Page 12 - xpress_Ausgabe 20.2
P. 12

Titelgeschichte




        INTERVIEW         „DIE IT-SICHERHEITSRICHTLINIE MUSS UMSETZBAR SEIN“

          Holger Rostek, stellvertretender Vorsitzender des Vorstands der KV Brandenburg, setzt sich dafür ein, dass die
          geplante IT-Sicherheitsrichtlinie für Arztpraxen kein Bürokratiemonster wird, das den niedergelassenen Arzt
          überfordert und im Arbeitsalltag nur schwer umsetzbar ist.

                                                                                              HOLGER ROSTEK
          Î ÎWozu benötigen Arztpraxen eine IT-Sicherheitsrichtlinie?  ment System) geben, was werden die kosten und   ist stellvertretender Vorsitzen-  Abb.: KV Brandenburg
          Die Arztpraxen stehen vor der Herausforderung, den digitalen Transformati-  werden sie flächendeckend zur Verfügung ste-  der des Vorstands und zustän-
                                                                                              dig für Digitalisierung in der
          onsprozess, auch unter dem Gesichtspunkt der IT-Sicherheit, erfolgreich zu   hen? Wir haben ja häufig noch die Situation,   Kassenärztlichen Vereinigung
          managen. Sich nur um Firewalls und Virenscanner zu kümmern, wäre zu kurz   dass es gerade im ländlichen Umfeld Systembe-  Brandenburg.
          gegriffen. Künftige Anwendungen wie die eAU, das elektronische Rezept   treuer gibt, die neben einer Arztpraxis auch noch eine Steuerkanzlei und ei-
          oder die elektronische Patientenakte, aber auch KI-Systeme wie Ada und    nen Handwerksbetrieb betreuen. Ich bin gespannt, ob diese Dienstleister in
          viele weitere digitale Innovationen werden sich in den kommenden Jahren   der Lage sein werden, die IT-Sicherheitsrichtlinie umzusetzen.
          massiv auf den Arbeitsalltag der Arztpraxen auswirken. Wir müssen Ärzte
          und Praxisteams befähigen, diesen Veränderungsprozess zu bewältigen. Mit   Î ÎWas ändert sich für die Arztpraxis?
          der Digitalisierung ist es wie mit der Hygiene in den Praxen. Der Arzt muss   Wenn ein Techniker ein defektes Röntgengerät repariert hat und unter-
          sich damit beschäftigen, muss Vorsorgemaßnahmen treffen, diese regelmä-  schrieben hat, dass es dem neuesten Stand der Technik entspricht und der
          ßig überprüfen und aktualisieren. Dies alles kostet Zeit. Es handelt sich um   Richtlinie nach sicher ist, wird kein Arzt auf die Idee kommen, es aufzu-
          ein neues Aufgabenfeld für die Praxen, das es in dieser Form und Dimension   schrauben und selbst Veränderungen vorzunehmen. Bei der IT ist es schwie-
          noch nicht gab. Die Praxen müssen für dieses Thema sensibilisiert werden,   riger. Wer stellt sicher, dass eine vom Systembetreuer eingerichtete Firewall
          und hier sehe ich die IT-Sicherheitsrichtlinie als einen ersten Schritt.  nicht am nächsten Tag von einem Praxismitarbeiter wieder „verstellt“ wird?
                                                             Wir müssen mit der Industrie besprechen, wie wir so etwas auf Dauer sicher-
          Î ÎWie hilfreich wird die IT-Sicherheitsrichtlinie sein, die im Sommer in   stellen können. Ich könnte mir vorstellen, dass zum Beispiel die Praxis mit
          Kraft treten soll?                                 dem Servicebetreuer einen Fullservice-Vertrag abschließt und dieser dann
          Die Sicherheitsrichtlinie wird den Rahmen vorgeben, den eine Arztpraxis im    die gesamte IT-Sicherheit in der Praxis managt und verantwortet. Der Arzt
          Bereich der IT-Sicherheit zu erfüllen hat. Wenn der Arzt die einzelnen Punkte   ist dann auf der sicheren Seite, was IT-Sicherheit und Datenschutz anbe-
          dieser Leitlinie einhält, ist er haftungstechnisch auf der sicheren Seite. Span-  langt, aber er verliert die Hoheit über seine IT – nicht aber über seine Daten
          nend wird es bei der Frage, wie die Leitlinie im Alltag umsetzbar ist. Denn das   – hier muss sichergestellt sein, dass der Zugriff dem Arzt und Praxispersonal
          DVG bestimmt nicht nur, dass die KBV diese Leitlinie mit dem BSI abstimmt. Die   vorbehalten bleibt.
          Leitlinie muss auch dem aktuellen Stand der Technik entsprechen, an die Be-
          drohungslage angepasst und regelmäßig aktualisiert werden. Ähnliche Leitlini-  Î ÎIhre Vision für das Jahr 2030?
          en der Industrie- und Handelskammern beispielsweise sind mehrere Dutzend   Da die Digitalisierung in den Arztpraxen noch zunehmen wird, könnte ich mir
          Seiten lang. Kein Arzt – wir reden hier von einem Kleinunternehmer – wird ein   gut vorstellen, dass die gesamte Praxis-IT in einigen Jahren in die Cloud wan-
          zu umfangreiches Dokument umsetzen können. Wir müssen die Sicherheits-  dert, so wie das heute bereits bei der DATEV, einer Genossenschaft der Steuer-
          richtlinie in einer Form publizieren, dass zum Beispiel ein Allgemeinmediziner   berater und Rechtsanwälte, der Fall ist. Die Anwender möchten aus Sicher-
          konkrete Handlungsempfehlungen daraus für seine Praxis ableiten kann. Da   heitsgründen weder die IT noch die Daten in ihren Büros haben. Ähnlich wie
          der Arzt dies allein nicht leisten kann, benötigt er jemanden für die Umsetzung.  bei Office 365 von Microsoft läuft die Software in der Cloud ab, und nur ein
                                                             kleiner Teil des Programmcodes wird auf den lokalen Rechner geladen. Die
          Î ÎWer käme hierfür in Betracht?                   Mandantendaten werden verschlüsselt in die Cloud übertragen und nur zur
          Es ist noch nicht geklärt, welche Systembetreuer die IT-Sicherheitsrichtlinie   Bearbeitung auf dem PC entschlüsselt. Für die Arztpraxen wird es solche
          umsetzen werden. Ich bin sehr gespannt, wie sich der Markt dazu aufstellen   Cloud-Lösungen erst geben, wenn sie nachweisbar sicher sind und technisch
          wird. Wird es zertifizierte ISMS-Beauftragte (Information Security Manage-  so umgesetzt werden können, dass sie problemlos in den Praxen laufen.<



                                           Die fünf größten Risiken
        Dabei schleust der kriminelle Hacker über ei-                          beliebt sind auch andere, sehr leicht zu erra-
        nen E-Mail-Anhang ein Schadprogramm auf  Phishing-Mails gehören dem GdV-Report zu-  tende Passwörter wie „Behandlung“ sowie die
        einen Praxis-PC, welches von einem arglosen  folge zu den größten Risikofaktoren für die  Namen der Praxis oder des Arztes. 22 der un-
        Mitarbeiter aktiviert wird. In der Regel ver-  IT-Sicherheit in einer Arztpraxis. Das Ergebnis  tersuchten Arztpraxen verwenden diese ein-
        schlüsselt der Trojaner die Daten aller Fest-  der Sicherheitsüberprüfung in 25 Arztpraxen  fachen Passwörter – oder verzichten völlig auf
        platten im Praxisnetz, auf die er zugreifen  fiel insgesamt wenig schmeichelhaft aus. Hier  einen Zugangsschutz. Nicht besser: Ebenfalls
        kann. Das Opfer muss damit rechnen, dass   die wichtigsten Risiken:    in 22 Praxen teilen sich mehrere Benutzer die-
        auch Daten abfließen, die als Druckmittel ver-  Risiko Nummer 1: Passwörter  selbe Zugangskennung, was einem Angreifer
        wendet oder im Darknet zum Verkauf angebo-  Der Sicherheitsexperte gelangt mit dem Pass-  vor Ort das Ausspähen erheblich erleichtert.
        ten werden.                        wort „Praxis“ in jede zweite Praxis-IT. Sehr  Ein noch größeres Sicherheitsrisiko besteht in

    12   x.press 20.2
   7   8   9   10   11   12   13   14   15   16   17