So können Arztpraxen ihre IT-Sicherheit deutlich erhöhen

Jana Metz, Projektleiterin des „Praxis-IT-Checks“, berichtet über die IT-Sicherheit in Arztpraxen und die Anforderungen der IT-Sicherheitsrichtlinie. Ihr Team berät Praxen bei der Umsetzung.

Wie ist es um die IT-Sicherheit in Einrichtungen des Gesundheitswesens derzeit bestellt?

Laut dem Lagebericht des BSI vom September 2021 ist das Gesundheitswesen vermehrt Hackerangriffen ausgesetzt. Die Auswertung des BSI bezieht sich auf den Zeitraum vom Juni 2020 bis zum Mai 2021, ist also sehr aktuell. Die Angriffe tragen dabei nicht nur Kliniken, sondern auch Arztpraxen. In den Medien liest man ja meist nur von Attacken auf große Einrichtungen, aber das Bild stimmt so nicht.

Worum geht es bei solchen Angriffen?

Die Angriffsmethoden der Cyberkriminellen werden immer professioneller und verfolgen meist mehrstufige Angriffsstrategien. Oft wird Ransomware zur Verschlüsselung der Daten eingesetzt und die Betroffenen mit der Wiederfreigabe der Daten erpresst. Im BSI-Lagebericht wird ein Fall einer psychotherapeutischen Praxis vorgestellt, die Opfer eines solchen Angriffs wurde. Dort wurden sowohl dem Praxisinhaber als auch den Patienten damit gedroht, vertrauliche Patientendaten zu veröffentlichen. Also kann ein solcher Angriff nicht nur die Arztpraxis, sondern auch die Patienten selbst betreffen. Ich habe auch nach dem BSI-Berichtszeitraum nach solchen Angriffen auf Arztpraxen geschaut. Es kommt tatsächlich immer häufiger vor, davon sprechen die Ärzte zunehmend.

Wie können sich die Arztpraxen denn vor solchen Angriffen schützen?

Das Wichtigste ist, dass sie weniger sorglos sind in Bezug auf diese Bedrohung. Und, dass sie wissen: Man muss kein IT-Profi sein, um seine Sicherheit deutlich verbessern zu können. Einige Sicherheitsmaßnahmen lassen sich bereits mit wenig Aufwand umsetzen. Beispielsweise genügt ein Klick in den Systemeinstellungen der Endgeräte, um Autoupdates zu aktivieren und somit die Software aktuell zu halten und Schwachstellen zu vermeiden. Eine einfache Vorkehrung zum Schutz vor unbefugtem Zugriff auf verwendete Arbeitsrechner ist das Einrichten einer passwortgeschützten Bildschirmsperre. Die Netzwerksicherheit lässt sich unter anderem durch sichere WLAN-Passwörter erhöhen. Und zum Schutz der Patienten ist darauf zu achten, vertrauliche Patientendaten nicht über das private Handy zu versenden, beispielsweise per SMS oder WhatsApp.

Welche gesetzlichen Verpflichtungen müssen Niedergelassene denn einhalten, was die IT-Sicherheit betrifft?

Niedergelassene Ärzte müssen, so hat es der Gesetzgeber bzw. die KBV festgelegt, ihre IT seit Januar 2021 entsprechend der IT-Sicherheitsrichtlinie betreiben. Das ist also der Mindeststandard, den jede Praxis erfüllen muss. Vieles, was in der Richtlinie steht, ist auch schon durch die DSGVO geregelt. Aber so werden die Anforderungen für die niedergelassenen Ärzte noch klarer.

Wenn ich nur eine kleine Praxis betreibe mit vielleicht nur einem halben KV-Sitz, bin ich dann nicht überfordert mit den Vorgaben der IT-Sicherheitsrichtlinie?

Man sollte sich überlegen, dass auch eine kleine Praxis viele Patienten betreuen kann und damit viele sehr schützenswerte Daten hat. In der IT-Sicherheitsrichtlinie wird zudem zwischen Praxen mit bis zu fünf mit der Datenverarbeitung betrauten Personen, mittleren (6-20 Personen) und Großpraxen (mehr als 20 Personen) unterschieden. Die Anforderungen an Großpraxen sind deutlich höher. Wir erleben übrigens häufiger, dass gerade niedergelassene Psychotherapeuten ihre IT-Sicherheit weniger ernst nehmen. Dabei sind die Patientendaten und Informationen zum Krankheitsverlauf hier sicher ganz besonders vertraulich.

Ihr bietet Praxis-IT-Checks an, damit Praxen überprüfen können, ob sie die IT-Sicherheitsrichtlinie erfüllen. Wie geht ihr genau vor?

Das Audit ist wie ein Interview mit dem/der Praxisinhaber*in und denjenigen, die die Daten verarbeiten, das wir meist vor Ort durchführen. Remote ist es aber auch möglich. Dabei gehen wir entlang der Anforderungen der IT-Sicherheitsrichtlinie vor. Hier beziehen wir entsprechend der IT-Sicherheitsrichtlinie die jeweils vorgegebenen Anlagen mit ein. Ergebnis ist ein Auditbericht. Auf Wunsch erstellen wir zusätzlich eine einrichtungsspezifische IT-Dokumentation mit Netzwerkplan. Das ist ein notwendiger Baustein innerhalb der IT-Sicherheitsrichtlinie. Hierbei schauen wir uns auch die Geräte vor Ort an. Am Ende erhält die Praxis einen detaillierten Bericht darüber, welche Anforderungen sie erfüllen und welche nicht.

Welche Praxis muss welche Anlagen der IT-Sicherheitsrichtlinie erfüllen?

Die für alle Vertragsarztpraxen verbindlichen Anforderungen sind in Anlage 1 enthalten. Anlage 2 definiert zusätzliche Anforderungen für Praxen mittlerer Größe, Anlage 3 die für große Praxen. In Anlage 4 werden zusätzliche Anforderungen bei Nutzung medizinischer Großgeräte definiert. Anlage 5 umfasst Anforderungen rund ums Installieren der dezentralen Komponenten der Telematikinfrastruktur, also des Konnektors und der Kartenlesegeräte. Dieser Part ist auch für alle Praxistypen relevant. Oft sind diese Anlagen nicht sicher installiert. Statt einer seriellen Schaltung der Geräte wurde hier beispielsweise eine Reihenschaltung eingerichtet.

Wenn man als Praxis den Check durchlaufen hat, ist man dann gut geschützt vor Angriffen?

Einen hundertprozentigen Schutz gegen Angriffe gibt es zwar nie. Aber wenn man die entsprechenden Maßnahmen umgesetzt hat, hat man den Schutz deutlich erhöht. Angreifer müssten dann viel mehr Zeit aufbringen, um mit einem Angriff erfolgreich zu sein. Daher würden sie sich eher ein anderes Ziel suchen. Da es in den Praxen zum Einsatz neuer IT-Systeme kommen kann und sich auch die Angriffsmuster stetig weiterentwickeln, sollte immer wieder überprüft werden, ob die IT-Sicherheitslinie immer noch erfüllt wird. Sie wird nämlich von der KBV jährlich aktualisiert.

Vielen Dank für das Gespräch, Jana!

Weitere Infos unter: https://praxis-it-check.de/