzer-Accounts oder unsichere Zugangscodes sowie leicht zu knackende Passwörter, durch die Hacker in das Praxissystem eintreten können. Genau diese Lücken im System machten sich auch die Verbrecher im Fall der gestohlenen vertraulichen Patientendaten in Finnland zunutze, indem sie über Erpresser-E-Mails die betroffenen Patient:innen dazu aufriefen, eine hohe Summe an Geld zu überweisen, und ihnen drohten, die Daten im Internet zu veröffentlichen. In einem solchen Falle hätte eine präventive Risikoanalyse durch IT-Sicherheitsexpert:innen helfen können, das Datenleck auszumachen und es durch gezielte Verlagerung der Informationen sowie Anpassungen der Zugänge rechtzeitig zu schließen.
E-Mail mit Folgen
Öffnet das medizinische Fachpersonal eine unauffällige E-Mail, die sich als Service- oder Kundenmail tarnt, können Hacker schon leicht auf das bestehende System zugreifen, sich Zugang zu vertraulichen Daten verschaffen oder schlimmstenfalls das gesamte Netzwerk lahmlegen. Ein längerer Ausfall des Systems bewirkt nicht nur einen wirtschaftlichen Schaden, sondern kann sich u. U. ebenfalls negativ auf die eigenen Patient:innen auswirken. Da ein Großteil der deutschen Arztpraxen nicht auf einen derartigen Fall vorbereitet ist, zieht sich ein Ausfall vielleicht sogar über eine noch längere Zeitspanne hin.
Insbesondere kleinere, niedergelassene Arztpraxen wähnen sich fälschlicherweise immer noch in Sicherheit. Dabei ergibt sich aus diesen Niederlassungen der quantitativ größte Anteil aller Gesundheitseinrichtungen in Deutschland. Laut der Kassenärztlichen Bundesvereinigung gibt es landesweit über 100.000 Arztpraxen, die als mögliches Angriffsziel infrage kommen. Allein bei einer konservativ gerechneten Zahl von 500 bis 1.000 Patient:innen pro Standort beträfe ein Cyberangriff auf lediglich einen kleinen Teil aller Arztpraxen mindestens mehrere Tausend Menschen. Darüber hinaus kommt es tagtäglich allein in Deutschland zu rund einer Milliarde Kontakten zwischen den Patient:innen und den Behandelnden, woraus eine riesige Menge an zu verarbeitenden Daten resultiert, deren sichere Verwahrung oberste Priorität genießen sollte. Somit kann eine klar strukturierte Praxis-IT gesamtgesellschaftlich jeder Bürger:in einen dringend benötigten sowie größeren Schutz bieten, dem die derzeitige IT-Lage in vielen Arztpraxen leider nicht ansatzweise genügt.
Digitale Profile als Einfallstor
Im vorangegangenen Jahr verabschiedete das Bundesministerium für Gesundheit das Patientendaten-Schutz-Gesetz, das dafür sorgen soll, dass Versicherte über eine neu entwickelte App Rezepte auf elektronische Weise bei der Apotheke ihrer Wahl einlösen können. Die Umsetzung wiederum liegt (mal wieder) bei den Arztpraxen! Eigentlich soll diese Digitalisierungsmaßnahme Ärzt:innen und angestelltem Personal helfen, die Daten der Patient:innen sicherer zu verwahren und schneller abrufen zu können. Beispielsweise könnten so die Zeiten, in denen man bestimmten Daten hinterhertelefonieren musste, der Vergangenheit angehören. Jedoch stößt die Maßnahme in Fachkreisen berechtigterweise auf Kritik, da fehlende IT-Strukturen vielen medizinischen Einrichtungen einen Strich durch die Rechnung machen. Denn durch die Zusatzbelastung an digitalen Daten steigen gleichzeitig die Ansprüche an ein datenschutzkonformes IT-System – und das ist nicht überall auf einem guten Stand. Ein Großteil der deutschen Arztpraxen verfügt nicht über ein ausreichend ausgebautes Softwaresystem, das die Herausgabe eines solchen E-Rezeptes ermöglicht. Daher findet diese geplante Umstrukturierung bisher nur in wenigen Praxen praktische Anwendung.
Beispiel - Passwort-„Sicherung“ per Post-It
Auch die freizügige Vergabe von Berechtigungen oder unbenutzte Accounts bedeuten ein Sicherheitsrisiko für das Netzwerk. Die Praxisinhaber:innen haften für die Sicherheit der Patientendaten, womit die Verantwortung auf den Ärzt:innen selbst lastet. Wenn Passwörter beispielsweise frei zugänglich als Post-It am Computer hängen, gilt dies als grob fahrlässiges Verhalten gegenüber dem Datenschutz. In diesem Zuge können hohe Geldbußen aufgerufen werden, die sogar in vier- bis fünfstelligen Beträgen münden können. Um sich den hohen Anforderungen an die IT-Sicherheit ohne schlechtes Gewissen stellen zu können und Fehler aus der Vergangenheit möglichst in der Zukunft zu vermeiden, sollte man sich mit geeigneten Präventionsmaßnahmen beschäftigen. Kurze, zielorientierte Schulungen schaffen z. B. die nötige allgemeine Sensibilisierung im Team für das Thema Cybersicherheit. So zeigt ein solches Training Beispiele für nur auf den ersten Blick unverdächtige E-Mails auf und schult das Personal in Alltagssituationen darauf, akute Sicherheitsrisiken zu erkennen.
Man muss nicht alles (selbst) können
Ärzt:innen sind vielbeschäftigte Expert:innen auf ihrem Gebiet und sollten sich nicht auch noch mit speziellen Fragen zur IT-Sicherheit beschäftigen müssen. Eine gute Basis schafft man mit einer Kombination aus eigenem Grundlagenwissen, mehr Bewusstsein für das Thema Cybersicherheit in der Arztpraxis und der Zusammenarbeit mit auf den medizinischen Bereich spezialisierten IT-Fachleuten. Letztere können z.B. durch das Aufzeigen von Handlungsempfehlungen in unterschiedlichen Gefahrensituationen dafür Sorge tragen, dass auch die einzelnen Mitarbeiter:innen ein größeres Verständnis für die Materie entwickeln.
Support fördern lassen
Klar ist: Der wirtschaftliche Schaden durch einen Cyberangriff kann deutlich höher ausfallen als die Investition in digitales Know-how. Einfache Möglichkeiten, um IT-Sicherheitsmaßnahmen in der eigenen Praxis mit einem überschaubaren Aufwand (finanziell wie personell) umzusetzen, gibt es für Arztpraxen allemal. Dabei helfen auch Förderprogramme wie "Digital jetzt" (digital-jetzt.wmit.biz), welche kleine und mittlere Unternehmen unabhängig von der jeweiligen Branche bei notwendigen Digitalisierungsmaßnahmen finanziell unterstützen.
Autor
Benutzer-, Zugriffs- und Rollenverwaltung,
Compliance- sowie Datenschutzanforderungen
Website: www.cognitum-software.com
E-Mail: info@cognitum-software.com
Erschienen in: doctors|today, 2021; 1 (10) Seite 26-27
Dieser Beitrag wurde ursprünglich auf doctors.today publiziert.