News
Mehr anzeigen Schließen
Praxismanagement 24.01.2022

Wie sicher ist Ihre Praxis? So schaffen Sie mehr IT-Sicherheit und Datenschutz

Wie sicher ist Ihre Praxis? So schaffen Sie mehr IT-Sicherheit und Datenschutz

Foto: stock.adobe.com – Panuwat

DSGVO, Ransomware und Zwei-Faktor-Authentifizierung (2FA). Im täglichen Leben begegnen uns viele Themen, deren Tragweite uns nicht immer bewusst ist. Dabei ist es heute so wichtig wie nie zuvor, unsere persönlichen Daten zu schützen. Anlässlich des Europäischen Datenschutztages am 28. Januar 2022 möchte Sven Zehl, Information Security Officer bei Doctolib, Zahnärzt:innen konkrete Handlungsempfehlungen zum Schutz der Daten ihrer Patient:innen geben. Außerdem läd das unternehmen seine Kunden ein, am kostenlosen Webinar “IT-Sicherheit und Datenschutz: Handlungsempfehlungen für Ihre Praxis” am Freitag, den 28. Januar teilzunehmen.

Immer mehr Daten geraten in die falschen Hände

Warum ist die IT-Sicherheit für Arztpraxen wichtig? Die Anzahl an Hackerangriffen in den letzten Jahren hat deutlich zugenommen. Cyber-Attacken können zu Umsatzverlusten, einem Imageschaden und hohen Kosten für die Wiederherstellung der Systeme führen. Die Bedrohung steigt laut KBV für jede einzelne medizinische Einrichtung, die hochsensible Daten verwendet, ständig. Bei Verstößen gegen die Datenschutz-Grundverordnung können zudem Bußgelder und Schadensersatzansprüche der betroffenen Personen anfallen.

Gesundheitsdaten – begehrt und schützenswert

Als Ärzt:innen erhalten Sie zahlreiche Informationen zu Ihren Patient:innen, die Sie in deren analogen oder digitalen Akten festhalten. Der Schutz dieser Daten hat höchste Priorität. Unterschieden wird zwischen personenbezogenen Daten (z. B. Vorname und Name) und Gesundheitsdaten (z. B. die Krankengeschichte). Die Datensicherheit ist vor allem in Bezug auf Gesundheitsdaten enorm wichtig, da diese als „sensibel“ gelten und besonderen Verarbeitungsbedingungen unterliegen.

Was können Schwachstellen sein?

Das größte Einfallstor sind wir selbst! Das fehlende Bewusstsein von Mitarbeiter:innen in Bezug auf IT- und Datensicherheit kann ein leichtes Ziel für Angreifer sein. Die schadhaften Dateien, die in die Systeme gelangen, werden oft als E-Mail-Anhänge verschickt und unbedacht angeklickt. Die häufigsten Angriffe sind:

Phishing: setzt sich aus den Wörtern “password” und “fishing” zusammen und ist eine Technik, mit der Cyberkriminelle durch Betrug, Täuschung oder Irreführung an vertrauliche persönliche Daten gelangen wollen. Wie erkenne ich Phishing und wie kann ich mich schützen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierfür Tipps zusammengestellt, u. a.:

  • Beachten Sie vor allem, dass kein seriöser Anbieter Sie dazu auffordern würde vertrauliche Zugangsdaten per E-Mail preiszugeben.
  • Überprüfen Sie stets die Adressleiste in Ihrem Browser und achten Sie auf verschlüsselte Websiten. Diese erkennen Sie an der Abkürzung "https://" in der Adresszeile sowie an dem kleinen Vorhängeschloss- Symbol neben der Adresszeile des Browsers.
  • Klicken Sie niemals auf Links in einer dubiosen E-Mail oder öffnen Anhänge einer verdächtigen E-Mail.

Ransom-Attacke: Hacker gelangen mit einem Schadprogramm in Ihr System und verschlüsseln relevante digitale Informationen, sodass Ihre Computer oder Programme blockiert werden. Zur Entsperrung wird ein Lösegeld (Ransom) verlangt. Was können Sie im Falle eines Angriffs tun? Das BSI hat hierfür 10 Schritte zur Infektionsbeseitigung zusammengestellt.

Was wird von Ihnen im Bereich IT-Sicherheit und Datenschutz erwartet?

Ein Grundpfeiler der Datensicherheit ist die Datenschutz-Grundverordnung (DSGVO). Sie bildet einen Rahmen für die Verarbeitung personenbezogener Daten. Im Zuge Ihrer ärztlichen Tätigkeit beginnt die Datenverarbeitung bei der Terminvereinbarung, ob online oder telefonisch oder beim Einlesen der elektronischen Gesundheitskarte (eGK) und erstreckt sich über das Ausfüllen und Aufbewahren der Patientenakte.

Praxen müssen verschiedene Maßnahmen zum Datenschutz aufstellen, u. a.:

  • Patientendaten dürfen niemals unverschlüsselt über das Internet, bspw. per E-Mail versendet werden.
  • Zugriffsberechtigungen des gesamten Teams auf Dateien und Ordner sind klar geregelt.
  • Patientenakten müssen sicher verwahrt werden, u. a. durch einen Passwortschutz der Computer und automatische Bildschirmsperren.
  • Bei Datenpannen oder Datenschutzverstößen muss eine Person festgelegt sein, die die Meldung an die Aufsichtsbehörde übernimmt

Im Januar 2021 trat die IT-Sicherheitsrichtlinie in Kraft, die die Sicherheitsanforderungen an Arztpraxen festlegt und ein Mindestmaß der Maßnahmen beschreibt, die Praxisinhaber:innen ergreifen müssen, um die IT-Sicherheit zu gewährleisten. Mit Beginn des Jahres 2022 sollen Praxen u. a. die nächste Schritte umsetzen: 

  • die Nutzung einer Firewall und regelmäßige Updates 
  • die sichere Grundkonfiguration für mobile Geräte wie Smartphones und Tablet

Bis zum Juli 2022 müssen Praxen ab mittlerer Größe (dazu gehören Praxen mit mehr als 6 ständig mit der Datenverarbeitung betrauten Personen) sind z. B. diese Anforderungen umgesetzt haben:

  • Einsatz einer sicheren zentralen Authentisierung in Windows-Netzen für Endgeräte mit dem Betriebssystem Windows
  • Einführung einer Richtlinie für Mitarbeiter:innen zur Benutzung von mobilen Geräten wie Smartphone und Tablet
  • Implementation von Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung

Die umfangreichen Maßnahmen für Praxen in verschiedenen Größen – mit bis zu 5, 6 bis 20 oder über 20 ständig mit der Datenverarbeitung betrauten Personen – finden Sie auf der Plattform der Kassenärztlichen Bundesvereinigung.

Handlungsempfehlungen für Ihre Praxis

Da Datenschutz und IT-Sicherheit Hand in Hand gehen, finden Sie hier noch einige Handlungsempfehlungen, die Sie unterstützen sollen, Risiken zu verringern.

Arbeitsplätze

  • Stellen Sie Computer, Drucker und Faxgeräte so auf, dass keine Praxisfremden, z. B. Patient:innen, Zugang dazu bekommen können.
  • Schalten Sie auf den PCs den Bildschirmschoner bzw. die Bildschirmsperre ein, so dass der Rechner bei Abwesenheit (z. B. 5 oder 10 Minuten) automatisch gesperrt wird.

Praxis-PCs, Server & Internet

  • Nutzen Sie komplexe Passwörter mit Groß- und Kleinschreibung, Sonderzeichen und Ziffern mit einer Mindestlänge von 8 Zeichen. Ein Passwort wie „123456” oder „passwort” sind ungeeignet, diese gehören zu den beliebtesten Passwörtern in Deutschland und werden deswegen sehr häufig genutzt.
  • Vergeben Sie unterschiedliche Passwörter für die Anmeldung am Betriebssystem und an Ihrem Praxisverwaltungssystem (PVS). 
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) bei den Diensten, die sie anbieten. Hierbei erfolgt die Anmeldung mit einem Passwort und einem zusätzlichen Faktor wie eine am Smartphone generierte PIN oder gesonderte SMS.
  • Nutzen Sie Virenschutzprogramm und Firewalls und führen Sie regelmäßig Updates Ihrer Programme und des Betriebssystems durch.
  • Verwenden Sie niemals fremde USB-Sticks (z. B. geschenkte oder gefundene), deren Herkunft Sie nicht genau kennen.

Kommunikation

  • Versenden Sie personenbezogene / medizinische Daten stets verschlüsselt. Nutzen Sie hierzu die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlenen Programme bzw. Standards wie S/MIME oder GnuPG.
  • Seien Sie kritisch bei E-Mails mit merkwürdigen Absender- oder Empfängeradressen und löschen Sie solche E-Mails besser direkt. Weitere Verdachtsmomente sind Inhalte, mit denen man offensichtlich nichts zu tun hat (z. B. Rechnungen von Online-Shops, wenn man dort gar nicht angemeldet ist) oder auch Webadressen und Anhänge, die man unbedingt anklicken oder öffnen soll.

Innerhalb Ihrer Organisation

  • Regeln Sie die Nutzung von privaten Geräten (Smartphones, Tablets) Ihres Teams zu dienstlichen Zwecken. Stellen Sie Regeln zur Nutzung auf und sensibilisieren Sie Ihre Mitarbeiter:innen für einen sicheren Umgang damit.
  • Erstellen Sie einen Notfallplan, um die Abläufe und Zuständigkeiten während der Bewältigung des Notfalles zu regeln.
  • Schließen Sie eine Cyberversicherung ab. Diese kann im Schadenfall (IT-Ausfall, Schadsoftware, Bedienungsfehler, vorsätzliche Manipulation etc.) die Kosten für Sachverständige erstatten, Schadenersatz leisten oder auch den Ertragsausfall nach einer Betriebsunterbrechung kompensieren.

Datenschutz bei Doctolib

Seit seiner Gründung im Jahr 2013 hat Doctolib den Schutz der Privatsphäre seiner Nutzer:innen zu einer absoluten Priorität gemacht und garantiert die vollständige Einhaltung durch verschiedene Maßnahmen, wie:

  • die Speicherung der Daten an einem sicheren Ort 
  • die Nutzung modernster Verschlüsselungen, u.a. durch die Übernahme von Tanker 
  • den bestmöglichen Schutz der Daten vor Cyber-Attacken.

Mehr Informationen zu den Verpflichtungen von Doctolib zum Datenschutz erhalten Sie hier.

Melden Sie sich jetzt zum Webinar „IT-Sicherheit und Datenschutz: Handlungsempfehlungen für Ihre Praxis“ am 28.01.2022 an und erfahren Sie noch mehr zum Thema IT-Sichrheit und Datenschutz in Ihrer Praxis.

Autor: Sven Zehl

Mehr
Mehr News aus Praxismanagement

ePaper

Endodontie Journal 03/25 Endodontie Journal 03/25 EDI Journal 02/25 EDI Journal 02/25 ceramic implants 01/25 ceramic implants 01/25 ZT Zahntechnik Zeitung 07/25 ZT Zahntechnik Zeitung 07/25 KN Kieferorthopädie Nachrichten 07/25 KN Kieferorthopädie Nachrichten 07/25 ZWP Zahnarzt Wirtschaft Praxis 07/25 ZWP Zahnarzt Wirtschaft Praxis 07/25 Alle ePaper