Page 13 - xpress_Ausgabe 20.2
P. 13
Titelgeschichte
20 der 25 untersuchten Arztpraxen, in denen kument geöffnet und offenbar die Ausführung haupt keinen entsprechenden Vertrag mit ih-
alle Benutzer über Administratorrechte ver- eines Makros erlaubt, wodurch das darin ent- rem Dienstleister.
fügen. Wenn alle Mitarbeiter mit einem Admi- haltene Schadprogramm ausgeführt wurde.
nistratorzugang arbeiten, erleichtern sie einem Risiko Nummer 3: Unzureichende Datensi- Die IT-Sicherheitsrichtlinie kommt
Verschlüsselungstrojaner die Arbeit. Ebenfalls cherungen Experten erwarten durch die zunehmende Ver-
ein Sicherheitsrisiko: Keine der untersuchten Die Untersuchung ergab, dass alle Praxen min- netzung im Gesundheitswesen eine stärkere
Praxen prüft, ob noch alte Administratoren- destens einmal in der Woche ihre Daten si- Verwundbarkeit durch Cyberattacken. Für
rechte bestehen. chern. Was vielen Mitarbeitern offenbar nicht Krankenhäuser gelten bereits ab einer be-
Die Empfehlung von KBV und Bundesärzte- bewusst ist: Bei der Datensicherung können stimmten Größe (30 000 Fälle pro Jahr) beson-
kammer zur ärztlichen Schweigepflicht (Stand Fehler auftreten, die zu defekten Sicherungs- dere Sicherheitsbestimmungen. Sie zählen zur
2018) rät Ärzten zu mindestens acht Zeichen kopien führen. Nur vier der untersuchten Pra- „kritischen Infrastruktur“ und fallen unter die
langen Passwörtern. Generell gilt: Je länger, xen überprüfen, ob sie mit dem Back-up tat- KRITIS-Verordnung des Bundesamts für Si-
desto besser. Auskunft darüber, wie schnell ein sächlich ihre Daten im Notfall wiederherstel- cherheit in der Informationstechnik, kurz BSI.
Passwort geknackt werden kann, gibt zum Bei- len können. Ein weiterer Punkt: Datenträger, Für diese Krankenhäuser gibt es einen Umset-
spiel die Webseite „checkdeinpasswort.de“. die Sicherungskopien enthalten, können bei zungsplan, nach dem sie ihre Sicherheitsstan-
Danach könnte ein herkömmlicher PC das Pass- einem Einbruch in die Praxis oder unterwegs dards überarbeiten mussten. Für Arztpraxen
wort „Praxis“ in nur zwei Sekunden knacken. durch Diebstahl oder Unachtsamkeit verloren sieht das Digitale-Versorgung-Gesetz die Ein-
Für das Passwort „Unser Arzt ist der Beste“ gehen. Der Test ergab, dass nur neun Praxen führung einer IT-Sicherheitsrichtlinie vor, die
hingegen benötigt derselbe Computer 66 Bil- ihre Daten verschlüsseln. von der KBV erstellt und mit dem BSI abge-
liarden Jahre. Amerikanische Datenschützer stimmt werden muss (siehe Interview Seite
empfehlen solche ganzen Sätze, die als beson- 12). An dieser Richtlinie sollen sich Ärzte und
Nur neun Arztpraxen
ders sicher gelten, wenn sie auch die entspre- Systembetreuer orientieren, um die IT-Sicher-
verschlüsseln ihre
chenden Leerzeichen enthalten. Aber wer kann heit in der Praxis zu verbessern.
derlei Sätze fehlerfrei eingeben, wenn es ein- Bereits vor der Einführung dieser IT-Si-
mal schnell gehen muss? Eine Erleichterung, Sicherungskopien. cherheitsrichtlinie, die zum Sommer erwartet
die auch der VdS-Experte empfiehlt, bieten wird, können Arztpraxen mit einigen einfa-
Passwort-Manager. Mit ihnen lassen sich lange chen Maßnahmen ihre Sicherheit erhöhen.
Passwörter erzeugen und bei der täglichen Risiko Nummer 4: Fehlende Sicherheitsupdates Back-up-Festplatten sollten zum Beispiel nur
Arbeit verwenden, ohne dass sich der Benutzer Cyberkriminelle sind ständig auf der Suche nach für die Dauer der Datensicherung angeschlos-
diese merken muss. Die Anbieter von Pass- Schwachstellen im Betriebssystem und in Com- sen und durch ein besonderes Rechtemanage-
wort-Managern verschlüsseln ihre Daten, da- puterprogrammen, über die sie über das Inter- ment geschützt sein. Außerdem sollten Mitar-
mit sie bei einem Cyberangriff nicht in die net in IT-Systeme eindringen können. Die Soft- beiter nicht mit Administratorzugang im
falschen Hände fallen. Wer seine Zugangsdaten warehersteller reagieren auf bekannt gewor- Praxisnetz arbeiten.
keinem Passwort-Manager anvertrauen möch- dene Lecks in ihren Programmen, indem sie
Vertrauliche Daten im Netz
te, kann alternativ auch eine Zwei-Faktor-Au- Sicherheitsupdates bereitstellen. Überraschen-
thentifizierung verwenden. Nach Eingabe des des Ergebnis: Neun der 25 Praxen hatten nicht Worauf Arztpraxen noch achten sollten? Eine
Passworts wird dem Benutzer zum Beispiel ein die aktuellen Sicherheitsupdates installiert. Untersuchung der IT-Systeme von 1 200
Code auf sein Smartphone geschickt. Erst durch Risiko Nummer 5: Keine Vorbereitung auf den niedergelassenen Ärzten über das Internet mit
die Kombination aus Passwort- und Codeein- Notfall dem automatischen Analysetool Cysmo ergab,
gabe bekommt er Zugang zum Praxissystem. Nur eine der getesteten Praxen hat ein schrift- dass drei Viertel der Ärzte auf ihren Webseiten
Risiko Nummer 2: Arglose Mitarbeiter liches Notfallkonzept, das ihr bei einem Ausfall fremde Inhalte einbinden, wie zum Beispiel
Hacker lesen gerne Stellenanzeigen. Wenn eine der IT-Systeme hilft. Alle anderen vertrauen Google Maps. Allerdings müssen sie diesen
Arztpraxis der Arbeitsagentur eine offene Stel- darauf, dass es ihr IT-Dienstleister schon rich- Komfort mit der Offenlegung ihrer Daten be-
le meldet, erhält sie unter Umständen auch eine ten wird. Allerdings haben zehn Praxen über- zahlen. Praxen sollten daher regelmäßig
als Bewerbung getarnte Phishing-Mail. Die Ge-
fahr lauert wie üblich im Anhang und ist vielen
Praxismitarbeitern inzwischen bekannt. Des- SO MACHT ES MEDATIXX Q
halb hat der Sicherheitsexperte versucht, die
Medizinischen Fachangestellten mit Emotionen SERVICE. medatixx berät seine Kunden zu den datenschutz- und datensicherheitsrelevanten
zu überlisten. Er versendete die vermeintliche Aspekten einer Praxis-EDV-Anlage und unterbreitet konkrete Angebote für die initiale Installation
E-Mail eines Arztbewertungsportals mit dem und Einrichtung dieser Komponenten sowie deren regelmäßige Wartung und Aktualisierung. Für
Hinweis auf eine schlechte Bewertung: 6 der 25 die Schaffung und Einhaltung eines umfassenden Schutzniveaus empfiehlt es sich für die Praxen,
Arztpraxen konnten nicht widerstehen. Sie Hard- und Software von einem Anbieter zu beziehen. Dies ermöglicht dem Anbieter, aus einer Ge-
klickten auf den in der Mail enthaltenen Link samtsicht aufeinander abgestimmte Komponenten zu verwenden und mit der Praxis regelmäßige
und luden das anhängende Word-Dokument Pflegearbeiten zu vereinbaren.<
herunter. Eine Praxis hat sogar das Word-Do-
x.press 20.2 13