Ärztinnen und Ärzte in eigener Praxis sind heute nicht „nur“ Medizinerinnen und Mediziner, sie müssen auch das Management beherrschen. Denn das System Praxis muss funktionieren – und die Organisationshoheit, aber auch die Verantwortung dafür, liegt bei der Inhaberin oder dem Inhaber. Das gilt nicht zuletzt für die Sicherheit der IT-Infrastruktur, die längst den Status eines wesentlichen Betriebsmittels eingenommen hat. Frank Schultz, stellvertretender Leiter unseres Sachgebiets für das Ambulante Gesundheitswesen, lenkt den Blick in diesem Zusammenhang auf Themen wie Personalschulung, Datensicherung, Qualität des IT-Dienstleisters und Risikotransfer.

Die Berichterstattung über die verschiedenen Hackerangriffe in jüngster Zeit erweckt schnell den Eindruck, dass vor allem gezielte Attacken gegen einzelne Unternehmen vorgenommen werden. Ärztinnen und Ärzte spüren daher oftmals keine große Sorge, weil sie davon ausgehen, dass ihre relativ kleinen Unternehmen nicht attraktiv genug für einen gezielten Angriff auf die IT-Systeme sind. Das ist eine trügerische Sicherheit. Denn ungezielte Attacken, zum Beispiel über Massen-E-Mails, die mit verseuchten Anhängen oder Links bestückt sind, sind sehr viel häufiger als der gezielte Angriff. Nach Groß und Klein unterscheidet diese Art der Cyberkriminalität nicht.

Um diese Gefahrenquellen einzudämmen, ist es wesentlich, den eigenen Mitarbeitenden regelmäßig Schulungen zu diesen Themen anzubieten und auch den eigenen Umgang mit E-Mails und anderen potenziellen Einfallstoren für Schadsoftware zu reflektieren. Ganz konkret sollte die Botschaft lauten: Öffnen Sie keine Anhänge und klicken Sie auf keine Links, es sei denn, Sie kennen den Absender und wissen, dass der Inhalt sicher ist.

Nichtsdestoweniger kann es passieren, dass Angriffe dieser Art erfolgreich sind. Für diesen Fall sollte ein Notfallplan für alle Mitarbeitenden in der Praxis zugänglich sein, in dem beschrieben ist, welche Schritte nun notwendig sind, um die Abwehr und Regulierung des Schadens einzuleiten und den Betrieb soweit möglich aufrechtzuerhalten.

Eines der wesentlichen Elemente dazu ist die Datensicherung. Sie spielt auch immer wieder eine große Rolle bei Schulungen, die der Virchowbund in Kooperation mit unserer Unternehmensgruppe und Cyberexpertinnen und Cyberexperten der Polizei anbietet. Verschiedene Sicherungsmethoden sind denkbar, zum Beispiel eine Fünf-Tagessicherung, in der die Daten eines jeden Arbeitstags einer Woche auf jeweils einem Datenträger abgelegt werden. Allerdings werden in diesem Fall natürlich mögliche Schadprogramme gleich mitgesichert. IT-Expertinnen und -Experten der Landeskriminalämter empfehlen deshalb eine Sicherung nach dem Großvater-Vater-Sohn-Prinzip mit einer Jahressicherung, einer monatlichen und einer täglichen Kopie. So lässt sich zumindest für einen klar definierten Zeitraum eine Datensicherheit schaffen, auf die man im Notfall zurückgreifen kann.

Bei allen diesen Fragen ist eine enge Kooperation mit dem IT-Dienstleister der jeweiligen Praxis natürlich unerlässlich. Das wirft wiederum die Frage auf, woran ein auf dem Gebiet der IT-Sicherheit kompetenter Dienstleister zu erkennen ist. Letztlich bleibt der Praxisinhaberin oder dem Praxisinhaber nur die Möglichkeit, alles kritisch zu hinterfragen: Welche Ressourcen und Kompetenzen hat der Dienstleister, um im Notfall tief in die IT-Struktur einsteigen zu können? Verfügt er über forensische Möglichkeiten? Kann er ausreichend Zeit für die Wiederherstellung des Systems erübrigen?

Lohnenswert kann es sein, fremde IT-Spezialistinnen und -Spezialisten über Penetrationstests Schwachstellen in der eigenen IT-Struktur suchen zu lassen.

Die von unserer Unternehmensgruppe gestalteten Cyberdeckungen schließen auch einen Zugriff auf das Dienstleisternetzwerk des Versicherers ein. Damit können Ärztinnen und Ärzte sicherstellen, dass sie nicht nur auf den eigenen IT-Dienstleister, sondern gleich auf ein ganzes Netzwerk von Spezialistinnen und Spezialisten zurückgreifen können, um Schäden an ihren IT-Systemen zu mindern und schnell wieder die Betriebsfähigkeit zurück zu erlangen.

IT-Systeme sind schon lange keine Insellösungen mehr, sondern stehen in vielfältigem Zusammenhang zu anderen Netzwerken. Insbesondere im Gesundheitswesen wird die Vernetzung aktuell nicht zuletzt vom Gesetzgeber massiv eingefordert und auch ausgebaut. Stichworte dafür sind sektorenübergreifende Zusammenarbeit, elektronische Patientenakte oder Telematik.

Wie bei anderen „smarten“ Systemen gewinnt dabei die Frage an Bedeutung, welche Gefahr die einzelne Praxis als Schnittstelle nach außen für das Gesamtsystem mit sich bringt. Dabei müssen die Praxisinhaberinnen und -inhaber nachweisen, dass sie die ihnen zur Verfügung stehenden Möglichkeiten, Sicherheit herzustellen, ausgereizt haben.

Neben technischen und organisatorischen Maßnahmen der Risikominimierung gehört dazu auch die Übergabe eines Teils der Risiken an den Dienstleister und der Transfer der verbleibenden Risiken auf den Versicherungsmarkt. Die von unserer Unternehmensgruppe entwickelten Cyberdeckungen schließen dabei regelmäßig auch die Deckung des Eigen- und des Drittschadens mit ein. Ein Beispiel aus der Sachversicherung verdeutlicht das recht gut: Ein Unternehmen sorgt mit einer Sprinkler- und Brandmeldeanlage dafür, dass das Risiko eines Brandes gemindert werden kann. Und dennoch schließt es eine Feuerversicherung ab.

Allzu oft wird bei der Cybersicherheit dieser Analogieschluss allerdings noch nicht hergestellt.


Frank Schultz
frank.schultz@ecclesia.de

Gefahr durch Datenschutzverletzungen

Neben aller Sorge um Cyberkriminalität sollten Praxisinhaberinnen und -inhaber andere Gefahren nicht vergessen. Dazu gehören Fehlbedienungen der IT-Systeme oder auch Schäden durch Feuer, Wasser und Überhitzung. Gleichermaßen müssen ganz alltägliche Risiken im Blick behalten werden, die zu einem Verstoß gegen die Datenschutz-Grundverordnung führen können. Zu denken ist dabei zum Beispiel an nicht gesperrte Monitore in Sprechzimmern, auf denen noch die Daten des vorhergehenden Patienten einzusehen sind oder vielleicht fälschlicherweise aufgerufene Datensätze eines anderen Menschen gleichen Namens. Auch offene USB-Ports und Fernwartungszugänge können Möglichkeiten darstellen, Datenmissbrauch zu betreiben. Nicht zuletzt hält Smart-Home-Technik mittlerweile auch in viele Arztpraxen Einzug. Wesentlich ist es hier, die Netzwerke voneinander zu trennen und damit auszuschließen, dass medizinische Geräte, Haustechnik und Patientendaten über ein Netzwerk angesteuert werden.