Bericht
Praxis & Organisation
01.03.22
So schützen Sie sich vor Cyber-Attacken
IT-Sicherheit und Datenschutz in der Zahnarztpraxis
Datenschutz, IT-Sicherheit, Patientendaten, Phishing
DSGVO, Ransomware und Zwei-Faktor-Authentifizierung (2FA) – im täglichen Leben begegnen uns viele Themen, deren Tragweite uns nicht immer bewusst ist. Dabei ist es heute so wichtig wie nie zuvor, persönliche Daten zu schützen. Sven Zehl, Informations Security Officer bei Doctolib, gibt Tipps und konkrete Handlungsempfehlungen, wie Zahnärzte ihre eigenen Daten und die ihrer Patienten schützen können.
IT-Sicherheit für Arztpraxen ist wichtig, denn die Anzahl an Hackerangriffen hat in den vergangenen Jahren deutlich zugenommen. Cyber-Attacken können zu Umsatzverlusten, einem Imageschaden und hohen Kosten für die Wiederherstellung der Systeme führen. Die Bedrohung steigt laut KBV für jede einzelne medizinische Einrichtung, die hochsensible Daten verwendet, ständig. Bei Verstößen gegen die Datenschutz-Grundverordnung können zudem Bußgelder und Schadensersatzansprüche der betroffenen Personen anfallen.
Gesundheitsdaten – begehrt und schützenswert
Als (Zahn-)Arzt erhalten Sie zahlreiche Informationen zu Ihren Patienten, die Sie in deren analogen oder digitalen Akten festhalten. Der Schutz dieser Daten hat höchste Priorität. Unterschieden wird zwischen personenbezogenen Daten (zum Beispiel Vorname und Name) und Gesundheitsdaten (zum Beispiel die Krankengeschichte). Die Datensicherheit ist vor allem in Bezug auf Gesundheitsdaten enorm wichtig, da diese als „sensibel“ gelten und besonderen Verarbeitungsbedingungen unterliegen.
Was können Schwachstellen sein?
Das größte Einfallstor sind wir selbst! Das fehlende Bewusstsein von Mitarbeitern in Bezug auf IT- und Datensicherheit kann ein leichtes Ziel für Angreifer sein. Die schadhaften Dateien, die in die Systeme gelangen, werden oft als E-Mail-Anhänge verschickt und unbedacht angeklickt. Die häufigsten Angriffe sind:
Phishing: setzt sich aus den Wörtern “password” und “fishing” zusammen und ist eine Technik, mit der Cyberkriminelle durch Betrug, Täuschung oder Irreführung an vertrauliche persönliche Daten gelangen wollen. Wie erkenne ich Phishing und wie kann ich mich schützen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierfür Tipps zusammengestellt, dazu zählen unter anderem:
- Beachten Sie vor allem, dass kein seriöser Anbieter Sie dazu auffordern würde vertrauliche Zugangsdaten per E-Mail preiszugeben.
- Überprüfen Sie stets die Adressleiste in Ihrem Browser und achten Sie auf verschlüsselte Websiten. Diese erkennen Sie an der Abkürzung „https://“ in der Adresszeile sowie an dem kleinen Vorhängeschloss- Symbol neben der Adresszeile des Browsers.
- Klicken Sie niemals auf Links in einer dubiosen E-Mail oder öffnen Anhänge einer verdächtigen E-Mail.
Ransom-Attacke: Hacker gelangen mit einem Schadprogramm in Ihr System und verschlüsseln relevante digitale Informationen, sodass Ihre Computer oder Programme blockiert werden. Zur Entsperrung wird ein Lösegeld (Ransom) verlangt. Was können Sie im Falle eines Angriffs tun? Das BSI hat hierfür 10 Schritte zur Infektionsbeseitigung zusammengestellt.
Was wird von Ihnen im Bereich IT-Sicherheit und Datenschutz erwartet?
Ein Grundpfeiler der Datensicherheit ist die Datenschutz-Grundverordnung (DSGVO). Sie bildet einen Rahmen für die Verarbeitung personenbezogener Daten. Im Zuge Ihrer ärztlichen Tätigkeit beginnt die Datenverarbeitung bei der Terminvereinbarung, ob online oder telefonisch oder beim Einlesen der elektronischen Gesundheitskarte (eGK) und erstreckt sich über das Ausfüllen und Aufbewahren der Patientenakte.
Praxen müssen verschiedene Maßnahmen zum Datenschutz aufstellen; dazu zählen unter anderem:
- Patientendaten dürfen niemals unverschlüsselt über das Internet, bspw. per E-Mail versendet werden.
- Zugriffsberechtigungen des gesamten Teams auf Dateien und Ordner sind klar geregelt.
- Patientenakten müssen sicher verwahrt werden, unter anderem durch einen Passwortschutz der Computer und automatische Bildschirmsperren.
- Bei Datenpannen oder Datenschutzverstößen muss eine Person festgelegt sein, die die Meldung an die Aufsichtsbehörde übernimmt.
Im Januar 2021 trat die IT-Sicherheitsrichtlinie in Kraft, die die Sicherheitsanforderungen an Arztpraxen festlegt und ein Mindestmaß der Maßnahmen beschreibt, die Praxisinhaber ergreifen müssen, um die IT-Sicherheit zu gewährleisten. Mit Beginn des Jahres 2022 sollen Praxen unter anderem die nächsten Schritte umsetzen:
- die Nutzung einer Firewall und regelmäßige Updates
- die sichere Grundkonfiguration für mobile Geräte wie Smartphones und Tablets
Bis zum Juli 2022 müssen Praxen ab mittlerer Größe, dazu gehören Praxen mit mehr als sechs ständig mit der Datenverarbeitung betrauten Personen, zum Beispiel diese Anforderungen umgesetzt haben:
- Einsatz einer sicheren zentralen Authentisierung in Windows-Netzen für Endgeräte mit dem Betriebssystem Windows
- Einführung einer Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten wie Smartphone und Tablet
- Implementation von Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung
Die umfangreichen Maßnahmen für Praxen in verschiedenen Größen – mit bis zu 5, 6 bis 20 oder über 20 ständig mit der Datenverarbeitung betrauten Personen – finden Sie auf der Plattform der Kassenärztlichen Bundesvereinigung.
So schützen Sie Ihre Praxis
Da Datenschutz und IT-Sicherheit Hand in Hand gehen, finden Sie hier noch einige Handlungsempfehlungen, die Sie unterstützen sollen, Risiken zu verringern.
Arbeitsplätze
- Stellen Sie Computer, Drucker und Faxgeräte so auf, dass keine Praxisfremden, zum Beispiel Patienten, Zugang dazu bekommen können.
- Schalten Sie auf den PCs den Bildschirmschoner beziehungsweise die Bildschirmsperre ein, sodass der Rechner bei Abwesenheit, auch schon bei fünf oder zehn Minuten, automatisch gesperrt wird.
Praxis-PCs, Server & Internet
- Nutzen Sie komplexe Passwörter mit Groß- und Kleinschreibung, Sonderzeichen und Ziffern mit einer Mindestlänge von acht Zeichen. Ein Passwort wie „123456” oder „passwort” sind ungeeignet, diese gehören zu den beliebtesten Passwörtern in Deutschland und werden deswegen sehr häufig genutzt. Beim BSI finden Sie Tipps für ein gutes und sicheres Passwort Prüfen Sie auch nach, ob Ihr aktuelles Passwort oder andere Identitätsdaten nicht schon einmal gehackt wurden und im Umlauf sind. Dies können Sie mit dem Identity Leak Checker das Hasso-Plattner-Instituts tun.
- Vergeben Sie unterschiedliche Passwörter für die Anmeldung am Betriebssystem und an Ihrem Praxisverwaltungssystem (PVS).
- Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) bei den Diensten, die sie anbieten. Hierbei erfolgt die Anmeldung mit einem Passwort und einem zusätzlichen Faktor wie eine am Smartphone generierte PIN oder gesonderte SMS.
- Nutzen Sie Virenschutzprogramm und Firewalls und führen Sie regelmäßig Updates Ihrer Programme und des Betriebssystems durch.
- Verwenden Sie niemals fremde USB-Sticks, wie geschenkte oder gefundene, deren Herkunft Sie nicht genau kennen.
Kommunikation
- Versenden Sie personenbezogene/medizinische Daten stets verschlüsselt. Nutzen Sie hierzu die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlenen Programme beziehungsweise Standards wie S/MIME oder GnuPG.
- Seien Sie kritisch bei E-Mails mit merkwürdigen Absender- oder Empfängeradressen und löschen Sie solche E-Mails besser direkt. Weitere Verdachtsmomente sind Inhalte, mit denen man offensichtlich nichts zu tun hat, zum Beispiel Rechnungen von Online-Shops bei denen man nicht angemeldet ist, oder auch Webadressen und Anhänge, die man unbedingt anklicken oder öffnen soll.
Innerhalb Ihrer Organisation
- Regeln Sie die Nutzung von privaten Geräten (Smartphones, Tablets) Ihres Teams zu dienstlichen Zwecken. Stellen Sie Regeln zur Nutzung auf und sensibilisieren Sie Ihre Mitarbeiterer für einen sicheren Umgang damit.
- Erstellen Sie einen Notfallplan, um die Abläufe und Zuständigkeiten während der Bewältigung des Notfalls zu regeln.
- Schließen Sie eine Cyberversicherung ab. Diese kann im Schadenfall (IT-Ausfall, Schadsoftware, Bedienungsfehler, vorsätzliche Manipulation et cetera) die Kosten für Sachverständige erstatten, Schadenersatz leisten oder auch den Ertragsausfall nach einer Betriebsunterbrechung kompensieren.
Vita
Bereits nach seinem Studium der Technischen Informatik an der TU Berlin arbeitete Zehl mehrere Jahre als Forscher für drahtlose Protokollsicherheit und Sicherheitsarchitekturen. In dieser Zeit veröffentlichte er mehrere wissenschaftliche Arbeiten im Verlauf führender IT-Sicherheitskonferenzen wie IEEE, ACM oder IFIP.
Nach seiner Forschungstätigkeit war er als Leiter des Bereichs IoT und Künstliche Intelligenz beim Digitalverband Bitkom tätig. Von 2017 bis 2018 war er Mitglied des Beirats des Deutschen Standardisierungsrats für Industrie 4.0, Mitglied der Expertengruppe „Sichere IoT-Plattformen“ des Digitalen Gipfels der Bundesregierung und Mitglied des Deutschen IPv6-Beirats.
Von 2019 bis 2020 arbeitete er zudem für die Robert Bosch GmbH als Systemarchitekt in der Abteilung Security Governance, wo er unter anderem für das Management der weltweit gültigen Secure Development Lifecycle Processes von Bosch verantwortlich war. Für Bosch wurde er auch als Expertenmitglied des ETSI TC Cyber, ISO SC27, CEN/CLC JTC13 und ECSO ernannt.
Bericht
Praxis & Organisation
01.03.22
So schützen Sie sich vor Cyber-Attacken
IT-Sicherheit und Datenschutz in der Zahnarztpraxis
Datenschutz, IT-Sicherheit, Patientendaten, Phishing
Weitere Beiträge zum Thema