Die Berichterstattung über die verschiedenen Hackerangriffe in jüngster Zeit erweckt schnell den Eindruck, dass vor allem gezielte Attacken gegen einzelne Unternehmen vorgenommen werden. Ärztinnen und Ärzte spüren daher oftmals keine große Sorge, weil sie davon ausgehen, dass ihre relativ kleinen Unternehmen nicht attraktiv genug für einen gezielten Angriff auf die IT-Systeme sind. Das ist eine trügerische Sicherheit. Denn ungezielte Attacken, zum Beispiel über Massen-E-Mails, die mit verseuchten Anhängen oder Links bestückt sind, sind sehr viel häufiger als der gezielte Angriff. Nach Groß und Klein unterscheidet diese Art der Cyberkriminalität nicht.
Um diese Gefahrenquellen einzudämmen, ist es wesentlich, den eigenen Mitarbeitenden regelmäßig Schulungen zu diesen Themen anzubieten und auch den eigenen Umgang mit E-Mails und anderen potenziellen Einfallstoren für Schadsoftware zu reflektieren. Ganz konkret sollte die Botschaft lauten: Öffnen Sie keine Anhänge und klicken Sie auf keine Links, es sei denn, Sie kennen den Absender und wissen, dass der Inhalt sicher ist.
Nichtsdestoweniger kann es passieren, dass Angriffe dieser Art erfolgreich sind. Für diesen Fall sollte ein Notfallplan für alle Mitarbeitenden in der Praxis zugänglich sein, in dem beschrieben ist, welche Schritte nun notwendig sind, um die Abwehr und Regulierung des Schadens einzuleiten und den Betrieb soweit möglich aufrechtzuerhalten.
Eines der wesentlichen Elemente dazu ist die Datensicherung. Sie spielt auch immer wieder eine große Rolle bei Schulungen, die der Virchowbund in Kooperation mit unserer Unternehmensgruppe und Cyberexpertinnen und Cyberexperten der Polizei anbietet. Verschiedene Sicherungsmethoden sind denkbar, zum Beispiel eine Fünf-Tagessicherung, in der die Daten eines jeden Arbeitstags einer Woche auf jeweils einem Datenträger abgelegt werden. Allerdings werden in diesem Fall natürlich mögliche Schadprogramme gleich mitgesichert. IT-Expertinnen und -Experten der Landeskriminalämter empfehlen deshalb eine Sicherung nach dem Großvater-Vater-Sohn-Prinzip mit einer Jahressicherung, einer monatlichen und einer täglichen Kopie. So lässt sich zumindest für einen klar definierten Zeitraum eine Datensicherheit schaffen, auf die man im Notfall zurückgreifen kann.
Bei allen diesen Fragen ist eine enge Kooperation mit dem IT-Dienstleister der jeweiligen Praxis natürlich unerlässlich. Das wirft wiederum die Frage auf, woran ein auf dem Gebiet der IT-Sicherheit kompetenter Dienstleister zu erkennen ist. Letztlich bleibt der Praxisinhaberin oder dem Praxisinhaber nur die Möglichkeit, alles kritisch zu hinterfragen: Welche Ressourcen und Kompetenzen hat der Dienstleister, um im Notfall tief in die IT-Struktur einsteigen zu können? Verfügt er über forensische Möglichkeiten? Kann er ausreichend Zeit für die Wiederherstellung des Systems erübrigen?
Lohnenswert kann es sein, fremde IT-Spezialistinnen und -Spezialisten über Penetrationstests Schwachstellen in der eigenen IT-Struktur suchen zu lassen.
Die von unserer Unternehmensgruppe gestalteten Cyberdeckungen schließen auch einen Zugriff auf das Dienstleisternetzwerk des Versicherers ein. Damit können Ärztinnen und Ärzte sicherstellen, dass sie nicht nur auf den eigenen IT-Dienstleister, sondern gleich auf ein ganzes Netzwerk von Spezialistinnen und Spezialisten zurückgreifen können, um Schäden an ihren IT-Systemen zu mindern und schnell wieder die Betriebsfähigkeit zurück zu erlangen.
IT-Systeme sind schon lange keine Insellösungen mehr, sondern stehen in vielfältigem Zusammenhang zu anderen Netzwerken. Insbesondere im Gesundheitswesen wird die Vernetzung aktuell nicht zuletzt vom Gesetzgeber massiv eingefordert und auch ausgebaut. Stichworte dafür sind sektorenübergreifende Zusammenarbeit, elektronische Patientenakte oder Telematik.
Wie bei anderen „smarten“ Systemen gewinnt dabei die Frage an Bedeutung, welche Gefahr die einzelne Praxis als Schnittstelle nach außen für das Gesamtsystem mit sich bringt. Dabei müssen die Praxisinhaberinnen und -inhaber nachweisen, dass sie die ihnen zur Verfügung stehenden Möglichkeiten, Sicherheit herzustellen, ausgereizt haben.
Neben technischen und organisatorischen Maßnahmen der Risikominimierung gehört dazu auch die Übergabe eines Teils der Risiken an den Dienstleister und der Transfer der verbleibenden Risiken auf den Versicherungsmarkt. Die von unserer Unternehmensgruppe entwickelten Cyberdeckungen schließen dabei regelmäßig auch die Deckung des Eigen- und des Drittschadens mit ein. Ein Beispiel aus der Sachversicherung verdeutlicht das recht gut: Ein Unternehmen sorgt mit einer Sprinkler- und Brandmeldeanlage dafür, dass das Risiko eines Brandes gemindert werden kann. Und dennoch schließt es eine Feuerversicherung ab.
Allzu oft wird bei der Cybersicherheit dieser Analogieschluss allerdings noch nicht hergestellt.
Frank Schultz
frank.schultz@ecclesia.de
Hinterlassen Sie jetzt einen Kommentar
Keine Kommentare