IT-Sicherheit in der Zahnarztpraxis
Wie der Branchenreport des „Gesamtverbandes der Deutschen Versicherungswirtschaft e. V.“ zeigt, schätzt ein Großteil der Zahnärzte, Ärzte und Apotheker das eigene Risiko für einen Cyberangriff als gering ein. Diesem Fehlurteil steht die Einschätzung des „Bundesamtes für Sicherheit in der Informationstechnik“ (BSI) diametral gegenüber, welches die aktuelle IT-Bedrohungslage als hoch einstuft. Praxen und Laboren drohen durch eine Cyberattacke große Störungen im Betriebsablauf, Datenverlust oder ein kompletter Betriebsausfall. Welche präventiven Maßnahmen und Schritte aber bieten den richtigen Schutz? Was gilt es mit Blick auf sensible Patienteninformationen, die eigene Wirtschaftlichkeit und neue gesetzliche Vorgaben zu beachten?
Die Digitalisierung des Gesundheitsbereiches hat sich seit dem vergangenen Jahr stark beschleunigt. Die Corona-Krise wirkt wie ein zusätzlicher Brandbeschleuniger. Für Praxen und Labore hat die digitale Transformation im Alltag viele Vorteile, erzeugt aber auch neuen Druck. Denn gleichzeitig steigt mit ihr die Wahrscheinlichkeit, Opfer der immer häufiger auftretenden Cyberangriffe zu werden. Vernetzte Medizintechnik und die besonders sensiblen Patientendaten stellen hohe Anforderungen an die IT-Sicherheit.
Gerade der Gesundheitsbereich hat in diesem Zusammenhang durch den KV-SafeNet-Standard, die Europäische Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz besondere Pflichten. Damit verbunden ist für jede Geschäftsführung auch immer ein reales Haftungsrisiko aufgrund möglicher Verstöße. Dazu kommt, dass zahlreiche Ärzte, Labore und Zahnärzte statt auf konkrete IT-Sicherheitsmaßnahmen auf eine abgeschlossene Cyberversicherung setzen.
Die Wahrscheinlichkeit ist hoch, dass bei einem Cyberangriff aus einem solchen Vertrag in naher Zukunft keine Gelder mehr an Geschädigte fließen. Die erste Versicherung hat bereits u.a. für Frankreich angekündigt, kein Geld mehr zu zahlen, wenn ein Verschlüsselungstrojaner im Netzwerk zugeschlagen hat [1].
Der Grund ist simpel: Durch die steigenden Schadenssummen werden solche Vorfälle für die Versicherungen immer kostspieliger und damit riskanter. Voraussetzung für Leistung im Versicherungsfall wird absehbar die Erfüllung strikter IT-Sicherheitsvorgaben sein.
Mangelhafer IT-Schutz ist ein ökonomisches Risiko Mit welchen IT-Sicherheitsanforderungen sich Zahnarztpraxen und Zahnlabore grundsätzlich auseinandersetzen müssen, schreibt die seit April verpflichtend geltende IT-Sicherheitsrichtlinie der Kassenzahnärztlichen Bundesvereinigung (KZBV) fest [2]. Darin sind alle Anforderungen an die IT-Security je nach Praxisgröße verbindlich festgelegt. Laut Erfahrungen des deutschen IT-Sicherheitsherstellers Securepoint sind in den letzten Jahren zwar weit über 100.000 Praxen und Labore an die Telematikinfrastruktur des Gesundheitsbereiches angeschlossen worden [3]. Dabei wurde die IT-Sicherheit in Praxen jedoch sehr oft vernachlässigt.
In Deutschland gibt es derzeit insgesamt mehr als 140.000 Praxen von Ärzten, Zahnärzten und Psychotherapeuten, von denen der Großteil die gemeinsamen Vorgaben der KZBV und der Kassenärztlichen Bundesvereinigung (KBV) noch umsetzen muss. Für die Inhaber von Zahnarztpraxen und -laboren sowie für ihre IT- oder Datenschutzverantwortlichen bedeutet das, sich über die Konsequenzen eines potenziellen Cyberangriffs im Klaren zu sein und sich Gedanken über ihr konkretes digitales Risiko zu machen. Die Umsetzung entsprechender Schutzmaßnahmen bedeutet aus wirtschaftlicher Perspektive ein präventives Krisenmanagement. Beim Blick auf die Investition sollten der Reputationsverlust und die hohen ökonomischen Kosten berücksichtigt werden, die im Falle einer erfolgreichen Cyberattacke auf das eigene Unternehmen tatsächlich entstehen.
Dass im Gesundheitsbereich dringender Handlungsbedarf besteht, zeigt ein genauer Blick auf die nackten Zahlen des Cybersecurity-Branchenreports des „Gesamtverbandes der Deutschen Versicherungswirtschaft e. V.“ (GDV) [4]. Laut der Studie denkt jeder zweite Arzt, Zahnarzt oder Apotheker, dass sein Unternehmen zu klein wäre, um in den Fokus von Cyberkriminellen zu geraten. Die Angreifer machen jedoch keinen Unterschied zwischen Art oder Größe der Praxis oder des Labors. 80% der Teilnehmenden an der Studie denken zudem, dass sie ausreichend gegen Cyberkriminalität geschützt seien. Dass dies nicht der Realität entspricht, zeigt der Test, der im Zuge des GDV-Branchenreports durchgeführt wurde: Demnach wurde in fast 90% der getesteten Praxen bei mehreren Benutzern dieselbe Zugangskennung mit sehr einfachen oder gar keinen Passwörtern genutzt.
Allein dieses Alltagsbeispiel zeigt, dass entweder auf Einfachheit statt auf Schutz von Patientendaten gesetzt wird oder – und das wäre fatal – dass es weiterhin an einem grundlegenden Verständnis für einfache IT-Sicherheitsmaßnahmen fehlt. Den meisten der getesteten Praxen mag bewusst sein, dass ihre Arbeit von funktionierenden Computersystemen abhängig ist, doch die Risiken scheinen nicht ernstgenommen zu werden.
Eigene Risiken und Konsequenzen erkennen
Es muss sich etwas ändern. Durch den Report des GDV ist eindeutig festzustellen, dass die Eigen- und Fremdwahrnehmung bei Ärzten, Zahnärzten und Apothekern im Bereich IT-Sicherheit und Hackerangriffen stark auseinandergeht. Dabei wären 80% der Praxen und so gut wie jede Apotheke in Deutschland laut einer repräsentativen Forsa-Umfrage im Auftrag des GDV nach einem erfolgreichen Cyberangriff stark eingeschränkt oder müssten ihre Arbeit komplett einstellen. Demnach wären „bei einem mehrtägigen Ausfall der IT nach eigenen Angaben 78% der Praxen […] sehr stark oder eher stark eingeschränkt“. Der GDV zieht in seinem Branchenreport zur Cybersecurity eine erschreckend eindeutige Bilanz: „Die laschen Schutzvorkehrungen stehen im krassen Widerspruch zu den sensiblen Daten, über die Ärzte verfügen, und die sie zu einem beliebten Angriffsziel von Hackern machen. Kommen Kriminelle in ihren Besitz, haben sie etwas gegen den Mediziner in der Hand.“
Erfolgreiche Cyberangriffe folgen oft einem ähnlichen Schema. Es wird versucht, Verschlüsselungsprogramme oder andere Schadsoftware zu installieren. Das funktioniert z.B. über kompromittierte Fernzugriffzugänge auf einzelne Computersysteme oder zu ganzen Netzwerken und die Schwachstelle Mensch. Dieses Vorgehen ermöglicht bspw. das Kopieren von sensiblen Patientendaten und deren Weiterverkauf. Das Ziel der Kriminellen ist einfach: finanzieller Gewinn. Bei Erfolg eines Cyberangriffs mit einem Verschlüsselungs-trojaner, sogenannter „Ransomware“, erhalten die Praxen oder Labore eine Lösegeldforderung, um die verschlüsselten Daten freischalten zu lassen. Oft werden Daten in einem solchen Fall gelöscht oder manipuliert, um die Unternehmen zu schädigen.
Vielfältige Angriffsvektoren
Die Verbreitungsarten von Schadprogrammen sind vielseitig. Es gibt z.B. mehrere Wege, wie Ransomware auf ein System oder in ein Netzwerk gelangen kann. Über die klassische E-Mail wird diese Schadsoftware seit Jahren erfolgreich verteilt. Hierbei greifen Kriminelle auf den digitalen Enkeltrick, d.h. „Social Engineering“, zurück und kontaktieren die Opfer mit täuschend echt aussehenden Nachrichten. Die E-Mails sind meist einwandfrei formuliert und beinhalten echte personenbezogene Daten, z.B. in Bezug auf ausgeschriebene Stellenangebote, nicht beglichene Rechnungen oder Mahnungen. Anwender werden gut getarnt dazu verleitet, ein angehängtes Dokument zu öffnen und weitere Schritte aktiv vorzunehmen. Auch das unbeabsichtigte Herunterladen von Software auf ein System stellt eine große Gefahr für Unternehmen und Behörden dar. Solche „Drive-by-Downloads“ infizieren Rechner „im Vorbeigehen“, ohne dass Anwender zu einer Interaktion auf der besuchten Webseite verleitet werden.
Diese und andere Angriffsvektoren verändern sich jederzeit. Die Kombination aus Spionage, Sabotage und Erpressung ist eine große Herausforderung, gegen die es zu schützen gilt. Um den positiven Effekt auf die Netzwerksicherheit für Unternehmen zu maximieren, sollte bei der Umsetzung die Kooperation bestimmter Lösungen im Vordergrund stehen. Damit lässt sich ein sehr hoher Schutz der Netzwerke und der damit verbundenen Geräte erreichen. Regelmäßige Aktualisierungen aller Programme sind absolut notwendig, wenn die Sicherheit eines Netzwerks auf einem zuverlässigen und aktuellen Niveau gehalten werden soll.
Bausteine guter Netzwerksicherheit kombinieren
Eine UTM-Firewall ist für den Schutz von Geräten und Netzwerken in Zahnarztpraxen und Laboren unerlässlich. Diese „Brandschutzmauer“ zwischen den Rechnern eines Netzwerks und potenziellen Angriffen aus dem Internet funktioniert über mehrere Sicherheits- und Filtermechanismen. Diese sind mit den Sicherheitsvorkehrungen eines Autos vergleichbar: Während Gurte, Nackenstützen, Airbags und Knautschzone jeweils verschiedene Schutzfunktionen für verschiedene Bedrohungen übernehmen, wirken alle Bestandteile gemeinsam auf die größtmögliche Sicherheit hin. Für ein gutes Sicherheitsniveau des Netzwerks ist außerdem ein Virenscanner unverzichtbar. Solch eine Lösung ist im besten Fall gleichbedeutet mit Mail-Sicherheit und Anti-Spam. Gefährliche Mails und Viren werden so bereits gefiltert oder müssen in Quarantäne, bevor sie Anwender überhaupt erreichen. Wichtig dafür ist eine schnelle, ressourcenschonende Systemarchitektur.
Smartphones, Tablets und Notebooks werden auch in Praxen und Laboren immer stärker genutzt. Beim Thema Netzwerksicherheit muss daher unbedingt an den Schutz mobiler Geräte gedacht werden. Nur mit einer entsprechenden Lösung werden Datenschutzanforderungen erfüllt, die Kontrolle über die Geräte behalten und der Datenfluss verschlüsselt. Die Firewall für unterwegs bringt der Sicherheit eines Unternehmensnetzes einen enormen Schub nach vorn. Eine 100%ige Sicherheit gibt es jedoch nicht. Das gilt auch für ein Netzwerk. In technischen Lösungen kommen Fehlfunktionen vor und Menschen machen Fehler. Egal, ob Datenverlust durch einen Cyberangriff, Unfälle, Brände oder andere Gefahren – ein Backup und die Möglichkeit der Wiederherstellung von Daten ist ein zentraler Bestandteil guter Netzwerksicherheit.
Eigene Wahrnehmung für IT-Sicherheit und Hackerangriffe stärken
Ohne eine bestimmte Handlung eines Anwenders ist eine Infektion mit Schadprogrammen fast unmöglich. Zu einem festen Bestandteil jedes nachhaltigen IT-Sicherheitskonzeptes gehört eine regelmäßige Schulung von Mitarbeitenden zur Sensibilisierung gegenüber den Risiken durch Hackerangriffe und Sicherheitsverstöße.
Durch die richtigen Praktiken und „Cyber Security Awareness“ stärken Unternehmen ihre Mitarbeitenden und machen sie zu einer bedeutenden, individuellen Sicherheitsinstanz – der „Human Firewall“. Die richtige Umsetzung von IT-Sicherheitsmaßnahmen stellt aus wirtschaftlicher Perspektive also präventives Krisenmanagement im Sinne des Business Continuity Managements dar. Für ein maximales Schutzniveau sollten Praxen und Labore ausschließlich auf sichere IT-Produkte setzen.
Solche Lösungen sind frei von Funktionen, die die Integrität, Vertraulichkeit und Verfügbarkeit der Hard- und Software oder von Daten gefährden. Das sichert neben dem wirtschaftlichen Erfolg auch das Vertrauen von Patienten, Kunden und Geschäftspartnern. Nur mit diesem Mindset können Zahnarztpraxen und Labore die eigene Digitalisierung sicher und erfolgreich gestalten.
Fazit
Individuelle Risiken und Konsequenzen erkennen und handeln
Gut eingesetzte IT-Sicherheit bedeutet präventives Krisenmanagement
Nur die Kombination der richtigen Bausteine wirkt
[Oktober 2021] Zahnheilkunde Management Kultur ZMK
Autor: Lajos A. Sperling