IT Sicherheit und Cybersecurity in der Arztpraxis

Medizin-IT

Schutz für Ihre Patienten

IT-Netzwerke von Praxen weisen teilweise gravierende Sicherheitslücken auf. Nicht einmal gespeicherte Röntgenbilder in Patientendossiers sind vor Hacker sicher, falls Sie über ein ungenügendes IT-Sicherheitskonzept verfügen.

Hackerangriffe sind keine Seltenheit

Hackerangriffe auf Kleinpraxen sind für Hacker interessant und leider keine Seltenheit. Dabei geht es neben dem Datenklau auch um das Freikaufen von verschlüsselten Daten. Dazu kommen zusätzliche Kosten inkl. Reputationsschäden infolge Ausfall während den Praxisöffnungszeiten.

Profitieren Sie von unserer IT-Sicherheitsüberprüfung

Medizin IT & Data Pie Cybersecurity AG

Analyse
Wir zeigen Ihnen auf, wie anfällig Ihre Arztpraxis für Cyberangriffe ist:

  • Prüfung Ihres Virenschutz- und Firewall-Konzeptes
  • Prüfung Ihrer Software und Hardware auf wichtige Updates

Beratung

  • Wir beraten Sie in der Handhabung von E-Mails und im Web
  • Wir helfen Ihnen, den richtigen Browser zu wählen

Funktionen und Leistungen

  • Wir analysieren Ihre IT-Infrastruktur bei Ihnen vor Ort mit sogenannten Intrusion-Tests.
  • Wir zeigen Ihnen Sicherheits-Lücken auf inkl. Verbesserungsvorschlägen zur Schwachstellenbeseitigung. Dieses Angebot erhalten Sie in einem persönlichen Bericht zugestellt.
  • Wir definieren mit Ihnen das weitere Vorgehen.
  • Sie entscheiden ob Sie sich besser vor Angriffen schützen wollen oder nicht.

Jetzt Analyse vereinbaren!

geiger@medizin-it.net

Wir verfügen in unserer Unternehmung über eine hochsichere und redundante IT-Infrastruktur. Unser Knowhow fliesst bei jeder neuen Praxisplanung mit ein. Auch können Sie mit einer bereits existierenden Praxis von unserem Wissen inkl. bewährten IT-Sicherheitsüberprüfung profitieren. Vereinbaren Sie mit uns noch heute einen Termin für eine umfassende IT-Sicherheitsüberprüfung.

Massnahmen für eine erhöhte Cyber Security in der Arztpraxis

Vernünftiges und Unvernünftiges haben gleichen Widerspruch zu erleiden. Johann Wolfgang von Goethe.

Maßnahmen für eine erhöhte Cyber Security in der Arztpraxis

Für Cyber­kriminelle sind Arzt­praxen ein beliebtes Angriffs­ziel, da diese über eine Vielzahl von Patienten­daten verfügen, die sich für Identitätsdiebstahl, Steuerbetrug und andere Finanzdelikte eignen. Mit zielgerichteten Massnahmen lässt sich die Cyber Security in der Arztpraxis erhöhen und damit das Risiko eines Cyberangriffs minimieren.

Weshalb sind für Cyberkriminelle besonders die kleineren Arztpraxen beliebte Ziele? Weil Angreifer wissen, dass eine kleine Praxis über ebenso wertvolle Patientendaten verfügt wie eine große Organisation, doch ein wesentlich schwächeres Schutzkonzept dahintersteht. Auch kleinere medizinische Praxen speichern Patientennamen, Adressen, Sozialversicherungsnummern, Geburtsdaten, Versicherungsdaten und vieles mehr. Diese Informationen sind für Kriminelle ideal, um Identitätsdiebstahl, Erpressungen und weitere Delikte zu begehen.

Ransomware: Hohes Risiko für Arztpraxen

Mit gefährlicher Ransomware (Erpressungs-Software) setzen die Delinquenten die IT von Arztpraxen außer Betrieb oder verschlüsseln Patientendaten derart, dass sie vorübergehend nicht mehr nutzbar sind. Solche Blockaden dauern in der Regel so lange, bis die betroffene Praxis den Erpressern das geforderte Lösegeld zahlt. Andere Cyberkriminelle stehlen Patientendaten und drohen mit deren Veröffentlichung, wenn der geforderte Betrag nicht bei ihnen eintrifft. Für medizinische Betriebe können solche Angriffe fatale Folgen haben: Die Praxis ist von der Außenwelt nicht mehr erreichbar, Betriebsabläufe sind lahmgelegt, es drohen Imageschäden und Vertrauensverluste seitens der Patienten sowie Umsatz- und Gewinnausfälle. Ransomware gelangt in der Regel via Phishing-E-Mails (gefälschte E-Mails) in die IT-Infrastruktur einer Arztpraxis. Auch Datendiebe setzen diese Methode ein. Die Kriminellen versuchen dabei, den Empfänger auf eine gefälschte Internetseite zu locken. Diese sind echten Seiten täuschend echt nachempfunden und fordern den Besucher dazu auf, Zugangsdaten einzugeben. Kommt er dieser Aufforderung nach, gelangen die Angreifenden in Besitz von Nutzernamen und Passwörtern. So können sie die Identität ihres Opfers bei den jeweiligen Internet-Diensten oder für den Zugang zur IT der Arztpraxis übernehmen. Andere gefährliche E-Mails enthalten Schadsoftware in ihren Anhängen. Sobald eine Mitarbeiterin oder ein Mitarbeiter einen solchen Anhang öffnet, verschlüsselt ein Ransomware-Programm alle Daten auf dem Arbeitsplatzrechner und breitet sich auf andere PCs, Workstations sowie Server im Netzwerk aus. Eine erfolgreiche Ransomware-Attacke kann das gesamte Netzwerk verschlüsseln und den Zugriff auf Patientendaten für lange Zeit verunmöglichen – der Praxisbetrieb ist unter Umständen wochenlang lahmgelegt. Und sollte die Praxis tatsächlich ein Lösegeld bezahlen, ist dennoch nicht sicher, ob die Angreifer die Daten auch wirklich freigeben.

Mitarbeitende als schwächstes Glied der IT-Sicherheit
Ein einmaliges unbeabsichtigtes Fehlverhalten eines einzigen Praxismitarbeiters genügt, um in die Fänge von Cyberkriminellen zu gelangen. Gemäß einer IBM-Studie sind die meisten erfolgreichen Cyberattacken auf das Verhalten der Mitarbeitenden zurückzuführen. Dazu gehören das Nicht Erkennen eines Phishing-Angriffs, den Verlust ihres Notebooks oder Smartphones oder der Versand von Patientendaten an falsche Empfänger.

Massnahmen zum Schutz von Arztpraxen vor Cyberangriffen
Mit geeigneten Schutzmaßnahmen lässt sich die medizinische Praxis mit ihren Patientendaten vor Cyberangriffen schützen.

1. Einsatz von sicheren Passwörtern durch alle Mitarbeitenden
Passwörter sind für Mitarbeitende die Schlüssel zu verschiedenen Netzwerken des Praxisbetriebs: Dazu gehören IT-Anwendungen, Patientendaten, Onlinebanking, die Internetseite der Praxis, soziale Medien und weitere. In vielen Fällen sind sich Mitarbeitende nicht bewusst, was ein sicheres Passwort auszeichnet. Für die Praxisleitung ist es daher ratsam, verbindliche Regeln zur Wahl von sicheren Passwörtern festzulegen. Dazu gehören folgende Voraussetzungen: Sichere Passwortlänge wählen mit einer Länge von 12 Zeichen oder mehr. Je länger, desto schwieriger zu erraten. Keine persönlichen Informationen anwenden (z.B. Geburtstage, Namen von Familienmitgliedern oder Haustieren). Keine Wörter aus dem Wörterbuch für das Passwort verwenden. Kriminelle verfügen über Software, mit der sie systematisch Wörter aus Wörterbüchern abfragen und damit leicht das Passwort erraten können. Die ersten Buchstaben der Wörter eines gut zu merkenden Fantasiesatzes statt eines einzelnen Worts für das Passwort wählen, z.B. «Weiße Hasen suchen ihr Futter immer um 7 Uhr morgens außer am Freitag». Das Passwort lautet dann «WHsiFiu7UmaaF». Nach neuesten Erkenntnissen soll darauf verzichtet werden, den Einsatz von Sonderzeichen (*, &, !, $ usw.) im Passwort einzufordern, denn dies führt erfahrungsgemäß dazu, dass Nutzer die Sonderzeichen als Platzhalter für Buchstaben einsetzen. In der Folge verwenden sie einfach zu erratende Wörter und statten diese mit ein bis zwei Sonderzeichen aus, wie z.B. «W@ssersp!el», in der falschen Meinung auf diese Weise eine hohe Sicherheit zu erzielen. Für unterschiedliche Zugänge verschiedene Passwörter verwenden. Passwörter nicht offen zur Schau stellen. Das mag offensichtlich erscheinen, doch Untersuchungen zeigen, dass viele Nutzer ihr Passwort mit einem Klebezettel an ihrem Bildschirm befestigen.

2. Verschlüsseln von Daten
Auch verlorengegangene oder gestohlene Notebooks, Smartphones und USB-Speicher sind häufig die Ursache für Datendiebstahl. Zahlreiche Praxen sind sich nicht bewusst, wie viele Patientendaten sich auf mobilen Geräten befinden: Sie können in E-Mails, Tabellenkalkulationen, Dokumenten, PDF-Dateien und gescannten Bildern enthalten sein – wenn nun z.B. das persönliche Praxis-E-Mail-Konto der Mitarbeitenden auf ihrem Smartphone oder Notebook abrufbar ist, sind diese sensiblen Daten bereits mobil unterwegs. Zudem gilt es zu berücksichtigen, dass Cyberkriminelle auch nicht davor zurückschrecken, in medizinische Praxen einzubrechen, um sich Zugang zu sensiblen Daten zu verschaffen. Dabei entwenden sie die auffindbaren Desktop-Computer oder Speicher und greifen danach auf die gespeicherten Daten zu. Der beste Weg sensible Patientendaten zu schützen, ist die Verschlüsselung der Daten. Geht ein mobiles Gerät mit Datenverschlüsselung verloren oder wird es gestohlen, so haben Unbefugte keinen Zugriff auf die darin enthaltenen Informationen.

Arten der Datenverschlüsselung

E-Mail-Verschlüsselung: E-Mails, die Patienteninformationen und andere sensible Daten enthalten, lassen sich verschlüsseln. Über solche E-Mails gesendete Daten sind geschützt. Verschlüsselung für SMS-Versand: Über herkömmliche SMS versendete Daten zwischen zwei Mobiltelefonen sind nicht geschützt. Ratsam ist der Einsatz von sicheren Texting-Anwendungen, die SMS-Daten verschlüsseln. Verschlüsselung von Arbeitsplätzen: Auch für Daten auf Notebook- und Desktop-Computern sowie Workstations ist eine Verschlüsselung sinnvoll, damit sämtliche darauf gespeicherten Daten geschützt sind. So führt ein Diebstahl oder Einbruch in den Praxisbetrieb nicht zu Datenschutzverletzungen.

Sicherheitsschulung für Mitarbeitende
Da meist das fehlende Risikobewusstsein bei Mitarbeitenden die Ursache für IT-Sicherheitsvorfälle ist, muss die Praxisleitung dafür sorgen, dass sich das Personal sicherheitskonform zu verhalten weiß. Wichtig dabei ist die Sensibilisierung der Mitarbeitenden für Sicherheitsrisiken sowie die Weitergabe der entsprechenden Handlungsanweisungen anlässlich von regelmäßigen Schulungen. Folgende Inhalte sind für Cyber-Security-Schulungen von hoher Wichtigkeit: Phishing-Attacken identifizieren: Die Praxis-Mitarbeitenden sollen in der Lage sein, verdächtige E-Mails oder Websites selbständig zu erkennen, um zu vermeiden, dass sie auf einen betrügerischen Link klicken, eine schädliche Software herunterladen oder falsche Updates und Treiber installieren. Insbesondere sollten sie den 20-Sekunden-Check zur Identifikation von Phishing E-Mails beherrschen. Passwortregeln beherrschen: Die Mitarbeitenden sollen die Kriterien eines starken Passwortes kennen sowie die oben erläuterten Regeln für den sicheren Umgang mit Login-Daten beherrschen. Social Media mit Bedacht nutzen: Die Mitarbeitenden sollen auf die Risiken und Verhaltensweisen im Umgang mit Social Media sensibilisiert werden. Sämtliche Kommunikation, die über solche Kanäle stattfindet, darf keine sensitiven Informationen enthalten, die direkte oder indirekte Rückschlüsse für den Zugriff auf die IT-Infrastruktur zulassen. Sicher im Internet surfen: Damit sich die Mitarbeitenden möglichst risikofrei im Internet bewegen, müssen sie mit den wichtigen Vorsichtsmaßnahmen vertraut sein und diese im Alltag umsetzen können. So sollen sie ausschließlich verschlüsselte Websites nutzen. Dies lässt sich mit einem Blick auf die Adressleiste im Internet-Browser erkennen: Die Internet-Adresse (URL) einer verschlüsselten und damit sicheren Website beginnt mit https (nicht http) oder mit einem geschlossenen Schloss-Symbol. Auch harmlos wirkende animierte Bilder, Schriften oder Werbebanner können gefährliche Instrumente enthalten, die Cyberkriminellen das Tor zur IT-Infrastruktur des Praxisbetriebs öffnen. Die Mitarbeitenden sollen Kenntnis darüber haben, wie sie solche und weitere Optionen in ihrem Internet-Browser einschränken oder wen sie im Zweifelsfall kontaktieren sollen. Clean Desk Policy anwenden: Die Mitarbeitenden sollen die Risiken für Datendiebstahl am physischen Arbeitsplatz kennen und die Richtlinien einer für die Praxis aufbereiteten Clean Desk Policy verstehen und anwenden können.

Datensicherung und Test der Datenwiederherstellung

Eine wirksame Datensicherung (Backup) schützt eine Arztpraxis vor Datenverlusten aufgrund von beschädigten Servern oder Cyberkriminalität. Auch Naturkatastrophen wie Feuer, Überschwemmungen, Stürme oder Erdbeben können die IT-Infrastruktur beschädigen und Patientendaten zerstören. Aktuelle Datensicherungen und ein nachvollziehbarer Wiederherstellungsplan helfen bei der Rettung von Patientendaten. Für das Backup ist es ratsam, automatische Sicherungen durchzuführen, die Daten zu verschlüsseln und an verschiedenen Orten zu speichern. Wird die 3-2-1-Regel der Datensicherung eingehalten, so lässt sich ein hohes Maß an Datensicherheit erzielen. Diese Regel besagt, dass jeweils 3 Kopien der Daten auf 2 verschiedenen Medien gesichert und eine davon extern gelagert sein soll. Empfehlenswert ist ein regelmäßiger Test dieser Datensicherungen, um zu gewährleisten, dass sich die Daten korrekt wiederherstellen lassen.

Aktuelles technisches Schutzkonzept

In medizinischen Praxen sind Endgeräte und IT-Systeme in der Regel vernetzt. PCs und Notebooks greifen auf Internetseiten zu, Server liefern Daten an Internetnutzer oder die Mitarbeitenden nutzen IT-Systeme von externen Partnern, Labors, Lieferanten oder Zuweisern. Um unerwünschte Zugriffe auf die eigenen Dateien zu verhindern, muss die Cybersicherheit so ausgelegt sein, dass sie den Datenverkehr an diesen Schnittstellen permanent überwacht. Dies gilt besonders für die Übergänge zum Internet, da vom Web zahlreiche Bedrohungen ausgehen. Um die IT und die damit verbundenen Daten zu schützen, benötigt eine gut geschützte Arztpraxis daher moderne Firewalls, die auf dem neuesten technologischen Stand sind. Cyberkriminelle finden für ihre Angriffe in der Praxis-IT täglich neue Schwachstellen in der Software, in Betriebssystemen oder in Anwendungen. Die Hersteller beheben solche Sicherheitslücken durch die Bereitstellung von Patches und Updates zur Aktualisierungen der Programme. Doch nur wenn der Praxisbetrieb diese Aktualisierungen zeitnah einspielt, können sie diese Schwachstellen beheben, bevor sie Kriminelle entdecken und missbrauchen. Um das Eindringen von Schadsoftware wie Viren oder Ransomware zu verhindern, sind Endgeräte und Server stets mit den aktuellsten Virenscanner-Versionen auszustatten – sie erkennen die neuesten Malware-Signaturen und können diese wirksam abwehren.

Durchführung eines IT Security Checkup

Wie bei Praxispatienten ist auch bei der IT-Infrastruktur ein regelmäßiger Checkup eine wichtige Massnahme, um allfällige Risiken frühzeitig zu erkennen. Ein IT Security Checkup trägt dazu bei, die IT-Sicherheitsrisiken für die Arztpraxis und die Patientendaten zu verstehen. Die daraus erstellte Dokumentation gibt Auskunft über aufgedeckte Sicherheitsmängel und die möglichen konkreten Massnahmen zur Maximierung der IT-Sicherheit.

Zusammenarbeit mit spezialisiertem IT-Dienstleister
Um eine genügend hohe Cyber Security in der Arztpraxis zu gewährleisten, lohnt sich der Beizug eines auf medizinische Praxisbetriebe spezialisierten IT-Dienstleisters. Dieser soll in der Lage sein, einen Security Checkup durchzuführen und die Praxisleitung bei der Umsetzung der notwendigen Voraussetzungen für die Cybersicherheit zu unterstützen.

Gabriele Marie Geiger

Expertin für IT und Digitalisierung im Gesundheitswesen
IT Sicherheit | Cybersecurity

Diese Seite verwendet ausschließlich technische Cookies. Es werden keine Daten gespeichert oder erhoben.