Page 12 - xpress_Ausgabe 20.2
P. 12
Titelgeschichte
INTERVIEW „DIE IT-SICHERHEITSRICHTLINIE MUSS UMSETZBAR SEIN“
Holger Rostek, stellvertretender Vorsitzender des Vorstands der KV Brandenburg, setzt sich dafür ein, dass die
geplante IT-Sicherheitsrichtlinie für Arztpraxen kein Bürokratiemonster wird, das den niedergelassenen Arzt
überfordert und im Arbeitsalltag nur schwer umsetzbar ist.
HOLGER ROSTEK
Î ÎWozu benötigen Arztpraxen eine IT-Sicherheitsrichtlinie? ment System) geben, was werden die kosten und ist stellvertretender Vorsitzen- Abb.: KV Brandenburg
Die Arztpraxen stehen vor der Herausforderung, den digitalen Transformati- werden sie flächendeckend zur Verfügung ste- der des Vorstands und zustän-
dig für Digitalisierung in der
onsprozess, auch unter dem Gesichtspunkt der IT-Sicherheit, erfolgreich zu hen? Wir haben ja häufig noch die Situation, Kassenärztlichen Vereinigung
managen. Sich nur um Firewalls und Virenscanner zu kümmern, wäre zu kurz dass es gerade im ländlichen Umfeld Systembe- Brandenburg.
gegriffen. Künftige Anwendungen wie die eAU, das elektronische Rezept treuer gibt, die neben einer Arztpraxis auch noch eine Steuerkanzlei und ei-
oder die elektronische Patientenakte, aber auch KI-Systeme wie Ada und nen Handwerksbetrieb betreuen. Ich bin gespannt, ob diese Dienstleister in
viele weitere digitale Innovationen werden sich in den kommenden Jahren der Lage sein werden, die IT-Sicherheitsrichtlinie umzusetzen.
massiv auf den Arbeitsalltag der Arztpraxen auswirken. Wir müssen Ärzte
und Praxisteams befähigen, diesen Veränderungsprozess zu bewältigen. Mit Î ÎWas ändert sich für die Arztpraxis?
der Digitalisierung ist es wie mit der Hygiene in den Praxen. Der Arzt muss Wenn ein Techniker ein defektes Röntgengerät repariert hat und unter-
sich damit beschäftigen, muss Vorsorgemaßnahmen treffen, diese regelmä- schrieben hat, dass es dem neuesten Stand der Technik entspricht und der
ßig überprüfen und aktualisieren. Dies alles kostet Zeit. Es handelt sich um Richtlinie nach sicher ist, wird kein Arzt auf die Idee kommen, es aufzu-
ein neues Aufgabenfeld für die Praxen, das es in dieser Form und Dimension schrauben und selbst Veränderungen vorzunehmen. Bei der IT ist es schwie-
noch nicht gab. Die Praxen müssen für dieses Thema sensibilisiert werden, riger. Wer stellt sicher, dass eine vom Systembetreuer eingerichtete Firewall
und hier sehe ich die IT-Sicherheitsrichtlinie als einen ersten Schritt. nicht am nächsten Tag von einem Praxismitarbeiter wieder „verstellt“ wird?
Wir müssen mit der Industrie besprechen, wie wir so etwas auf Dauer sicher-
Î ÎWie hilfreich wird die IT-Sicherheitsrichtlinie sein, die im Sommer in stellen können. Ich könnte mir vorstellen, dass zum Beispiel die Praxis mit
Kraft treten soll? dem Servicebetreuer einen Fullservice-Vertrag abschließt und dieser dann
Die Sicherheitsrichtlinie wird den Rahmen vorgeben, den eine Arztpraxis im die gesamte IT-Sicherheit in der Praxis managt und verantwortet. Der Arzt
Bereich der IT-Sicherheit zu erfüllen hat. Wenn der Arzt die einzelnen Punkte ist dann auf der sicheren Seite, was IT-Sicherheit und Datenschutz anbe-
dieser Leitlinie einhält, ist er haftungstechnisch auf der sicheren Seite. Span- langt, aber er verliert die Hoheit über seine IT – nicht aber über seine Daten
nend wird es bei der Frage, wie die Leitlinie im Alltag umsetzbar ist. Denn das – hier muss sichergestellt sein, dass der Zugriff dem Arzt und Praxispersonal
DVG bestimmt nicht nur, dass die KBV diese Leitlinie mit dem BSI abstimmt. Die vorbehalten bleibt.
Leitlinie muss auch dem aktuellen Stand der Technik entsprechen, an die Be-
drohungslage angepasst und regelmäßig aktualisiert werden. Ähnliche Leitlini- Î ÎIhre Vision für das Jahr 2030?
en der Industrie- und Handelskammern beispielsweise sind mehrere Dutzend Da die Digitalisierung in den Arztpraxen noch zunehmen wird, könnte ich mir
Seiten lang. Kein Arzt – wir reden hier von einem Kleinunternehmer – wird ein gut vorstellen, dass die gesamte Praxis-IT in einigen Jahren in die Cloud wan-
zu umfangreiches Dokument umsetzen können. Wir müssen die Sicherheits- dert, so wie das heute bereits bei der DATEV, einer Genossenschaft der Steuer-
richtlinie in einer Form publizieren, dass zum Beispiel ein Allgemeinmediziner berater und Rechtsanwälte, der Fall ist. Die Anwender möchten aus Sicher-
konkrete Handlungsempfehlungen daraus für seine Praxis ableiten kann. Da heitsgründen weder die IT noch die Daten in ihren Büros haben. Ähnlich wie
der Arzt dies allein nicht leisten kann, benötigt er jemanden für die Umsetzung. bei Office 365 von Microsoft läuft die Software in der Cloud ab, und nur ein
kleiner Teil des Programmcodes wird auf den lokalen Rechner geladen. Die
Î ÎWer käme hierfür in Betracht? Mandantendaten werden verschlüsselt in die Cloud übertragen und nur zur
Es ist noch nicht geklärt, welche Systembetreuer die IT-Sicherheitsrichtlinie Bearbeitung auf dem PC entschlüsselt. Für die Arztpraxen wird es solche
umsetzen werden. Ich bin sehr gespannt, wie sich der Markt dazu aufstellen Cloud-Lösungen erst geben, wenn sie nachweisbar sicher sind und technisch
wird. Wird es zertifizierte ISMS-Beauftragte (Information Security Manage- so umgesetzt werden können, dass sie problemlos in den Praxen laufen.<
Die fünf größten Risiken
Dabei schleust der kriminelle Hacker über ei- beliebt sind auch andere, sehr leicht zu erra-
nen E-Mail-Anhang ein Schadprogramm auf Phishing-Mails gehören dem GdV-Report zu- tende Passwörter wie „Behandlung“ sowie die
einen Praxis-PC, welches von einem arglosen folge zu den größten Risikofaktoren für die Namen der Praxis oder des Arztes. 22 der un-
Mitarbeiter aktiviert wird. In der Regel ver- IT-Sicherheit in einer Arztpraxis. Das Ergebnis tersuchten Arztpraxen verwenden diese ein-
schlüsselt der Trojaner die Daten aller Fest- der Sicherheitsüberprüfung in 25 Arztpraxen fachen Passwörter – oder verzichten völlig auf
platten im Praxisnetz, auf die er zugreifen fiel insgesamt wenig schmeichelhaft aus. Hier einen Zugangsschutz. Nicht besser: Ebenfalls
kann. Das Opfer muss damit rechnen, dass die wichtigsten Risiken: in 22 Praxen teilen sich mehrere Benutzer die-
auch Daten abfließen, die als Druckmittel ver- Risiko Nummer 1: Passwörter selbe Zugangskennung, was einem Angreifer
wendet oder im Darknet zum Verkauf angebo- Der Sicherheitsexperte gelangt mit dem Pass- vor Ort das Ausspähen erheblich erleichtert.
ten werden. wort „Praxis“ in jede zweite Praxis-IT. Sehr Ein noch größeres Sicherheitsrisiko besteht in
12 x.press 20.2