Skip to main content
Blog

Sind die Daten meiner Patienten sicher? Ein Selbsttest.

15. März 2025

Nicht erst seit der DSGVO ist das Thema Datenschutz in aller Munde. Man bestellt einen Datenschutzbeauftragten und bespricht praxisinterne Themen in einer WhatsApp Gruppe. Wer, wann und wo mitlesen kann ist dabei unklar und das nicht nur Ihnen.

Paradox – nicht wahr?

„Wird schon gut gehen! Wen soll das schon interessieren?“

Eine sehr trügerische Annahme. Der Missbrauch von vertraulichen Daten jedweder Art durch Unbefugte, ist bei genauerer Betrachtung eine Horrorvorstellung. Doch es gibt noch ein anderes Szenario, das nicht unbedingt weniger erschreckend ist. Stellen Sie sich vor, alle Patientendaten sind von einem Augenblick zum anderen nicht mehr verfügbar. Der Praxisbetrieb käme zum Erliegen.

Weder das Risiko des Datenmissbrauchs noch ein Datenverlust lassen sich zu 100% ausschließen. Auch wenn alle IT-Systeme korrekt installiert, die Mitarbeiter geschult und die geltenden Sicherheitsanforderungen der Kassenärztlichen Vereinigung erfüllt sind, kann es passieren, dass unbeabsichtigt oder durch technische Ausfälle die Praxis zum Erliegen kommt.

Betrachten wir hierfür ein paar Fakten:

  • 70% der erfolgreichen Cyberangriffe erfolgen per Email mit vermeintlichen Anhängen oder Links (GDV/2019)
  • 5-mal so viele falsche Emails seit Beginn der Corona Krise (https://www.it-daily.net/it-sicherheit/cyber-defence/23792-fuenfmal-mehr-malware-zum-coronavirus)
  • Mehr als 50% aller Unternehmen weltweit haben schon Schäden durch digitale Angriffe erlitten

Doch ist es lohnenswert eine Praxis zu infiltrieren und Patientendaten zu stehlen?

„Wir sind doch viel zu klein und unbekannt, um Hacker anzulocken.“

Die meisten Angriffe sind nicht zielgerichtet und beschränken sich auf eine einzelne Praxis. Es werden häufig Sicherheitslücken ausgenutzt, die viele betreffen könnten und man schickt die Schadsoftware an möglichst viele. Arztpraxen stellen aufgrund der Patientendaten ein attraktives Ziel dar, das häufig nur mangelhaft geschützt ist.

Nicht ohne Grund hat die Kassenärztliche Vereinigung eine Cyber-Versicherung als Schutz in Ihre Ratgeber mit aufgenommen. Die Risiken sind vielseitig und Praxen bieten ein einfaches Angriffsziel.

Trifft das auch auf unsere Praxis zu?

Hierzu haben wir ein paar Fragen zusammengestellt, die wir Ihnen zum Nachdenken mitgeben möchten.

Wer darf was?

Das Praxis-Verwaltungssystem (PVS) ist das Herzstück einer jeden Praxis. Es stellt sozusagen das elektronische (Daten-)Herz Ihrer Praxis dar. Arbeitet dieses Herz nicht mehr einwandfrei, d. h., die Daten stehen nicht mehr unverfälscht und vollständig zur Verfügung, hat man vielleicht noch das Glück, dass man auf veraltete Daten zurückgreifen kann aber in Zeiten von papierlosen Praxen und digitaler Patientenakte wird das nicht mehr weiterhelfen.

Möglich können hierbei zwei Ursachen sein. Fehler oder Probleme technischer Natur lassen sich durch neue IT-Komponenten oder die Reparatur beheben. Heute lassen sich allerdings Systeme so gestalten, dass sie völlig redundant funktionieren und die Praxis deswegen nicht stillstehen sollte.

Die zweite Ursache ist das Versagen aufgrund eines geschädigten Systems bspw. durch einen Cyberangriff.

Das „Wer darf was?“ ist hierbei von zentraler Bedeutung. In vielen Praxen haben alle Mitarbeiter kompletten Zugriff auf alle Daten oder können Software installieren. Wenn man ehrlich ist und sich fragt: „Ist das wirklich nötig, dass bspw. auch ich auf alles zugreifen kann?“, kann man in der Frage häufig mit „Nein“ beantworten. Folgende Fragen sollen dabei helfen herauszufinden, ob die Zugriffsrechte schon jetzt ein Problem darstellen:

  • Hat jeder Mitarbeiter (auch die Chefin oder der Chef) einen eigenen Login + Passwort?
  • Wird der Login auch von jedem verwendet oder wird aufgrund des Zeitdrucks der Login des ersten morgens durchgängig verwendet?
  • Werden Sie aufgefordert, in regelmäßigen Abständen Ihre Passwörter zu ändern?
  • Haben Sie auf alle Daten Zugriff, auch wenn Sie dies gar nicht benötigen oder können sogar Programme installieren?

Sogenannte Rollenkonzepte begrenzen die missbräuchliche Bedienung von PVS und anderen Systemen. Eine Rolle in der IT beschreibt u. a. die Zugangsrechte zu IT-Systemen und/oder die Zuord­nung vonAusführungsrechten innerhalb von Anwendungen.. Jeder kann dann nur die Funktionen nutzen, die für seine Arbeit notwendig sind. Verändert sich die Rolle der Mitar­bei­terIn innerhalb der Praxis, wird auch die entsprechende IT-Rolle angepasst. Auf diese Weise wird vermieden, dass eine unnötige, zu weit reichende Rechtevergabe, zu unautori­sier­ten Aktionen führen. Dies dient vor allem dem Schutz der MitarbeiterIn und des Systems. Stellen Sie sich vor, Sie erhalten einen USB-Stick mit EKG Daten eines Patienten und sollen diesen aufspielen. Der Patient hat unwissentlich als Trojaner-Wirt fungiert und der USB-Stick hat die Praxis mit einem Virus/Trojaner infiziert. Wenn die Rechte so vergeben sind, dass Sie keine Software ausführen bzw. installieren dürfen die nicht autorisiert ist, kann der Stick keinen größeren Schaden zufügen. Vereinfacht dargestellt, sind für dieses Problem nicht mehr als zwei Klicks notwendig.

Messenger-Dienste – die trojanischen Pferde in den vermeintlich sicheren Messengern

Messenger wie WhatsApp, Facebook Messenger, Instagram Nachrichten/Storys, Telegram u. a., werden gerne nicht nur im privaten, sondern auch vermehrt im dienstlichen Umfeld eingesetzt (immer mehr Praxen haben Social-Media Accounts). Die leichtfertige Verwendung von Messengern birgt ein enormes Schadenspotenzial für Praxen und Ihre Patienten. Aber worin liegen eigentlich die Risiken?

Auch wenn die Messenger im direkten Chat verschlüsselt sind, ist es etwas anderes, wenn über diese Verbindung Dokumente oder beliebige andere Dateien versendet werden. Diese müssen nicht zwangsweise auch verschlüsselt sein.

Wenn aus der Praxis Patientendaten an Patienten, Labore, Ärzte gesendet werden, ist nicht zwingend sichergestellt, dass nicht auch andere den Zugriff auf diese Daten erhalten könnten. Eine Datenschutzverletzung nach DSGVO liegt dann sowieso zwangsläufig vor.

Auch arbeitsrechtlich ist es schwierig, wenn z. B. in der internen Messenger-Gruppe über Krankschreibungen, Urlaub oder Dienste gesprochen wird.

Um nicht im Fehlerfall die Chats und Anhänge zu verlieren, verwenden die meisten Anwender der Messenger die vom Anbieter zur Verfügung gestellten Backup-Möglichkeiten. Die gesicherten Daten werden meist unver­schlüsselt gespeichert! Damit ist der Zugriff großer Internetkonzerne auf diese Daten gegeben.

Das ist nur ein Beispiel. Es ist auch durchaus üblich, dass Anhänge direkt in eine Cloud zur Speicher­ung geleitet werden, um den Handyspeicher zu entlasten. Aber: Wissen Sie welche Cloud Ihre Daten verschlüsselt speichert? Werden die Daten auf dem Weg zur Cloud bereits verschlüsselt oder erst auf dem Server (oft im nicht-europäischen Ausland) selbst?

Im Glauben, eine komfortable Kommunikationslösung mit Patienten zu verwenden, begehen Sie, sehr, sehr dünnes Eis. Überlegen Sie es sich deshalb sehr genau, diese Medien mit medizinischen Daten von Patienten zu beladen. Und: Private Handys sind für den Dienst­ge­brauch auf keinen Fall zu empfehlen!

Wie finanzieren sich eigentlich Suchmaschinen und was hat das mit IT-Sicherheit zu tun?

Google kennt wohl jeder als eine der ältesten und bekanntesten Suchmaschinen im Internet. Weltweit werden auf Google pro Tag 3,6 Milliarden „kostenlose“ Suchanfragen gestellt (Quelle: http://adwords-de.blogspot.com/2011/01/der-wahre-wert-der-suche.html).

Google analysiert im Gegenzug ihre Nutzerdaten, Suchverläufe und Historie im Internet. Entsprechend kann Ihnen Werbung personenbezogen eingespielt werden und das nicht nur in der Suchmaschine. Zuständig hierfür ist ein Tool namens AdWords. Ein Werbetreibender bestimmt die Bedingungen, die von AdWords analysiert werden sollen und gibt Google ein Budget, dass eingesetzt wird, um Ihnen Werbung zukommen zu lassen.

Ein weiteres mächtiges Tool ist Google Analytics. Es analysiert, wie der Name schon sagt, Ihr Nutzerverhalten im Internet. Hier nur ein kleiner Auszug der Aktivitäten:

  • Welche Seiten haben Nutzer angesehen?
  • Aus welchen Quellen, IT-Systemen kommen die Nutzer?
  • Wie hoch ist die Absprungrate für einzelne Landeseiten (verlassen der Website ohne eine Aktion)?
  • Live Nutzerbefragungen wie zum Beispiel mit https://rapidusertests.com
  • User Videos – Clicktale
  • Heatmaps – Crazyegg
  • Umfrage Tools – Survey Monkey oder Google Survey

Auch hier wird das Betreten einer Website in Verbindung mit dem Benutzer gebracht. Alle Aktivitäten dort werden analysiert. Werden über Websites auch Patienteninformationen verar­beitet, entsteht hier ein potenzielles Risiko, dass Daten in externe Hände gelangen, für die sie nie bedacht waren. Es ist deshalb empfeh­lenswert, Google Analytics mit den verfügbaren Tools im Browser zu deaktivieren.

Daten sind das Gold der Gegenwart und der Zukunft. Denken Sie deshalb immer daran, dass jeder Website-Besuch Spuren hinterlässt. Die private Nutzung des Internets in der Praxis sollte deshalb die Aus­nahme sein.

Was ist denn HTTPS?

Jeder, der sich im Internet bewegt, kennt im Browser in der Adressleiste das Wort http. Die Bedeutung dieses Adress-Kürzels ist nichts anderes als HyperText Transfer Protokoll. Es ist nichts anderes als ein Zugriffsverfahren auf Internetseiten.

HTTPS ist eine Erweiterung der Zugriffsmethode im Sinne des sicheren Zugriffs! Hypertext Transfer Protocol Secure (HTTPS, englisch für „sicheres Hypertext-Übertragungsprotokoll“) ist ein Kommunikationsprotokoll im Internet, mit dem Daten verschlüsselt übertra­gen werden können.

Wenn also im Browser Websites aufgerufen werden, achten Sie bitte immer darauf, dass am Anfang der Internetadresse HTTPS steht. Dann ist der Zugang zur Website verschlüs­selt.

Windows 7 – Sehr beliebt, aber inzwischen tot!

Oktober 2009 erblickte Windows 7 das Licht der Anwenderwelt. Der Lebenszyklus endete im Januar dieses Jahrs, unwiderruflich. Das bedeutet, dass Sicherheits-Updates für W7 nicht mehr verfüg­bar sind. Im wirklichen Leben heißt das, es sollte kein Praxis-Computer mehr dieses Betriebssystem betreiben! Es besteht sonst ein hohes Sicherheitsrisiko für die dort laufen­den Programme und den zu verarbei­tenden Daten.

Leider ist der Umstieg häufig nicht günstig und viele Arbeitgeber sträuben sich dagegen. Leider lädt man damit Kriminelle ein, Sicherheitslücken, die offengelegt wurden, frei zu nutzen. Microsoft erstellt keine sicherheitsrelevanten Updates mehr hierfür, außer es wurden diese explizit bei Microsoft bestellt.

Updates und andere nervige Meldungen

Wer kennt das nicht, dass irgendwo eine Meldung kommt, dass ein Update ansteht und dafür der PC neu gestartet werden muss. Natürlich schließt jeder von uns in diesem Moment alle offenen Programme, fährt den PC runter und trinkt in Ruhe einen Kaffee, denn der/die ChefIn und die Patienten haben dafür jedes Verständnis und warten gerne. Ein Beispiel hierzu ist ganz interessant: Die Schadsoftware WannaCry aus 2017 hat eine Sicherheitslücke ausgenutzt, die zum Zeitpunkt der meisten Schäden seitens der Softwarehersteller schon monatelang geschlossen war. Hiermit wurden unter anderem auch Praxen befallen und deren Daten unwiederbringlich verschlüsselt, sofern man nicht bereit war den Erpressern ein Lösegeld zu bezahlen. Es ging dabei nicht nur um Patientendaten, sondern auch um die Abrechnungsdaten.

Resümee: Updates sind nervig aber wichtig!

Firewall und Anti-Viren Programme sind die Türsteher vor Ihrem System

Eine Firewall ist im Prinzip ihr digitaler Türsteher oder Wachschutz. Eine Zutrittsanfrage aus dem Netzwerk wird gemäß der vorge­gebenen Regeln überprüft, ob der Anfrage stattgegeben werden darf und in das interne Netz weiter­geleitet wird. Umgekehrt gilt das allerdings auch. Kommt aus dem internen Netzwerk die Anfrage auf eine bestimmte Webpage zu gehen, wird von der Firewall geprüft, ob diese als unbedenklich eingestuft wird. Ist dem so, wird sie freigegeben und der Benutzer oder die IT-Komponente erhält Zugang zu dieser Webpage. Anderenfalls wird der Zugang verweigert und dem anfragenden System mitgeteilt: „Du kommst hier nicht rein!“

Was passiert nun, wenn sich doch eine Schadsoftware in das System geschlichen hat? Ein Anti-Viren Programm, achtet darauf, dass sich keine Viren, Trojaner und andere Software-Schadkomponenten im Sytem ausbreitet, um dort schwere Schäden zu verursachen. Da die Verbreitung neuer Viren und Trojaner ohne Unterlass stattfindet und täglich neue Exemplare auftauchen, ist es dringend empfohlen, die Schädlingssignaturen immer auf einem aktuellen Stand zu halten. Am besten geht das über die automatische Update-Funktion, bei der das Programm mehrmals am Tag automatisch nachschaut, ob es neue Signaturen gibt. Ist dem so, werden sie selbsttätig heruntergeladen und installiert.

Auch hier gilt daher: Updates sind nervig und wichtig!

IT-Raum, IT-Schrank – „Das elektronische Herz“ der Praxis

Ein Herz muss gut geschützt sein. In diesem Sinne auch die IT-Zentrale. Sie sollte auch nicht nebenbei eine Abstellkammer für alle möglichen Büroutensilien oder Reinigungsmittel sein. Der Zugang sollte auch nur denPersonen gestattet sein, die wirklich etwas mit der IT zu tun haben (und wissen was sie tun).

Die offene Tür zum Schrank oder IT-Raum birgt aber auch noch ganz andere Gefahren. Jeder, der sich in den Praxis-Räumen aufhält, könnte mehr oder weniger unbemerkt ungewollte Aktivitäten entwickeln. Sei es mit einem Griff Backup-Datenträger entwenden, in die Kabel greifen und Unterbrechungen herbeiführen oder sich einfach nur informieren, welche Systeme vorhanden sind.

Dem Reinigungspersonal Zutritt zu gewähren will auch gut überlegt sein. Ein Beispiel aus der Wirklichkeit. In einem großen deutschen Rechenzentrum ging abends, fast immer zur gleichen Zeit, ein Server vom Netz. Zwei Stunden später war er wieder aktiv. Niemand fand eine Erklärung für das Verhalten. Ein Rechenzentrumsmitarbeiter begab sich zum Beginn des erwarteten Ausfallzeitpunkts des Servers zu diesem hin, um gerade noch zu sehen, wie die Putzfrau einen Hebel am Server umlegte, um ihre kleine Tasche dort aufzuhängen! Das erklärte auch, dass sie den Hebel wieder zurückstellte, als sie fertig war und somit der Server wieder anlief.

Erkenntnis: Kein Zutritt für Unbefugte!

Offene WLAN-Geräte

Unter offene WLAN-Geräte sind hier z. B. Drucker oder Scanner gemeint, die als Vorein­stellung ein WLAN eingestellt haben. Machen Sie ganz einfach einen Test. Stellen Sie sich mit Ihrem Handy in die Praxis und schauen in die WLAN Liste. Wird dort ein offenes WLAN angezeigt, dass nicht passwortgeschützt ist oder ließe sich hinter dem einen oder anderen Netzwerknamen ein Produkt vermuten?

Damit ist gemeint, dass viele Hersteller ihre eigenen WLAN Namen nach den Produkten vergeben bspw. mit der Seriennummer des Druckers oder dem Druckerhersteller im Namen.

Bspw: [Druckerhersteller] 45839i WLAN

Diese WLAN sind häufig ein einfaches Einfallstor, da die Geräte, nach einiger Zeit zwar weiter genutzt werden aber nicht mehr upgedated werden und somit Sicherheitslücken entstehen.

Zum guten Schluss oder anders formuliert: Was machen wir denn im Fall der Fälle und jemand hat z. B. unbeabsichtigt einen falschen Mail-Anhang geöffnet und nichts funktioniert mehr?

Die in diesem Artikel angesprochenen Themen betreffen letztendlich alle Praxen. Jede Leserin und jeder Leser wird sich und seine Praxis bei dem einen oder anderen Punkt wiederer­kennen. Jedem, dem etwas aufgefallen ist, was in dem eigenen Bereich verbessert werden könnte, sollte den Arbeitgeber dazu ansprechen und auf evtl. Schwachstellen hinweisen. Schließlich stellt jede Schwachstelle ein Risiko für die Praxis, die Mitarbeiter und u. U. auch für die Patienten dar.

Die hier entstehenden Risiken lassen sich für eine Praxis durch eine Versicherung absichern. Eine sogenannte Cyber-Versicherung kann im Schadensfall nicht nur den finanziellen Schaden kompensieren, sondern bietet häufig eine eigene Schadensabwicklung mit IT-Experten, sodass Ihre Praxis schnell wieder läuft. Dennoch setzt diese voraus, dass der Zustand der IT einschlägige Sicherheitsmaßstäbe berücksichtigt und auch die für eine Praxis geltenden Technischen und Organisatorischen Maßnahmen (TOM) ausreichend gut implementiert sind. Ansonsten kann sich der Versicherer in vielen Fällen von der Schadenabwicklung zurückziehen, da die Bedingungen nicht eingehalten wurden.

Damit das nicht passiert ist es wichtig, dass die IT einer neutralen Risikoanalyse unterzogen wird, bevor die risikorelevanten Fragen für eine Versicherung beantwortet werden. Ein kleiner Tipp aus der Praxis: Die meisten Unternehmen und Arztpraxen haben Ihre IT-Experten, doch ist es hier interessant einen externen Partner für die Kontrolle zu Rate zu ziehen, da dieser vielleicht auch etwas genauer hinschaut, da es im Zweifel nicht die eigenen Fehler sind die entdeckt werden.

 

 

 

 

 

 

 

 

 

You May Also Like

Blog Roadmap für eine strukturierte Praxisabsicherung

Roadmap für eine strukturierte Praxisabsicherung

jan15. März 2025
Blog Risikoabsicherung im Praxisverkauf

Risikoabsicherung im Praxisverkauf

jan1. März 2025
Blog Private Krankenversicherung 1&1

Private Krankenversicherung 1&1

jan1. März 2025