IT-Sicherheit

Kaum eine Woche vergeht, wo nicht eine große Gesundheitseinrichtung von Cyberkriminalität in Deutschland betroffen ist. Den Analysten zur Folge steht das Gesundheitswesen an dritter Stelle, was die Häufigkeit der erfolgten Cyberangriffe anbelangt. Es sind Krankenkassen, Dienstleister im Rahmen der Sozialversicherungsträger, Krankenhaus, niedergelassene Praxen, Unternehmen aus dem Bereich der Dienstleistungen und Herstellung von Medizinprodukten oder Praxis-Verwaltungssysteme-Hersteller (PVS-Hersteller) – es kann jede Einrichtung treffen.

Auch der ambulante Sektor bleibt leider davon nicht verschont. Es gibt nun mal keine 100%-Sicherheit im Zeitalter der Digitalisierung, aber mittlerweile haben schon viele Leistungserbringer das Risiko erkannt und nehmen die Bedrohung ernst. Leider gehen mit Cyber-Sicherheit auch Kosten einher, die aber richtig eingesetzt auch erhebliche Kosten sparen können. Eine erfolgreich abgewehrte Gefahr ist immer günstiger als ein Sicherheitsvorfall, der beispielsweise die Praxis für eine Woche lahmlegt. Mal ganz abgesehen von den Folgekosten durch Wiederherstellung der IT oder durch mögliche Bußgeldbescheide seitens der Landesdatenschutzbehörde usw.

Politisches Verständnis für Cybersicherheit

Das Cybersicherheit Geld kostet, hat sich mittlerweile auch in der Bundesregierung und EU-weit herumgesprochen und national sowie international wird seit dem Angriffskrieg gegen die Ukraine wieder mehr investiert. Zunächst gilt es aber den gesetzlichen Rahmen dafür zu schaffen. Auf der europäischen Ebene wird der Cyber-Resilience-Act (CRA) protegiert. Der CRA soll die Cybersicherheit von Geräten mit Internetanbindung fördern.

Die IT-Sicherheit soll von Anfang an (Security by Design), quasi von der Entwicklung, über die Herstellung, Inverkehrbringung bis hin zum Support bzw. Bereitstellung von Updates, „risikoangemessene Cybersecurity-Maßnahmen“ garantieren. So sieht es der Gesetzentwurf vor, dass sicherheitskritische Updates bis zu 5 Jahre von den Herstellern bereitgestellt werden müssen und die Nutzer auch über die Schwachstellen informiert werden sollen. Weiterhin seien aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle von den Herstellern innerhalb von 24 Stunden an die europäische Agentur für Cybersicherheit (ENISA) zu melden.

Eine verständliche Bedienungsanleitung sei ebenso Pflicht. Medizinprodukte fallen dann in die Regelung des CRA, wenn nur bestimmte Teilbereiche des Gerätes als Medizinprodukt definiert sind. So könnte z. B. die dazugehörige Software unter CRA fallen und das medizinische Gerät z. B. unter NIS-2 (Network and Information Security 2).

Unser Informationsangebot für
ärztliche und psychotherapeutische Praxen

News

Bleiben Sie auf dem neuesten Stand und lesen Sie unsere Nachrichten aus dem Bereich des digitalen Gesundheitswesens.

Vorfälle & Incidents

Erfahren Sie, welche Datenpannen, Sicherheitslücken sowie technische und organisatorische Mängel in den Praxen offenkundig werden.

Interviews

Experten und Expertinnen werden über verschiedene Themen wie IT, IT-Security, Datenschutz, eHealth und Telematik interviewt.

Den Menschen in den Mittelpunkt gestellt

Sicherheitsspendende Hard- & Software soll die Praxis-IT sicherer machen, jedoch sind diese nur ein Teilaspekt der Sicherheitsstrategie einer Gesundheitseinrichtung. Cybersicherheit muss man „schaffen“ und dazu gehört auch der Faktor „Mensch“. Das Bewusstsein über die Gefahren zu erlangen bzw. im hektischen Praxisalltag dieses Bewusstsein wach zu halten, ist manchmal herausfordern. Eigentlich wissen wir alle um die Gefahren, nur wir wenden das Wissen nicht immer dort an, wo es im Moment erforderlich ist.

Zeitnot, Unkonzentriertheit, Unachtsamkeit etc. sind förderlich für IT-Sicherheitsgefahren die die Praxis selber einleitet und es ist mal schnell eine Mail geöffnet, ein Anhang angeklickt oder einem Link ins Internet gefolgt und den digitalen Langfingern ist die Tür geöffnet. Deswegen ist es so wichtig, dass der Schutzschirm gegenüber den Cybergefahren schon bei den Leistungserbringern und dem Praxispersonal anfängt. Man bedenke: ein üblicher Behandlungsfall eines Patienten wird von Kriminellen höher bewertet, als eine EC-Karte mit passender PIN.

Auf den Faktor „Mensch“ gehen wir an anderer Stelle nochmal detaillierter ein.

Hier bricht man gerne ein – unfreiwillige Einladungen an Kriminelle

Nicht optimal eingerichtete Sicherheitseinrichtungen (falls überhaupt vorhanden), sind ebenfalls von Menschenhand gemacht oder auch unterlassen worden. Restriktiv eingestellte Router, Drucker, Smartphones, Telefone sind leider eher die Ausnahme und das Berechtigungsmanagement ist oft unzureichend: Standard-Passwörter werden nicht geändert oder ein Login ohne Kennwort ist möglich. An den Praxis-Computern wird gerne mit administrativen Rechten gearbeitet, anstatt mit eingeschränkten Rechten.

Oftmals werden die Geräte sogar fachgerecht beim Erstsetup eingerichtet, aber anschließend schwindet das Bewusstsein für eine regelmäßige Systemwartung und Vorsorgeuntersuchung der Geräte und fällt den Sparmaßnahmen zum Opfer. Ein Opfer kann eine Praxis-IT schnell werden, denn nichts ist vergänglicher als eine Einstellung in einem Computersystem, Software etc., obwohl vielfach die Meinung vorherrscht, was einmal „richtig und sicher“ eingestellt sei, bedarf es keinerlei Kontrolle mehr und nur wenn die Funktionalität plötzlich eingeschränkt ist, wird um Hilfe gerufen. Aber dann kann es auch schon zu spät sein.

Funktionseinschränkungen oder Störungen im Praxis-Betrieb können ein Nebeneffekt eines Cyberangriffs sein und ein Beginn eines Worst-Case sein. Denn wer hätte gedacht, dass ein Drucker der nicht mehr druckt, ein Teil eines Sicherheitsvorfalls sein kann?

„Mit Sicherheit“ weniger Angriffsflächen

Eine fehlende oder unzureichende Sicherheitsstruktur von Beginn an erhöht die Wahrscheinlichkeit, dass die Praxis einer Cyberattacke zum Opfer fallen wird. Wie heißt es doch in der IT-Security-Scene: „Es ist nicht die Frage ob es einen trifft, sondern wann.“.

Praxen die eine gute bis sehr gute IT-Datenschutz-/Datensicherheits-Resilienz sich geschaffen haben, können einen möglichen Datenschutz- oder Datensicherheitsvorfall gut abwehren oder mit einem reduzierten Risiko meistern.

Eine solide Praxis-IT ist unabdingbar und muss gut geplant, professionell umgesetzt und kontrolliert + gewartet werden. Attraktive Angriffsvektoren für digitale Fieslinge entstehen z. B. durch fehlende Netzwerksegmentierungen, neue Praxis-Geräte oder neue Services wie z. B. einem Rechenzentrumskonnektor und eröffnen damit neue Schwachstellen, die die Praxis vorher nicht hatte. Eine Praxis muss sich die Frage stellen, wieviel Risiko sie eingehen oder tolerieren möchte. Wir sprechen auch von einem sogenannten „Risiko-Appetit“.

Wichtig ist, dass sich die Praxisinhaber:Innen Ihrer technischen und organisatorischen Schwachstellen bewusst sind und Maßnahmen umsetzen, diese Herausforderungen zu schließen bzw. die Angriffsfläche zu minimieren oder zu reduzieren.

Achtung: Datensicherheit ist eine Daueraufgabe für die Gesundheitseinrichtung. D. h. einmal eingerichtet und „fertig“ ist falsch. IT-Systeme verändern sich im Rahmen der Nutzung täglich und es ergeben sich täglich neue Schwachstellen und Herausforderungen. Somit ist ein kontinuierlicher Verbesserungsprozess bzw. eine Aufrechterhaltung so wichtig. „Vertrauen ist gut - Kontrolle ist besser“: Nichts ist so vergänglich wie eine Einstellung in einem IT-System, welche sich von heute auf morgen verändern kann. Dafür reicht auch nur ein einziges Update, eine Schwachstelle, menschliches Fehlverhalten, technische Störung usw. aus. Die Erfahrung zeigt, dass die Leistungserbringer gut beraten sind, sich externe Hilfe für Überwachung und Wartung zu holen, sodass die IT-Sicherheit maximiert bleibt und die Praxis durch die Risko-Übertragung an einen DVO rechtlich besser aufgestellt ist.

Das Problembewusstsein wächst

Die gute Nachricht ist, dass das Problembewusstsein bei den Niedergelassenen von Monat zu Monat wächst. Darüber gibt es zwar keine Zahlen, aber anhand unserer Beobachtungen und der gestellten Anfragen aus den Praxen ist ein Vergleich mit der Situation von vor 5-10 Jahren signifikant. Die Gründe dafür sind vielfältig: Zum einen sind die Praxen durch die Telematik mehr auf die Kommunikation mit der Außenwelt angewiesen und das schafft nicht nur Vertrauen, sondern bedarf auch mehr IT-Sicherheit.

Weiterhin ist die Cyberkriminalität ein Wachstumsmarkt und fast täglich wird in den Medien über erfolgreiche Angriffe in Behörden, Gesundheitseinrichtungen, Firmen etc. berichtet. Zusätzlich sind in den letzten Jahren einige gesetzliche Anforderungen dazugekommen, wie z. B. die DS-GVO und die IT-Sicherheitsrichtlinie aus dem §75b SGB V, sodass ein gewisser Compliance-Druck entstanden ist, die Anforderungen umsetzen zu müssen.

Appetit auf Risiken?

Unter Berücksichtigung aller Normen und Gesetze sollte jede Praxis nach dem risikoorientierten Ansatz die Maßnahmen auswählen, die ein angemessenes Schutzniveau für die Patientendaten darstellen. Oft wird von einem prinzipiengeleiteten Pragmatismus gesprochen, sodass der Hauptfokus auf die „Kronjuwelen“ der Gesundheitseinrichtung gerichtet ist. Denn nach Murphys Gesetzt geht schief, was schief gehen muss und die größten Wahrscheinlichkeiten eines Schadens müssen reduziert bzw. behandelt werden. Die Praxisverantwortlichen sollten „Was-wäre-wenn-Szenarien“ im Kopf haben und die Folgen eines Schadens vor Augen führen, wenn z. B. Patientendaten gestohlen, verändert oder zerstört werden.

Wie schon oben skizziert, ist die Frage, wie hoch ist der Risiko-Appetit der Leistungserbringer. Also vor allem welche mäßigen und hohen Risiken sind mit dem Weglassen von Sicherheitsmaßnahmen verbunden oder auch wie hoch ist die Eintrittswahrscheinlichkeit eines Schadens, wenn z. B. Praxismitarbeiter:Innen oder die Behandler:Innen Patientendaten auf private Smartphones verarbeiten und es zu einem Vorfall kommt.

Die Vorbereitung auf eine Krise schützt Mensch und Daten

Der Gedanke „es wird schon gut gehen“ oder „es ist ja bislang nie was passiert“ oder sogar „meine Praxis ist zu klein und uninteressant für Kriminelle“ sorgt für falsche Sicherheit und ist eine typische Schwachstelle „Mensch“. Wir können nur appellieren „Seien Sie gut vorbereitet“ und setzen Sie die Maßnahmen um, damit Ihre Praxis im Ernstfall gut aus der Krise kommt. Wenn die Praxis gut vorbereitet ist, dann wird das Ausmaß des Schadens in der Regel begrenzt sein. Bei einem Schadenseintritt sind nicht nur die sichtbaren Schäden zu beseitigen, sondern auch die unsichtbaren Folgen zu behandeln.

Die offenkundigen Schäden wie z. B. die Wiederherstellung von Systemen oder die Desinfektion von Datenträgern ist das eine, aber die verstecken Schäden wirken oft noch lange bei den Verantwortlichen nach. Die betroffenen Niedergelassenen oder die Mitarbeiter haben möglicherweise Schuldgefühle und schlaflose Nächte nach einen Cyberangriff der nicht nur die Praxis zeitweilig lahmlegt, sondern auch Patientendaten betrifft, welche ggf. gestohlen und offenkundig geworden sind. Bei Missachtung der Datenschutzgrundverordnung droht eine Geldbuße. So ein Vorfall ist in der Regel eine Zäsur für die Betroffenen und psychische Probleme kommen noch erschwerend hinzu.

Die Niedergelassen arbeiten tagtäglich mit hochsensiblen Patientendaten, die einen besonders hohen Schutzbedarf haben. Aus dem Grund müssen wir die angemessenen, organisatorischen und technischen Sicherheitsmaßnahmen umsetzen, sodass der Schutz der personenbezogenen Daten gewährleistet bleibt.

Haben Sie eine Frage?

Zögern Sie nicht, uns zu den Themen Telematik, Informationssicherheit und Cybercrime zu kontaktieren.

Wir sind gerne für Sie da und unterstützen Sie mit Rat und Tat.

Copyright 2024. daten-strom.Medical-IT-Services GmbH
Einstellungen gespeichert
Datenschutzeinstellungen

Diese Website verwendet Cookies, um Ihnen einen sicheren und komfortablen Website-Besuch zu ermöglichen. Entscheiden Sie selbst, welche Cookies Sie zulassen wollen.

Einige Cookies sind für die Funktionalität dieser Website notwendig (Erforderlich), andere Cookies dienen der Nutzung externer Medien (Extern).

Sie können der Nutzung aller Cookies zustimmen (Alle akzeptieren), technisch zwingend notwendige Cookies auswählen (Nur erforderliche Cookies erlauben) oder Ihre eigene Auswahl vornehmen und speichern (Auswahl akzeptieren).

Mehr Informationen finden Sie unter Datenschutz. Sie können die Datenschutz-Einstellungen für diese Website jederzeit nachträglich anpassen.

You are using an outdated browser. The website may not be displayed correctly. Close