Logo der Kassenärztlichen Vereinigung Nordrhein

Navigation

Datensicherheit in Praxen: So schützen Sie sich vor Cyberangriffen

31.01.2018 KVNO aktuell, Praxisinfos

Cyberkriminelle haben es auch auf sensible medizinische Daten abgesehen. Wir verraten, wo genau Gefahren lauern und welche wichtigen Aspekte die ärztlichen und psychotherapeutischen Praxen zu diesem Thema beachten sollten.

Erfolgreiche Angriffe auf EDV-Strukturen kosten viel Geld, Reputation und können sogar Schäden für Leib und Leben bringen. Nur selten werden die Täter gefasst und wenige Betroffene möchten darüber berichten. 2016 machte das Lukaskrankenhaus in Neuss einen Cyberangriff öffentlich. Auch Praxen sind potenzielle Ziele solcher Angriffe. Das Dezernat Kriminalprävention Cybercrime der Kölner Polizei sensibilisiert in speziellen Fortbildungen auch Ärzte für das Thema und gibt konkrete Verhaltenshinweise. Kriminalhauptkommissar und Fachexperte Dirk Beerhenke betont vor allem, präventiv vorzugehen.

Die Grafik zeigt einen Arzt im Hintergrund und Begriffe aus dem Cybercrime im Vordergrund: Malware, Virus, Phishing, Trojan, Hacking, Cyber Attack, Firewall, Spam.

Achtung: Cyberangriffe werden vielschichtiger und raffinierter.

Präventive Maßnahmen treffen

„Wichtig ist es, in einer Arztpraxis physikalische Sicherungen vorzunehmen, indem man Netze voneinander trennt, etwa das interne Behandlungsnetzwerk vom Internetrechner und weiteren im öffentlichen Netz genutzten Geräten, zum Beispiel Tablets, Smartphones etc.“, rät Beerhenke.

Auch Kontakte zwischen den Netzen müssen präzise definiert sein, etwa über speziell hierzu vorgesehene, verschlüsselte und regelmäßig komplett formatierte USB-Sticks sowie Benutzernennungen. Will man das eigene WLAN Patienten gegenüber öffnen, ist ein Gastzugang in einem separaten Netz einzurichten. Außerdem sollten selbstverständlich alle Geräte mit einer stets aktuellen Virensoftware bestückt sein und regelmäßig Datensicherungen/Backups gegen Datenverluste durchgeführt werden.

Schwachstellen erkennen und absichern

„Machen Sie sich bewusst, dass es jede Menge Angriffsflächen gibt. Nicht nur Rechner, Tablets und Smartphones, sondern auch alle anderen internetfähigen medizintechnischen Geräte wie Röntgen-, Beatmungs- oder Narkosegeräte oder solche des Haushalts wie TV, Radio, vernetzte Kühlschränke und Kameras können gehackt werden“, warnt Beerhenke. Der Datenschutz sollte auch mögliche interne Schwachstellen im Blick haben, zum Beispiel den IT-Support der Praxis oder dass Mitarbeiter Daten zu einem neuen Arbeitgeber mitnehmen könnten.

Gängige Tricks der Cyerkriminellen

Einige Täter erschleichen sich Daten, andere blockieren das komplette System und erpressen Lösegeld, damit die Geschädigten wieder auf ihre eigenen Daten zugreifen können. Gängige Maschen sind auch sogenannte Supportangriffe, bei denen sich Betrüger als Mitarbeiter eines Betriebssystems ausgeben, Reparatur anbieten und es letztendlich „nur“ auf die Zahlungsdaten der Opfer abgesehen haben. Weitaus intelligenter und verheerender sind Angriffe mittels Kryptotrojaner.

Per E-Mail-Anhang oder Drive-by-Infection (unerwünschtes Herunterladen von Schadsoftware über eine Website) in das System eingeschleust, öffnen sie alle „Tore“ und infizieren im Extremfall das ganze Netzwerk inklusive Behandlungsgeräte. „Aktuell wird gern mit gefakten Bewerbungsunterlagen inklusive PDF-Anhang getrickst. Öffnet jemand die PDF-Datei, ist der Schaden eingetreten“, sagt Beerhenke.

Gruppen automatisierter Schadprogramme, die unerkannt auf vernetzten Rechnern laufen und parasitär deren Daten und Ressourcen nutzen – auch Botnetze genannt –, sind immer weiter verbreitet. Sogenannte DDoS-Angriffe (Distributed-Denial-of-Service-Angriffe) führen zum Ausfall von Webauftritten und Netzinfrastrukturen.

Vorbereitungen auf den „worst case“?

Im Falle X sollten sofort alle Geräte abgeschaltet werden. Anschließend muss eine komplette Säuberung erfolgen. Es ist kein Verlass darauf, dass ein Virenschutzprogramm alles beseitigt. Eine Neuinstallation des Betriebssystems ist aufwendig, aber die beste Lösung. Meist ist die Hilfe von Fachexperten notwendig.

„Stellen Sie sicher, dass Sie Ihr IT-Unternehmen rund um die Uhr erreichen können, und richten Sie für die Polizei einen Krisenraum ein“, rät der Kölner Kommissar. Hierzu gehört auch, Kommunikationspläne auf Papier vorzuhalten. Klone/Kopien wichtiger Datensätze anzulegen bewahrt im Schadensfall vor Datenverlust. Unerlässlich ist es auch, das gesamte Praxispersonal regelmäßig zu informieren und über Sicherheitsmaßnahmen auf dem Laufenden zu halten.

Fortbildungsmöglichkeiten

Die Kassenärztliche Vereinigung Nordrhein (KVNO) bietet von März bis November 2018 insgesamt vier Seminare in Düsseldorf und Köln zu Datenschutz und Datensicherheit in der Arztpraxis an. Es geht unter anderem um die Themen „Datenschutzmaßnahmen in der Arztpraxis“, „Umgang mit Internet, E-Mail und WLAN in der Praxis“, „Sicherung, Aufbewahrung und Vernichtung von Daten“ sowie „Die Rolle und Aufgaben des Datenschutzbeauftragten“.

Sigrid Müller

Seminare, Infos und Hilfe

Seminare

Die KV Nordrhein bietet von März bis November 2018 insgesamt vier Seminare in Düsseldorf und Köln zum Datenschutz und Datensicherheit in der Arztpraxis an. Es geht unter anderem um die Themen „Datenschutzmaßnahmen in der Arztpraxis; Umgang mit Internet, E-Mail und WLAN in der Praxis; Sicherung, Aufbewahrung und Vernichtung von Daten sowie die Rolle und Aufgaben des Datenschutzbeauftragten“.

Infos

susii.koeln Smart und Sicher im Internet (SUSII) die Präventionsseite des eco-Verbands der Internetwirtschaft e. V. in Kooperation mit der Polizei Köln. SUSII informiert und hilft Bürgern und Unternehmen beim sicheren Umgang mit dem Internet. Zudem erhalten Sie Informationen beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Hilfe

Claudia Pintaric
Telefon 0211 5970 8255
E-Mail

Franz-Josef Eschweiler
Telefon 0211 5970 8197
E-Mail