Praxis-IT-Sicherheit im Test: Praxis-Chef alarmiert von Ergebnissen
IT-Sicherheit in der Praxis ist anspruchsvoll und kostenintensiv. Und wird häufig unterschätzt.
© MicroOne/Daniel Loncarevic – stock.adobe.com
Eine Gemeinschaftspraxis in einer mittelgroßen Stadt im Rheinland und die Pentester des Unternehmens X41 D-Sec GmbH sollten für uns die Probe aufs Exempel machen. Welche Sicherheitsmängel lassen sich von jemandem, der es darauf anlegt, „mal eben“ finden? Für unseren Zweck war es ausreichend, stichprobenartig zu testen – bei einem regulären Auftrag wäre ein Pentester standardisierter vorgegangen und hätte mehr Zeit investieren müssen, um einen vollstänigen Einblick zu bekommen. Trotzdem hatte die Zeit gereicht, um relevanten Mängeln auf die Spur zu kommen. Jetzt möchten wir wissen: Wie steht der Praxischef der unter die Lupe genommenen Praxis zu den Ergebnissen des Versuches?
Sie haben uns erlaubt, unsere Pentester für ein paar Stunden in Ihre Praxis zu schicken. Hätten Sie die Mängel, die in diesem kurzen Zeitraum gefunden wurden, tatsächlich erwartet?
Praxischef: Ich hatte schon die Befürchtung, dass man selbst mit einfachen Mitteln schon Daten angreifen kann. Trotzdem hätte ich Mängel in dieser Dimension eigentlich nicht erwartet. Sonst hätte ich das Experiment wahrscheinlich gar nicht mitgemacht.
Sie hatten zunächst keine Bedenken, bei unserem Versuch mit Ihrem vollen Namen aufzutreten. Dann hat Ihnen ein Anwalt davon abgeraten. Mängel dieser Art könnten spätestens bei Offenlegung von Daten eine datenschutzrechtliche, zivilrechtliche und strafrechtliche Haftung des Praxisinhabers in Betracht kommen lassen. Hat Sie das erschrocken?
Schon ein bisschen. Meine Einschätzung war, dass IT-Sicherheit und Datenschutz in anderen Praxen auch nicht anders gehandhabt wird. Andererseits erreiche ich eine zweifelhafte Berühmtheit, wenn ich jetzt sehe, was ich für leichtfertige Fehler gemacht habe. Und es scheint auch juristisch gesehen nicht so einfach zu sein.
9 Fragen, die ein Praxischef seinem IT-ler stellen sollte
1. Werden regelmäßig Back-Ups erstellt, die alle genutzten Programme umfassen (Praxisverwaltungssystem, Betriebssystem, Terminplaner...)? Ist die Datensicherung verschlüsselt und an einem geeigneten Ort gelagert?
2. Werden immer alle nötigen Software-Updates für Betriebssysteme, Browser, E-Mail-Programm, Virenschutz, Spamfilter und Firewall aktuell eingespielt?
3. Werden alle Internetverbindungen außerhalb des KV-Safenets über eine stabile Remote-Desktop-Verbindung über ein virtuelles privates Netzwerk (VPN) hergestellt? Werden hierbei auch die Heimarbeitsplätze berücksichtigt?
4. Sind die Festplatten aller Computer verschlüsselt? Findet alle Kommunikation verschlüsselt statt?
5. Gibt es ein sinnvolles Rechtesystem der User? Hat jeder User einen eigenen (nicht-Admin-)Account mit genau den Rechten, die er benötigt? Gibt es Accounts von ehemaligen Mitarbeitern? Sind überall starke Passwörter gesetzt?
6. Sind alle Netzwerksteckdosen, USB-Zugänge, Druckeranschlüsse und WLAN vor unbefugtem Zugriff geschützt? Ist das Netzwerk in sinnvolle Segmente unterteilt?
7. Werden das Mail-Programm und der USB-Zugang, um Patientendatenträger auzulesen, auf einem separaten Rechner mit Prüfsoftware vorgehalten?
8. Sind Geräte oder Software in der Praxis im Einsatz, die vom Hersteller aktuell gar nicht mehr unterstützt werden?
9. Werden die besonderen Sicherheitsanforderungen für mobile Geräte wie etwa Verschlüsselung, Diebstahlschutz oder Maßnahme bei Verlust des Gerätes berücksichtigt?
Eine Umfrage in Arztpraxen kam zu dem Ergebnis, dass nur ein Viertel der Niedergelassenen von einem hohen Risiko ausgeht, selbst Opfer eines Hackerangriffes zu werden. Gehören Sie zu eher diesen Bedenkenträgern – oder doch mehr zu den Verdrängern bzw. Optimisten?
Ich gehöre wahrscheinlich zu den verdrängenden Optimisten – zumindest wenn Sie nach meiner psychologischen Risikobedenkenträgerschaft fragen würden. Ich sehe es aber natürlich realistisch: Warum sollte es meinem Kollegen passieren können, mir aber nicht? Das Risiko ist auf jeden Fall gegeben und eine hundertprozentige Sicherheit gibt es eben nicht. Beim Autofahren verlasse ich mich auf Sicherheitsgurt und Airbag – wenn ich aber auf der Autobahn mit 160 Stundenkilometern fahre, riskiere ich trotzdem etwas.Als dringendste Mindestmaßnahmen, die Sie jetzt ergreifen müssen, wurde Ihnen von den Pentestern geraten: die Verschlüsselung Ihres E-Mail-Abrufs, die Einführung von Nutzerkonten und einem Berechtigungs- und Passwortkonzept und das Verbot von USB-Datenträgern an nicht ausdrücklich dafür ausgewiesenen Computern. Seien Sie ehrlich: Was haben Sie davon umgesetzt?
Wir haben die Mängel mit unserem Software-Haus besprochen und sie auf die To-do-Liste gesetzt. Die ITler haben relativ cool reagiert, weil sie es gewohnt sind, dass schlaue Ärzte daherkommen und sagen, dass irgendwas geprüft wurde und jetzt geändert werden muss. Sie selbst geben ja auch immer wieder Tipps für mehr Sicherheit. Aber sie können eben keine umfassende Sicherheitsberatung leisten, sondern führen eher Aufträge aus.
9 Dinge, auf die Praxischefs selbst achten müssen
1. Der Server befindet sich in einem geschlossenen Raum, zu dem nur befugte Mitarbeiter Zutritt haben. In größeren Einheiten ist eine Einlasskontrolle einzurichten.
2. Die regelmäßigen Back-ups sind an einem geeigneten Ort gelagert: feuergeschützt, aber im Notfall erreichbar. Es gibt ein Vertretungskonzept für verantwortliche Personen.
3. Computer und Zugänge in Räumlichkeiten, in denen sich Patienten unbeobachtet aufhalten, sind durch Bildschirmschoner und kontrollierte USB- und Druckerports gesichert. Alternativ müssen die Praxisabläufe angepasst werden.
4. Jedem Mitarbeiter ist innerhalb eines Berechtigungskonzeptes der Zugang zu den Teilen des Systems möglich, die er für seine Arbeit benötigt. Jeder Mitarbeiter loggt sich mit eigenem Namen und Passwort ein.
5. Es werden Mindestanforderungen an die Passwörter gestellt (etwa: min. acht Zeichen lang, mit Klein- und Großbuchstaben, Zahlen, Sonderzeichen), Passwörter müssen in regelmäßigen Abständen gewechselt werden.
6. Alle Mitarbeiter sind gebrieft: Wie ist mit eingehenden Mails umzugehen, wie mit von Patienten mitgebrachten Datenträgern? Es werden keine Ausnahmen geduldet.
7. Der Ernstfall – also etwa der Befall durch einen Trojaner – ist geplant und wird geprobt: Wer (Praxischef, IT-Dienstleister, Datenschutzbehörde) ist wann und von wem zu informieren? Wie werden die Sicherheitskopien eingespielt? Wie ist in diesen kritischen Zeiträumen mit den Patienten umzugehen?
8. Für die Sicherheit entscheidende technische Einrichtungen wie Firewalls, Back-ups und VPN werden ausschließlich vom IT-Dienstleister betreut.
9. In Gemeinschaftspraxen sind alle Ärzte über das Vorgehen einig und informiert.
Wenn das IT-Unternehmen nicht federführend für die Sicherheit verantwortlich ist, muss der Arzt in der Lage sein, die IT-Sicherheit zu beherrschen. Ist er das?
Definitiv nicht! Wer nicht zufällig von Hause aus ein IT-Experte ist, benötigt unbedingt Hilfe von außen, und zwar über den IT-Dienstleister hinaus. Im Moment vergeht doch kein Tag, an dem nicht irgendein Datenübergriff gemeldet wird – letztens sogar bei der Apobank. Aber oft sind es ja wir selbst, die etwas zu schnell machen, weil wir neben unserer eigentlichen Tätigkeit keine Zeit haben, uns ausreichend mit dem Thema auseinanderzusetzen.Noch mal zur Statistik: 80 Prozent der Ärzte sind der Überzeugung, dass ihre Computersysteme umfassend geschützt sind. Jeder dritte Niedergelassene will deswegen in den nächsten zwei Jahren auch nicht in weitere Schutzmaßnahmen gegen Cyberkriminalität investieren.1 Gehören Sie zu denen, die denken, „Ich habe genug investiert“?
Nein, das denke ich nicht, so realistisch bin ich. Das Problem für uns Niedergelassene ist, dass wir hier Investitionen tätigen müssen, die keinen direkten Return on Investment haben. Wenn ich ein Untersuchungstool kaufe, kann ich eine neue Leistung anbieten oder mache meine Patienten glücklich. Ob meine IT sicher ist, das merkt doch keiner! Zumindest nicht, solange nichts passiert. Früher hat man für 1000 DM einen neuen Aktenschrank gekauft, der war für die nächsten 20 Jahre sicher. Heute muss ich alle zwei Jahre das komplette System für viel Geld überholen. Die Digitalisierung nagt an den Praxisgewinnen.Wollen Sie Ihren Kollegen nach diesen Erfahrungen etwas mit auf den Weg geben?
Ich kann nur jedem empfehlen, einen solchen objektiven Sicherheitscheck machen zu lassen und sich diese Hilfe von außen in die Praxis zu holen. Und dann natürlich: Mögliche Sicherheitslücken im Blick haben und in notwendige Updates bei Soft- wie Hardware investieren, auch ohne einen direkten Return on Investment. Ich glaube, wir haben alle noch nicht realisiert, wie teuer uns die Sache zu stehen kommt, wenn wirklich mal ein Angriff erfolgt und das ganze System, die ganze Praxis, tagelang flach liegt oder unser Name ruiniert ist, weil unsere Patientendaten öffentlich wurden. Es geht hier nicht um eine der üblichen Bürokratiegängeleien, sondern um eine existenzielle Frage.
Eine Cyberattacke und was sie kosten kann
Eine Arztpraxis erhält per Mail einen Erpresserbrief. Die Kriminellen behaupten, im Besitz aller Patientendaten zu sein. Als Beleg senden sie kompromittierende Daten von fünf Patienten. Sie drohen damit, die Daten zu veröffentlichen, wenn der Arzt nicht bereit ist, ein hohes Lösegeld zu zahlen. Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Arzt kein Lösegeld. Er muss aber die Datenschutzbehörden und seine Patienten über den Verlust der sensiblen Daten informieren. Er holt sich Hilfe bei einem Rechtsanwalt.
Kosten: Anwaltskosten, Einkommensverluste durch Zeitaufwand
IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zugriff zu den Daten erlaubte. Die Systeme werden desinfiziert und gehärtet.
Kosten: IT-Dienstleister
Bis die Schwachstellen geschlossen sind, bleibt die Arztpraxis geschlossen und die Abrechnung unmöglich.
Kosten: Einkommensverluste durch Betriebsunterbrechung
Die Hacker veröffentlichen die Gesundheitsdaten einiger Patienten. Die Betroffenen beauftragen Spezialisten mit der Löschung der unrechtmäßig veröffentlichten Daten und verlangen Schadenersatz.
Kosten: Schadenersatz nach Art. 82 DSGVO
Nachdem die lokale Presse über den Datendiebstahl berichtet, wenden sich zahlreiche Patienten von der Praxis ab.
Kosten: Ausgaben für Krisenkommunikation, UmsatzrückgangKosten: Ausgaben für Krisenkommunikation, Umsatzrückgang
Die Datenschutzbehörden verhängen aufgrund des Datenverlustes ein hohes Bußgeld.
Kosten: nach DSGVO
Cyberrisiken im Gesundheitswesen im Auftrag des Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV)
Medical-Tribune-Recherche
