Titelgeschichte




        20 der 25 untersuchten Arztpraxen, in denen  kument geöffnet und offenbar die Ausführung  haupt keinen entsprechenden Vertrag mit ih-
        alle Benutzer über Administratorrechte ver-  eines Makros erlaubt, wodurch das darin ent-  rem Dienstleister.
        fügen. Wenn alle Mitarbeiter mit einem Admi-  haltene Schadprogramm ausgeführt wurde.
        nistratorzugang arbeiten, erleichtern sie einem   Risiko Nummer 3: Unzureichende Datensi-  Die IT-Sicherheitsrichtlinie kommt
        Verschlüsselungstrojaner die Arbeit. Ebenfalls  cherungen              Experten erwarten durch die zunehmende Ver-
        ein Sicherheitsrisiko: Keine der untersuchten  Die Untersuchung ergab, dass alle Praxen min-  netzung im Gesundheitswesen eine stärkere
        Praxen prüft, ob noch alte Administratoren-  destens einmal in der Woche ihre Daten si-  Verwundbarkeit durch Cyberattacken. Für
        rechte bestehen.                    chern. Was vielen Mitarbeitern offenbar nicht  Krankenhäuser gelten bereits ab einer be-
           Die Empfehlung von KBV und Bundesärzte-  bewusst ist: Bei der Datensicherung können  stimmten Größe (30 000 Fälle pro Jahr) beson-
        kammer zur ärztlichen Schweigepflicht (Stand  Fehler auftreten, die zu defekten Sicherungs-  dere Sicherheitsbestimmungen. Sie zählen zur
        2018) rät Ärzten zu mindestens acht Zeichen  kopien führen. Nur vier der untersuchten Pra-  „kritischen Infrastruktur“ und fallen unter die
        langen Passwörtern. Generell gilt: Je länger,  xen überprüfen, ob sie mit dem Back-up tat-  KRITIS-Verordnung des Bundesamts für Si-
        desto besser. Auskunft darüber, wie schnell ein  sächlich ihre Daten im Notfall wiederherstel-  cherheit in der Informationstechnik, kurz BSI.
        Passwort geknackt werden kann, gibt zum Bei-  len können. Ein weiterer Punkt: Datenträger,  Für diese Krankenhäuser gibt es einen Umset-
        spiel die Webseite „checkdeinpasswort.de“.  die Sicherungskopien enthalten, können bei  zungsplan, nach dem sie ihre Sicherheitsstan-
        Danach könnte ein herkömmlicher PC das Pass-  einem Einbruch in die Praxis oder unterwegs  dards überarbeiten mussten. Für Arztpraxen
        wort „Praxis“ in nur zwei Sekunden knacken.  durch Diebstahl oder Unachtsamkeit verloren  sieht das Digitale-Versorgung-Gesetz die Ein-
        Für das Passwort „Unser Arzt ist der Beste“  gehen. Der Test ergab, dass nur neun Praxen  führung einer IT-Sicherheitsrichtlinie vor, die
        hingegen benötigt derselbe Computer 66 Bil-  ihre Daten verschlüsseln.  von der KBV erstellt und mit dem BSI abge-
        liarden Jahre. Amerikanische Datenschützer                             stimmt werden muss (siehe Interview Seite
        empfehlen solche ganzen Sätze, die als beson-                          12). An dieser Richtlinie sollen sich Ärzte und
                                                   Nur neun Arztpraxen
        ders sicher gelten, wenn sie auch die entspre-                         Systembetreuer orientieren, um die IT-Sicher-
                                                    verschlüsseln ihre
        chenden Leerzeichen enthalten. Aber wer kann                           heit in der Praxis zu verbessern.
        derlei Sätze fehlerfrei eingeben, wenn es ein-                            Bereits vor der Einführung dieser IT-Si-
        mal schnell gehen muss? Eine Erleichterung,   Sicherungskopien.        cherheitsrichtlinie, die zum Sommer erwartet
        die auch der VdS-Experte empfiehlt, bieten                             wird, können Arztpraxen mit einigen einfa-
        Passwort-Manager. Mit ihnen lassen sich lange                          chen Maßnahmen ihre Sicherheit erhöhen.
        Passwörter erzeugen und bei der täglichen   Risiko Nummer 4: Fehlende Sicherheitsupdates  Back-up-Festplatten sollten zum Beispiel nur
        Arbeit verwenden, ohne dass sich der Benutzer  Cyberkriminelle sind ständig auf der Suche nach  für die Dauer der Datensicherung angeschlos-
        diese merken muss. Die Anbieter von Pass-  Schwachstellen im Betriebssystem und in Com-  sen und durch ein besonderes Rechtemanage-
        wort-Managern verschlüsseln ihre Daten, da-  puterprogrammen, über die sie über das Inter-  ment geschützt sein. Außerdem sollten Mitar-
        mit sie bei einem Cyberangriff nicht in die  net in IT-Systeme eindringen können. Die Soft-  beiter nicht mit Administratorzugang im
        falschen Hände fallen. Wer seine Zugangsdaten  warehersteller reagieren auf bekannt gewor-  Praxisnetz arbeiten.
        keinem Passwort-Manager anvertrauen möch- dene Lecks in ihren Programmen, indem sie
                                                                               Vertrauliche Daten im Netz
        te, kann alternativ auch eine Zwei-Faktor-Au-  Sicherheitsupdates bereitstellen. Überraschen-
        thentifizierung verwenden. Nach Eingabe des  des Ergebnis: Neun der 25 Praxen hatten nicht  Worauf Arztpraxen noch achten sollten? Eine
        Passworts wird dem Benutzer zum Beispiel ein  die aktuellen Sicherheitsupdates installiert.  Untersuchung  der  IT-Systeme  von  1 200
        Code auf sein Smartphone geschickt. Erst durch   Risiko Nummer 5: Keine Vorbereitung auf den   niedergelassenen Ärzten über das Internet mit
        die Kombination aus Passwort- und Codeein-  Notfall                    dem automatischen Analysetool Cysmo  ergab,
        gabe bekommt er Zugang zum Praxissystem.  Nur eine der getesteten Praxen hat ein schrift-  dass drei Viertel der Ärzte auf ihren Webseiten
           Risiko Nummer 2: Arglose Mitarbeiter  liches Notfallkonzept, das ihr bei einem Ausfall  fremde Inhalte einbinden, wie zum Beispiel
        Hacker lesen gerne Stellenanzeigen. Wenn eine  der IT-Systeme hilft. Alle anderen vertrauen  Google Maps. Allerdings müssen sie diesen
        Arztpraxis der Arbeitsagentur eine offene Stel-  darauf, dass es ihr IT-Dienstleister schon rich-  Komfort mit der Offenlegung ihrer Daten be-
        le meldet, erhält sie unter Umständen auch eine  ten wird. Allerdings haben zehn Praxen über-  zahlen. Praxen sollten daher regelmäßig
        als Bewerbung getarnte Phishing-Mail. Die Ge-
        fahr lauert wie üblich im Anhang und ist vielen
        Praxismitarbeitern inzwischen bekannt. Des-  SO MACHT ES MEDATIXX           Q

        halb hat der Sicherheitsexperte versucht, die
        Medizinischen Fachangestellten mit Emotionen   SERVICE. medatixx berät seine Kunden zu den datenschutz- und datensicherheitsrelevanten
        zu überlisten. Er versendete die vermeintliche   Aspekten einer Praxis-EDV-Anlage und unterbreitet konkrete Angebote für die initiale Installation
        E-Mail eines Arztbewertungsportals mit dem   und Einrichtung dieser Komponenten sowie deren regelmäßige Wartung und Aktualisierung. Für
        Hinweis auf eine schlechte Bewertung: 6 der 25   die Schaffung und Einhaltung eines umfassenden Schutzniveaus empfiehlt es sich für die Praxen,
        Arztpraxen konnten nicht widerstehen. Sie   Hard- und Software von einem Anbieter zu beziehen. Dies ermöglicht dem Anbieter, aus einer Ge-
        klickten auf den in der Mail enthaltenen Link   samtsicht aufeinander abgestimmte Komponenten zu verwenden und mit der Praxis regelmäßige
        und luden das anhängende Word-Dokument   Pflegearbeiten zu vereinbaren.<
        herunter. Eine Praxis hat sogar das Word-Do-

                                                                                                             x.press 20.2   13