Cyber-Attacken: Diese Schutzmaßnahmen sollten Praxen treffen

Der Schutz von Patientendaten ist das oberste Gebot im Gesundheitswesen. Folglich spielen die Themen Datenschutz und Datensicherheit eine immer wichtigere Rolle innerhalb der Branche – und das aus gutem Grund, denn im Zuge der fortschreitenden Digitalisierung nimmt auch die Anzahl von Cyberangriffen zu, die eine echte Gefahr für den Praxisbetrieb darstellen. Zuletzt warnte die Kassenärztliche Bundesvereinigung (KBV) vor einer steigenden Anzahl von Hackerangriffen und unterstrich damit nochmals deutlich die konkrete Bedrohungslage.

Ein Trojaner treibt im Innersten der IT-Infrastruktur sein Unwesen, verschlüsselt sämtliche Patientendaten und legt damit den Praxisbetrieb lahm. Was im ersten Moment wie ein Alptraum eines Heilberuflers klingt, ist mittlerweile eine reale Gefahrenlage im digitalisierten Gesundheitswesen. Das sieht auch die KBV so, die in einer Stellungnahme vor der steigenden Bedrohung durch Hacker warnt. Sie spricht von einem ständigen “Wettlauf zwischen Angreifern und Schutzmaßnahmen” und ist laut eigener Angabe mittlerweile selbst mit hunderten Angriffen pro Tag konfrontiert, die dank implementierter Sicherheitsmechanismen jedoch abgewehrt werden können. In ihrer Pressemeldung richtet sie daher einen eindringlichen Appell an alle Praxen, ihre IT-Infrastruktur kritisch auf Sicherheitslücken zu überprüfen und diese notfalls zu schließen.

Seit bekannt wurde, dass ein namhafter PVS-Anbieter Anfang November Opfer einer Cyberattacke wurde, hat die Debatte um die Sicherheit von Patientendaten neuen Auftrieb erhalten. Bei dem Hackerangriff auf das interne IT-System des Softwarehauses war sogenannte Ransomware (zu deutsch: Erpressersoftware) zum Einsatz gekommen, die Teile des internen IT-Systems verschlüsselte und damit für die Nutzung unbrauchbar machte. Viele Praxen fragen sich jetzt zurecht: Wie kann eine derartige Attacke verhindert werden? Lassen sich die Patientendaten meiner Praxis trotz eines Angriffs wirksam vor dem Zugriff Unbefugter schützen? Und wenn ja: Welche Maßnahmen müssen vorab ergriffen werden? Eine pauschale Antwort auf diese Fragen wird der Komplexität der Sachlage nicht gerecht. Als sicher gilt aber die Annahme, dass es eine gemeinsame Anstrengung mehrerer Akteure braucht, um der Bedrohungslage Herr zu werden. Warum Patientendaten bei RED bestmöglich geschützt sind und wie sich Praxen gegen solche Angriffe im Vorfeld zusätzlich wappnen können, erklären wir ausführlich in den folgenden Absätzen.

Hackerangriffe: Wie RED Ihre Patientendaten schützt

Bei RED kommt eine webbasierte Praxissoftware zum Einsatz. Hierbei steht der Server nicht in der Praxis vor Ort, sondern in einem mehrfach gesicherten Rechenzentrum auf deutschem Boden. Patientendaten werden dort vollständig verschlüsselt gespeichert, und die professionelle Technik wird rund um die Uhr überwacht sowie von erfahrenen Administratoren betreut. Die im Rechenzentrum gespeicherten Daten können dabei nur von den Inhabern der Zugänge (sprich: den Praxen selbst) gelesen werden – denn auch RED hat zu keiner Zeit Zugriff auf die Klartext-Daten. Greift ein Hacker also die Server von RED an, kann er weder Logindaten für die Netze der Praxen noch Klartext-Patientendaten erbeuten.

Dies ist ein entscheidender Vorteil im Vergleich zu herkömmlichen Praxissystemen, wo die Patientendaten lokal und unverschlüsselt vorliegen und dadurch oftmals leichte Beute für Kryptotrojaner sind. Die Praxis selbst muss sich bei RED also einzig und allein darum kümmern, ihre RED-Zugangsdaten sicher aufzubewahren. Ist dies gewährleistet, besteht seitens der Praxissoftware optimaler Schutz.

Grundregel:

Speichern Sie niemals Ihr Zugangspasswort zur Praxissoftware in lesbarer Form auf ihrem Computer.

Vergleichen Sie es mit einer Bankkarte: Sie notieren die entsprechende PIN auch nicht auf (!) der Karte.

Da nicht alle unsere Leser IT-Spezialisten sind, möchten wir das System anhand eines Beispiels erklären. Nehmen wir an, ein Angreifer will an die schützenswerten Patientendaten kommen, startet einen Angriff auf das Rechenzentrum von RED und wäre mit dem Angriff tatsächlich erfolgreich. Der Angreifer könnte damit zwar die Daten der Server einsehen – sie hätten allerdings keinen praktischen Wert für ihn. Denn alle Daten im Rechenzentrum von RED sind vollständig verschlüsselt. Der erbeutete Datensatz könnte beispielsweise so aussehen:

w c F M A 5 0 C a W r K p U c c A Q / / R d v N D M 5 H 1 R u T O D D + l R 7 W g u F 6 1 + U 9 G p 5 a J k N Q 5 i j G 8 S 6 0 4 C M I C x M o 7 d e X y Q A J X j D c G u 2 / v 1 r U y + u e O 6 y A 9 Y o s 0 p p q X k W 6 P o P E O S 4 o l w m v C u u L q 2 J Y r B h u q k w z U h u 4 r + t T K T 5 b p 6 I Z i P k K c d T i A / f R 0 C z 1 x s l k S E D N u k 4 6 3 G B v P 1 P k p 4 e 6 5 j P d W + W C L G 0 A f b o E G R d W C J o / b B H P r X B Z S F X J s v O 4 R g N H Q D Y U E q 4 U Z m M K h a i d b 0 d q n J Q Q o / 2 S W m m S t N p I 3 Y 3 W j v V G 1 H F s e f p s a J 3 2 6 h + M 7 D x K w l d t 8 F H v c v 3 k k 2 W S 6 …

Um die erbeuteten Daten zu entschlüsseln bzw. alle möglichen Schlüsselkombination auszuprobieren, würde der Angreifer etwa 2.18556E+59 Jahre benötigen – diese Zahl hat 59 Nullen am Ende und beschreibt eine Dauer, die länger ist als das Alter unseres Universums. Sicherer geht es nicht. In dieser Beispielrechnung können Sie einen tieferen Einblick in die AES-256 Verschlüsselung bekommen.

Weiterführende Informationen zu unserem Sicherheitskonzept haben wir Ihnen auf einer eigenen Seite zusammengestellt:

Notwendige Maßnahmen innerhalb der Praxis

Ein Hackerangriff muss sich allerdings nicht immer gegen den PVS-Anbieter allein richten. Auch die Praxen selbst können ins Visier Krimineller geraten. In einem solchen Szenario würde der Angreifer versuchen, direkten Zugriff auf das Praxissystem zu erlangen – denn in vielen deutschen Arztpraxen werden die sensiblen Patientendaten immer noch auf eigenen Servern in der Praxis gespeichert. Gelingt der Angriff, kann der Schaden groß sein und der Angreifer hat je nach System die Möglichkeit, alle dort gespeicherten Daten zu entwenden. Da Kunden von RED jedoch – wie oben beschrieben – mit einer webbasierten Arztsoftware arbeiten, liegen die Patientendaten im sicheren Rechenzentrum und befinden sich damit außerhalb der Reichweite des Angreifers.

Um den Praxiscomputer und das interne Netzwerk sicher zu schützen, kommt es bei der Abwehr von Hackerangriffen aber auch auf die Mitarbeit der Praxen an. Denn neben dem Sicherheitskonzept des PVS-Anbieters müssen Ärzte wie auch Mitarbeiter eine Reihe allgemeiner Sicherheitsmaßnahmen beachten, um abseits der Nutzung der Praxissoftware keine zusätzliche Angriffsfläche für Cyber-Attacken zu bieten. Helfen kann in diesem Zusammenhang die IT-Sicherheitsrichtlinie der KBV, die eine ganze Reihe sinnvoller Sicherheitsvorkehrungen innerhalb von Praxen auflistet. Eine Auswahl der wichtigsten Punkte haben wir für Sie zusammengestellt:

Aktuelle Virenschutzprogramme einsetzen

Verschlüsselte Internetanwendungen nutzen

Aktuelle Schutzprogramme vor Phishing im Browser verwenden

Jegliche Wechseldatenträger (z. B. USB-Stick) auf Schadsoftware prüfen

Eine Firewall einrichten (lassen)

Komplexe Gerätesperrcodes für alle Endgeräte verwenden

Zugriffsberechtigungen für jeden Mitarbeiter regeln

Nach der Nutzung den Gerätezugang sperren oder sich abmelden

Keine unautorisierte Nutzung von Rechner-Mikrofonen und Kameras

Vertrauliche Daten, die lokal gespeichert werden, kryptografisch sichern

Regelmäßige Datensicherungen durchführen

Regelmäßige Updates des Betriebssystems und verwendeter Apps durchführen

Keine vertraulichen Daten über Apps versenden

Apps nur aus den offiziellen App-Stores herunterladen

Synchronisierung von Nutzerdaten mit externen Diensten vollständig deaktivieren

Bei konsequenter Einhaltung der Liste, die jährlich aktualisiert wird und hier vollständig einsehbar ist, besteht ein sehr hoher Schutz für jede Praxis. Je mehr Mitarbeiter eine Praxis hat, desto höher sind allerdings auch die Anforderungen hinsichtlich der IT-Sicherheit. So müssen Praxen bei einer Größe von sechs bis 20 Mitarbeitern beispielsweise sicherstellen, dass eine intern eingeführte App nur die minimal benötigten Berechtigungen für ihre Funktion erhält. Bei großen Praxen – also ab 20 Mitarbeitern, die mit der Datenverarbeitung betraut sind – gilt zusätzlich, dass für dienstliche Smartphones und Tablets eine generelle Richtlinie festgelegt werden muss, die die Nutzung und Kontrolle der Geräte regelt.

Zusammenfassung

Prävention ist die einzig wirksame Lösung beim Schutz vor Cyberkriminalität – so weit, so klar. Die wichtigste Erkenntnis ist allerdings, dass optimaler Schutz nur funktioniert, wenn alle involvierten Akteure an einem Strang ziehen. Für die PVS-Anbieter bedeutet das, eine maximal sichere Praxissoftware bereitzustellen – so wie RED mit zertifizierter Verschlüsselungstechnologie und sicherer Speicherung der Patientendaten im Rechenzentrum. Für die Praxis wiederum gilt, ein generelles Bewusstsein für Gefahrenquellen zu entwickeln und das Personal zu schulen, damit essentielle Sicherheitshinweise zu jeder Zeit beachtet werden. Der Abgleich der eigenen Sicherheitsmaßnahmen mit der IT-Sicherheitslinie der KBV sollte dabei ein eingespielter und regelmäßig durchgeführter Standardprozess sein.

RED medical

Die webbasierte Praxissoftware erleichtert den Berufsalltag vieler Ärzte und Psychotherapeuten mit modernsten Technologien und zertifizierter Sicherheitsarchitektur.