Foto: BeeBright - Shutterstock.com

Am Donnerstagmorgen um 7.58 Uhr fährt ZMF Sabrina R. wie jeden Tag den Computer an der Rezeption hoch. Dieses Mal jedoch erscheint nicht der gewohnte Desktop, sondern ein schwarzer Bildschirm mit einem weißen Totenkopf und der Unterschrift: „Wir haben Ihr System verschlüsselt. Überweisen Sie innerhalb von 24 Stunden einen halben Bitcoin (1 Bitcoin entspricht derzeit ca. 52.000 Euro) an uns. Nach 48 Stunden verdoppelt sich der Preis. Ansonsten sind Ihre Daten verloren.“

Sabrina R. rennt panisch zu ihrem Chef. Dieser erkennt sofort, dass alle Computer inklusive des Servers lahmgelegt sind. Ihm wird es ganz heiß und kalt. Er telefoniert umgehend mit seinem ITler und brüllt völlig aufgelöst in den Hörer: „Hilfe, meine Praxis wurde gehackt! Sie müssen sofort kommen und uns helfen!“

Wie konnte das passieren? Sind jetzt tatsächlich alle Patientendaten weg? Für immer? Oder gibt es noch eine Möglichkeit, diese wieder zurückzubekommen? Was soll ich tun, lieber zahlen oder besser nicht? Tausende Gedanken rasen dem Praxisinhaber durch den Kopf. Wenn das Unglück erst eingetreten ist, kommen die Selbstvorwürfe von alleine.

Hätte ich bloß gestern noch eine Datensicherung auf Band gemacht. Warum haben meine Mitarbeiter*innen und ich nicht doch noch an einer IT-Sicherheitsschulung teilgenommen? Waren wir zu leichtsinnig und wer ist eigentlich schuld an dem Dilemma? Fragen über Fragen quälen den Praxisinhaber und die verantwortliche ZMF. Die Praxis steht auf jeden Fall erst einmal still, denn ohne Computer geht gar nichts!

Dieses Szenario kann jede Praxis treffen und die Wahrscheinlichkeit dafür steigt stetig an. Immer häufiger werden Firmen und Praxen von Hackerangriffen bedroht. Betrügerische Mails suchen täglich nach neuen Opfern und die Spamfilter schaffen es längst nicht, alle Fakes herauszufiltern.

Doch fangen wir einmal von vorne an. Die Zeiten, in denen die Praxisinhaber ihre IT selbst gemacht haben, sind längst vorbei. Mit der rasanten Digitalisierung der Zahnarztpraxen wurde die IT immer komplexer und komplizierter. Während früher lediglich an der Rezeption ein Computer stand, stehen mittlerweile in jedem Behandlungszimmer ein oder mehrere Computer und der digitale Austausch zwischen Laboren, Praxen, Krankenkassen, Patienten, Steuerberater, KZV und vielen anderen machen das ganze System deutlich empfindlicher gegenüber Hackerangriffen. Nicht zuletzt die Einführung der Telematikinfrastruktur (TI) bereitet den Computerspezialisten derzeit noch Kopfschmerzen in Bezug auf die Umsetzung der IT-Sicherheit.

Das Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) am 25.5.2018 macht es erforderlich, dass empfindliche Gesundheitsdaten in einem gesteigerten Maße geschützt werden. Dazu müssen einerseits die technischen und organisatorischen Maßnahmen in der Praxis immer auf dem aktuellen Stand der Technik und andererseits die verantwortlichen Mitarbeiter ausreichend geschult und sensibilisiert sein. Sicherheitsmaßnahmen wie Datenverschlüsselungen und Datensicherungen sollten in der heutigen Zeit für jede Praxis eine Selbstverständlichkeit darstellen. Zudem muss jede Datenpanne unverzüglich, möglichst innerhalb von 72 Stunden, an die zuständige Aufsichtsbehörde des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) gemeldet werden (Art. 33 Absatz 1 DSGVO).

Wenn bei der Datenpanne zusätzlich patientenbezogene Gesundheitsdaten betroffen sind, muss auch die betroffene Person selbst benachrichtigt werden (Art. 34 DSGVO). Schwierig wird dies, wenn alle Daten durch die Hacker so verschlüsselt sind, dass der Praxisinhaber keinen Zugriff mehr darauf hat. Hohe Bußgelder und ein irreparabler Imageverlust für die Praxis können den Zahnarzt schwer belasten. Übrigens richtet sich die Höhe des Bußgeldes auch danach, ob Nachlässigkeiten in den IT-Systemen vorlagen oder Fehler hätten vermieden werden können.

Aus diesem Grund erscheinen die folgenden Vorsichtsmaßnahmen empfehlenswert:

1. Lassen Sie rechtzeitig einen Sicherheitscheck Ihrer Praxis durch einen zertifizierten IT-Sicherheitsexperten durchführen.
2. Setzen Sie die technischen Sicherheitsmaßnahmen baldmöglichst und vollständig um.
3. Lassen Sie sich und Ihre Mitarbeiter*innen durch einen spezialisierten ITler schulen und wiederholen Sie diese Kurse in regelmäßigen Abständen (am besten halbjährlich).
4. Bestellen Sie einen Datenschutzbeauftragten für Ihre Praxis und erkundigen Sie sich ggf. nach einer Versicherung für Cyberkriminalität.

Im oben geschilderten Fall konnten alle Daten durch eine Sicherheitskopie durch den ITler gerettet werden und es wurden keine Erpressungsgelder bezahlt. Das Bestellbuch war allerdings nicht mehr aufzurufen und das daraus resultierende Chaos in der Praxis kann sich sicherlich jeder vorstellen. „Reingekommen“ waren die Hacker über eine gefälschte E-Mail, die eine Mitarbeiterin dazu verleitete, an einem Praxiscomputer den virusinfizierten Dateianhang zu öffnen. Schlussendlich mussten alle Computer und der Server neu installiert werden. Die Praxis konnte in der Folge erst nach etwa vier Wochen wieder normal agieren. Die Unsicherheit, ob die Patientendaten sowie Praxisinterna bereits jetzt oder in Zukunft im Internet kursieren, bleibt leider bestehen.

Resümee

Nehmen Sie Ihre IT-Sicherheit unbedingt ernst und warten Sie nicht, bis es zu spät ist!

Dieser Beitrag ist in KN Kieferorthopädie Nachrichten erschienen.