Cyber-Attacken: Diese Schutzmaßnahmen sollten Praxen treffen

Der Schutz von Patientendaten ist das oberste Gebot im Gesundheitswesen. Folglich spielen die Themen Datenschutz und Datensicherheit eine immer wichtigere Rolle innerhalb der Branche – und das aus gutem Grund, denn im Zuge der fortschreitenden Digitalisierung nimmt auch die Anzahl von Cyberangriffen zu, die eine echte Gefahr für den Praxisbetrieb darstellen. Zuletzt warnte die Kassenärztliche Bundesvereinigung (KBV) vor einer steigenden Anzahl von Hackerangriffen und unterstrich damit nochmals deutlich die konkrete Bedrohungslage.

Seit im November 2021 ein namhafter PVS-Anbieter Opfer einer Cyberattacke wurde, hat die Debatte um die Sicherheit von Patientendaten neuen Auftrieb erhalten. Bei dem Hackerangriff auf das interne IT-System des Softwarehauses war sogenannte Ransomware (zu deutsch: Erpressersoftware) zum Einsatz gekommen, die Teile des internen IT-Systems verschlüsselte und damit für die Nutzung unbrauchbar machte. Anfang Juni 2024 wurde außerdem bekannt, dass auf den IT-Dienstleister NHS des britischen Gesundheitswesens ein ähnlicher Hackerangriff ausgeübt wurde. Infolgedessen konnten mehrere Londoner Krankenhäuser Blutgruppentests nicht wie gewohnt durchführen und riefen zu Spenden auf, um die Patientenversorgung weiterhin zu gewährleisten.

Viele Akteure des Gesundheitswesens fragen sich jetzt zurecht: Wie kann eine derartige Attacke verhindert werden? Lassen sich die Patientendaten trotz eines Angriffs wirksam vor dem Zugriff Unbefugter schützen? Und wenn ja: Welche Maßnahmen müssen vorab ergriffen werden? Um diese Fragen beantworten zu können, werfen wir zunächst einen Blick auf die verschiedenen Formen von Hackerangriffen. Anschließend zeigen wir auf, wie RED medical solchen Angriffen wirksam vorbeugt und welche Schutzmaßnahmen Praxen über das PVS-System hinaus treffen sollten.

Um dennoch einen Überblick über die Angriffsmöglichkeiten zu erhalten, blicken wir auf vier ausgewählte kriminelle Verfahren, vor denen sich auch Praxen unbedingt schützen sollten.  

Praxissicherheit: Wie RED Ihre Patientendaten schützt

Bei RED kommt eine webbasierte Praxissoftware zum Einsatz. Hierbei steht der Server nicht in der Praxis vor Ort, sondern in einem mehrfach gesicherten Rechenzentrum auf deutschem Boden. Patientendaten werden dort vollständig verschlüsselt gespeichert, und die professionelle Technik wird rund um die Uhr überwacht sowie von erfahrenen Administratoren betreut. Die im Rechenzentrum gespeicherten Daten können dabei nur von den Inhabern der Zugänge (sprich: den Praxen selbst) gelesen werden – auch RED hat zu keiner Zeit Zugriff auf die Klartext-Daten. Greift ein Hacker also die Server von RED an, kann er weder Logindaten für die Netze der Praxen noch Klartext-Patientendaten erbeuten.

Dies ist ein entscheidender Vorteil im Vergleich zu herkömmlichen Praxissystemen, wo die Patientendaten lokal und unverschlüsselt vorliegen und dadurch oftmals leichte Beute für Kryptotrojaner sind. Die Praxis selbst muss sich bei RED also einzig und allein darum kümmern, ihre RED-Zugangsdaten sicher aufzubewahren. Ist dies gewährleistet, besteht seitens der Praxissoftware optimaler Schutz.

Goldene Regel:

Speichern Sie niemals Ihr Zugangspasswort zur Praxissoftware in lesbarer Form auf Ihrem Computer.

Vergleichen Sie es mit einer Bankkarte: Sie notieren die entsprechende PIN auch nicht auf (!) der Karte.

Da nicht alle unsere Leser IT-Spezialisten sind, möchten wir das System anhand eines Beispiels erklären. Nehmen wir an, ein Angreifer will an die schützenswerten Patientendaten kommen, startet einen Angriff auf das Rechenzentrum von RED und wäre mit dem Angriff tatsächlich erfolgreich. Der Angreifer könnte damit zwar die Daten der Server einsehen – sie hätten allerdings keinen praktischen Wert für ihn. Denn alle Daten im Rechenzentrum von RED sind vollständig verschlüsselt. Der erbeutete Datensatz könnte beispielsweise so aussehen:

w c F M A 5 0 C a W r K p U c c A Q / / R d v N D M 5 H 1 R u T O D D + l R 7 W g u F 6 1 + U 9 G p 5 a J k N Q 5 i j G 8 S 6 0 4 C M I C x M o 7 d e X y Q A J X j D c G u 2 / v 1 r U y + u e O 6 y A 9 Y o s 0 p p q X k W 6 P o P E O S 4 o l w m v C u u L q 2 J Y r B h u q k w z U h u 4 r + t T K T 5 b p 6 I Z i P k K c d T i A / f R 0 C z 1 x s l k S E D N u k 4 6 3 G B v P 1 P k p 4 e 6 5 j P d W + W C L G 0 A f b o E G R d W C J o / b B H P r X B Z S F X J s v O 4 R g N H Q D Y U E q 4 U Z m M K h a i d b 0 d q n J Q Q o / 2 S W m m S t N p I 3 Y 3 W j v V G 1 H F s e f p s a J 3 2 6 h + M 7 D x K w l d t 8 F H v c v 3 k k 2 W S 6 …

Um die erbeuteten Daten zu entschlüsseln bzw. alle möglichen Schlüsselkombination auszuprobieren, würde der Angreifer etwa 2.18556E+59 Jahre benötigen – diese Zahl hat 59 Nullen am Ende und beschreibt eine Dauer, die länger ist als das Alter unseres Universums. Sicherer geht es nicht. In dieser Beispielrechnung können Sie einen tieferen Einblick in die AES-256 Verschlüsselung bekommen.

Weiterführende Informationen zu unserem Sicherheitskonzept haben wir Ihnen auf einer eigenen Seite zusammengestellt:

Notwendige Maßnahmen innerhalb der Praxis

Ein Hackerangriff muss sich allerdings nicht immer gegen den PVS-Anbieter allein richten. Auch die Praxen selbst können ins Visier Krimineller geraten. In einem solchen Szenario würde der Angreifer versuchen, direkten Zugriff auf das Praxissystem zu erlangen – denn in vielen deutschen Arztpraxen werden die sensiblen Patientendaten immer noch auf eigenen Servern in der Praxis gespeichert. Gelingt der Angriff, kann der Schaden groß sein und der Angreifer hat je nach System die Möglichkeit, alle dort gespeicherten Daten zu entwenden. Da Kunden von RED jedoch – wie oben beschrieben – mit einer webbasierten Arztsoftware arbeiten, liegen die Patientendaten im sicheren Rechenzentrum und befinden sich damit außerhalb der Reichweite des Angreifers.

Um den Praxiscomputer und das interne Netzwerk sicher zu schützen, kommt es bei der Abwehr von Hackerangriffen aber auch auf die Mitarbeit der Praxen an. Denn neben dem Sicherheitskonzept des PVS-Anbieters müssen Ärzte wie auch Mitarbeiter allgemeine Sicherheitsmaßnahmen beachten, um abseits der Nutzung der Praxissoftware keine zusätzliche Angriffsfläche für Cyber-Attacken zu bieten. Helfen kann in diesem Zusammenhang die IT-Sicherheitsrichtlinie der KBV, die eine ganze Reihe sinnvoller Sicherheitsvorkehrungen innerhalb von Praxen auflistet. Eine Auswahl der wichtigsten Punkte haben wir für Sie zusammengestellt:

Bei konsequenter Einhaltung der Liste, die jährlich aktualisiert wird und hier vollständig einsehbar ist, besteht ein sehr hoher Schutz für jede Praxis. Je mehr Mitarbeiter eine Praxis hat, desto höher sind allerdings auch die Anforderungen hinsichtlich der IT-Sicherheit. So müssen Praxen bei einer Größe von sechs bis 20 Mitarbeitern beispielsweise sicherstellen, dass eine intern eingeführte App nur die minimal benötigten Berechtigungen für ihre Funktion erhält. Bei großen Praxen – also ab 20 Mitarbeitern, die mit der Datenverarbeitung betraut sind – gilt zusätzlich, dass für dienstliche Smartphones und Tablets eine generelle Richtlinie festgelegt werden muss, die die Nutzung und Kontrolle der Geräte regelt.

Zusammenfassung

Abschließend kann man festhalten, dass optimaler Schutz nur durch einen gemeinsamen Kraftakt von Herstellern und Praxen gewährleistet werden kann. Den Software-Anbietern wird die Aufgabe zuteil, ein maximal sicheres Praxisverwaltungssystem bereitzustellen, das beispielsweise durch eine vollständige Ende-zu-Ende-Verschlüsselung bereits einen Großteil zu optimalem Datenschutz beiträgt. Für Praxisinhaber wiederum gilt, ein generelles Bewusstsein für Gefahrenquellen zu entwickeln und das Personal intensiv zu schulen, damit essenzielle Sicherheitsvorkehrungen jederzeit beachtet werden. Nur so wird es auf Dauer gelingen, Risikoquellen zu minimieren und bestmöglichen Schutz vor Cyberkriminalität zu erlangen.