Foto: Pixabay.com © mohamed_hassan (CC0 Creative Commons)

Die fortschreitende Digitalisierung kommt immer mehr auch in kleineren Arztpraxen an. Websites, Online-Terminvereinbarung und digitalisierte Patientendaten sind aus dem Alltag der Praxen nicht mehr wegzudenken. Umso wichtiger ist es, dass die IT-Sicherheit einen hohen Stellenwert einnimmt und nicht im hektischen Arbeitsalltag vernachlässigt wird. Es gibt einige Dinge, die das Personal in der Praxis umsetzen kann, um die Sicherheit von Daten und Systemen zu gewährleisten. Wir geben an dieser Stelle einen Querschnitt über mögliche Sicherheitsmaßnahmen für Zahnarztpraxen.

Die Digitalisierung erfordert aktualisierte Sicherheitsmaßnahmen

Immer mehr Arztpraxen – nicht nur im zahnärztlichen Bereich – bieten digitalisierte Services für ihre Patientinnen und Patienten an. Aktuellen Studien zufolge nutzen mehr als drei Viertel aller Vertragsarztpraxen eine mehrheitlich oder vollständig digitalisierte Patientendokumentation. Etwa die Hälfte der Vertragsärzte hat in den letzten Jahren an einer Fortbildung mit Schwerpunkt Digitalisierung teilgenommen.

Für Patienten wird die Digitalisierung in aktuellen Websites mit wichtigen Informationen sichtbar. Die Terminvereinbarung und Bestellung von Überweisung oder Rezepten ist immer häufiger online möglich. Viele Ärzte nutzen dafür E-Mails oder Kontaktformulare, immer mehr setzen auf E-Services, die ihnen die Verwaltung erleichtern und die Terminvergabe automatisieren.

Auf der anderen Seite stehen Sicherheitslücken in EDV-Systemen, eine gewisse Fehleranfälligkeit der eingesetzten Technik und die fehlende Vereinheitlichung der Systeme. Das sorgt für eine gewisse Zurückhaltung unter Ärzten jedes Schwerpunkts. Wichtig ist für Praxen, selbst aktiv zu werden und Sicherheitslücken eigenständig zu schließen.

Prophylaxe für die Praxis – mit Pentests Sicherheitslücken finden

Hacker- oder Cyberangriffe sind eines der beängstigenden Szenarien der IT-Welt. Der Schutz von Patientendaten hat für Arztpraxen eine große Priorität, denn nicht selten handelt es sich um empfindliche, persönliche Daten. Gleichzeitig gibt es immer häufiger Berichte von zum Teil großen Portalen, deren Daten gestohlen und im Darknet öffentlich zugänglich gemacht wurden. In der Notfallmedizin können Cyberangriffe lebensbedrohlich für Patientinnen und Patienten sein.

Um Sicherheitslücken in den eigenen IT-Systemen zu finden, eignen sich qualifizierte Penetrationstests von IT-Infrastruktur. Diese simulieren physische und Cyberattacken auf das System und seine Sicherheitsanwendungen. Dabei lassen sich Lücken schnell und effizient aufdecken. Dabei ist es egal, ob eigene Systeme Lücken aufweisen oder ob Systeme von Drittanbietern betroffen sind. Ein Pentest ermöglicht ein umfangreiches und realistisches Bild der Datensicherheit von Arztpraxen und anderen Unternehmen.

Im zweiten Schritt geht es natürlich darum, die aufgespürten Sicherheitslücken zuverlässig und effizient zu schließen. Der Bericht des Penetrationstests gibt Aufschluss darüber, welche Faktoren mehr Aufmerksamkeit erfordern und wie Praxen Ihre IT-Sicherheit langfristig verbessern können. Auch eine Schulung kann dazu beitragen, die EDV-Sicherheit zu erhöhen und Sicherheitslücken schneller zu finden und zu beheben.

Alltagsschutz: Passwortschutz, Phishing und Co.

Auch im Praxisalltag gibt es Dinge, auf die das Praxispersonal achten muss, um sensible Daten zu schützen. So erhalten auch geschäftliche E-Mail Accounts immer häufiger Spam-Mails und Phishing-Versuche. Nicht immer ist die betrügerische Absicht klar erkennbar, was dazu führen kann, dass Systeme mit schädlicher Software infiziert wird. Das BSI hat hierfür einen Leitfaden herausgegeben, an dem sich Privatpersonen und Unternehmen orientieren können, um nicht auf Phishing-Versuche hereinzufallen. Dazu gehört unter anderem, die Absenderadresse von Phishing-Mails zu kontrollieren und niemals sensible Daten wie Passwörter, Bankdaten und Ähnliches per E-Mail herauszugeben.

Software-Anwendungen und Admin-Bereiche von Websites sind heute in den meisten Fällen passwortgeschützt. Das soll für eine erhöhte Sicherheit sorgen. Dennoch kommt es häufig vor, dass generische Passwörter einfach entschlüsselt und dann für betrügerische Absichten genutzt werden. Die Zwei-Faktor-Authentifizierung hilft dabei, Accounts zu schützen und den Zugriff auf Daten zu erschweren. Wichtig ist dafür, dass das Passwort per Zufallsprinzip konzipiert und etwa alle acht Wochen geändert wird. Für den vollständigen Zugriff wird dann die Zwei-Faktor-Authentifizierung genutzt. Hier gibt es verschiedene Wege:

• Eingabe eines einzigartigen, sechsstelligen Codes, den eine Smartphone-App generiert
• Zusendung einer TAN per SMS an eine Mobilnummer
• Beantwortung einer Sicherheitsfrage
• Falls die anderen Methoden nicht funktionieren: Eingabe eines Back up-Codes von einer vorher erhaltenen Liste in Verbindung mit der Änderung des aktuellen Passworts und einer der anderen Methoden

Zusätzlich sollte in jedem Unternehmen klar geregelt sein, welche Mitarbeitenden Zugriff auf bestimmte Server, Programme, Daten, Computer und Ähnliches haben. So kann im Zweifel zurückverfolgt werden, wo die Ursache für ein Sicherheitsproblem liegt und wie sich das Problem in Zukunft vermeiden lässt.

Anforderungen erfüllen und Patientendaten schützen

Für die Zukunft ist eines klar: Ohne Digitalisierung ist der reibungslose Praxisablauf nicht mehr gewährleistet. Jüngere Patienten möchten Termine online vereinbaren, die digitalisierte Patientendokumentation ist Alltag und auch viele Backend-Prozesse sind ohne EDV-Anwendung nicht mehr denkbar. Umso wichtiger ist es, dass Praxen schon heute entscheidende Schritte gehen, um die Anforderungen zu erfüllen. Nicht umsonst hat die KZBV vor einigen Jahren eine allgemeingültige Richtlinie für niedergelassene Zahnärzte veröffentlicht, die die IT-Sicherheit regelt und Maßnahmen für eine erhöhte EDV-Sicherheit an die Hand gibt.

Auch, wenn der hektische Praxisalltag Zahnärzten und medizinischem Personal wenig Zeit für andere Dinge lässt, ist es wichtig, die IT-Sicherheit zu priorisieren. Der Verlust oder der Diebstahl von Daten kann verheerende Folgen haben. In jedem Fall ist das Vertrauen von Patientinnen und Patienten in die eigene Praxis zerstört und unter Umständen sind wichtige Daten für immer verloren. Neben Patientendaten gibt es sensible Daten der Praxis, die nicht in die Hände von Betrügern gelangen sollten. Dazu gehören beispielsweise Bankdaten, wichtige Unterlagen der Buchhaltung und vieles mehr. Abgesehen vom realistisch zu erwartenden Schaden, den Cyberangriffe anrichten würden, sind die Anforderungen der Richtlinie der KZBV verpflichtend für alle zahnärztlichen Praxen. Dabei sind die Anforderungen zu unterschiedlichen Zeitpunkten verbindend, begonnen hat die Umsetzung bereits 2021. Das gibt den Praxen die notwendige Zeit, einzelne Dinge gezielt und vollständig umzusetzen – es ist nicht nötig, alles gleichzeitig zu erledigen. In jedem Fall sollten zahnärztliche Praxen der IT-Sicherheit große Aufmerksamkeit widmen, um langfristig vor Angriffen geschützt zu bleiben.