IT-Sicherheit – Wie sicher ist eure Arztpraxis?
Praxisalltag

IT-Sicherheit – Wie sicher ist eure Arztpraxis?

„Das Problem sitzt meist vor dem Bildschirm“, sagte mir einst der IT-Support meiner ehemaligen Arbeitsstelle. Damals saß ich vor einem Laptop, der von einem Virus heimgesucht wurde und fühlte mich zugegebenermaßen etwas angegriffen. Heute verstehe ich, dass er recht hatte.

Im Gesundheitswesen arbeiten wir mit hochsensiblen, medizinischen Daten. Man kann viel über den langsamen Fortschritt der Digitalisierung von Patientendaten meckern. Dass die Daten unserer Patienten lokal auf der elektronischen Gesundheitskarte gespeichert sind, führt zu einem erhöhten Schutz dieser Daten. Es gibt bewusst keine zentrale Stelle, die alle Daten der Versicherten in Deutschland erfasst.

Dennoch speichern wir in unseren Arztpraxen die Daten unserer Patienten. Auch Krankenhäuser oder andere, größere Gesundheitseinrichtungen speichern die Gesundheitsdaten ihrer Patienten und werden zunehmen Angriffsziel von Kriminellen. Diese legen die Systeme lahm und erpressen Geld der betroffenen Einrichtungen, bis sie wieder einen Zugriff auf die Systeme erlauben.

Wir MFA können durch umsichtiges Handeln potenziell großen Schaden von unserer Praxis abwenden, den professionelle Hacker (= Personen, die unautorisiert in fremde IT-Systeme eindringen) verursachen möchten.

Cybersicherheit in der Arztpraxis - drei Tipps

In diesem Blog gebe euch drei erste Tipps, wie ihr Hacker-Angriffe erkennt und darauf reagieren solltet. 

  • Social Engineering: Meint die soziale Manipulation mit dem Ziel, bei Personen bestimmte Verhaltensweisen zu erreichen (z.B. Preisgabe vertraulicher Informationen)1. Hierbei zeigt sich, dass die Schwachstelle der meisten Systeme bei den Anwendern liegt und nicht immer rein technologisch ist. Die Angreifer nutzen emotionale Ansprachen, die Notfallsituationen o.ä. vortäuschen.
    • Wird eine Strafe angedroht, falls nicht gehandelt wird (z.B. Mahngebühren in einer falschen Rechnungs-E-Mail)? Wird Zeitdruck erzeugt? Wird eure Neugier geweckt (z.B. „Bist Du das auf dem Video?“)? Wird eine Belohnung in Aussicht gestellt? Wird eine vorhandene Beziehung vorgetäuscht (z.B. "Wir haben hierzu kürzlich gesprochen.“)? Wird an die Hilfsbereitschaft appelliert? Wenn ihr hier eine oder mehrere Fragen mit „Ja“ beantwortet, solltet ihr auf der Hut sein. 
  • Phishing: Bezeichnet das „Abfischen“ von Zugangsdaten, Pincodes und Geschäftsgeheimnissen über präparierte E-Mails, Nachrichten oder Anrufe.1,2 Phishing ist eine Form des Social Engineering und bleibt eine massive Gefahr für jedes Unternehmen. Ein gedankenloser falscher Klick, ohne das Gelesene richtig zu prüfen, ist das Einfallstor für Angriffe von außen. 
    • Schaut euch jede E-Mail ganz genau an. Ist der Absender-Name unbekannt? Kommt diese Nachricht unerwartet? Findet ihr Fehler in der Mail-Adresse? Gibt es auffällig viele Rechtschreibfehler? Sind eventuelle Links falsch geschrieben? Wenn ihr eine oder mehrere dieser Fragen mit „Ja“ beantwortet, dann solltet ihr die Nachricht mit Vorsicht genießen. 

Die Phishing-Mails werden immer „besser“ und sind – besonders durch Künstliche-Intelligenz-Assistenten – nur schwer als Phishing zu erkennen. Hier ein Beispiel, worauf ihr bei Phishing-E-Mails achten solltet:

ÍT-Sicherheit Arztpraxis: Phishing und Phishing-Methoden
Quelle: Allianz für Cyber-Sicherheit (2020). SoSafe Cyber Security Awareness. Poster: Neue Phishing-Taktiken durch Corona. (https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/partner/20201007_Poster_Phishing_SoSafe.html)
  • Passwörter: Ein alter Schuh, aber laut wiederkehrenden Umfragen weiterhin eine absolute Schwachstelle in vielen Praxen. Ein Passwort sollte - laut Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik - entweder mindestens 25 Zeichen lang sein, wenn es nur zwei Zeichenarten verwendet (z.B. Groß- und Kleinschreibung). Oder es sollte mindestens acht Zeichen haben und dabei vier Zeichenarten kombinieren (z.B. Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen). Alle Passwörter sollten regelmäßig geändert werden. Ein häufiges Problem ist, dass ein Passwort an verschiedenen PCs oder bei unterschiedlichen Konten zugleich verwendet werden. 
    • Enthält euer Passwort den Namen der Praxis oder des Inhabers? Ist euer Passwort irgendwo sichtbar (z.B. Klebezettel am Bildschirm)? Teilen sich mehrere Mitarbeiter einen Account mit demselben Passwort? Ihr habt keine Sonderzeichen im Passwort? Ihr wisst nicht mehr, wann ihr zuletzt eure Passwörter geändert habt? Wenn ihr hier eine oder mehrere Fragen mit „Ja“ beantworten könnt, solltet ihr euch dringend mit diesem Thema befassen!
ÍT-Sicherheit Arztpraxis: Passwörter
Quelle: Bundesamt für Sicherheit in der Informationstechnik (oJ). Sichere Passwörter erstellen. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html

Wie geht ihr mit der IT-Sicherheit in eurer Praxis um? Habt ihr regelmäßige Schulungen zur Datensicherheit? Ich freue mich, von euren Erfahrungen zu lesen!

Viele Grüße

Eure Steffi

Die Autorin Steffi, MFA/Wundexpertin (ICW)
Steffi Blog

Nach der Ausbildung zur Medizinischen Fachangestellten in einer dermatologischen Praxis für 5 Jahre im Praxisalltag als MFA, seit 2014 bei Dr. Ausbüttel (DRACO®). Wundexpertin (ICW) und bloggende MFA mit Leidenschaft.

E-Mail schreiben