| Wir alle bekommen es in letzter Zeit immer häufiger mit, es wird von sogenannten Cyberangriffen berichtet, also von Angriffen aus dem Internet auf IT Systeme. In der Vergangenheit waren da immer nur größere Konzerne betroffen, mittlerweile hat man auch kleinere Unternehmen im Visier, und da fällt auch immer wieder der Begriff eHealth. Das sind aber nicht nur Krankenhäuser und Kliniken, das Risiko geht immer mehr auf Arztpraxen, je mehr diese Praxen digital arbeiten. Was kann man also tun? Wie kann man sich schützen? Welche Vorsichtsmaßnahmen kann man ergreifen? Was kann ich Ihnen raten? 1. Zugriffschutz mit Firewall Prüfen Sie Ihre genutzten Applikationen und auch Hardware, ob es da direkte für Sie oft unbemerkte Interaktion mit dem Internet und anderen Diensten gibt. Wenn man einen Onlineterminkalender hat oder ein Kalender webbasierend ist (dort wird das in den Voraussetzungen auch gefordert), ist es ja klar, daß man hierzu eine vernünftige Hardware Firewall im Einsatz hat. Das schreibt ja sogar die KBV in Ihren Richtlinien vor und das soll was heissen. Aber es gibt oft unbemerkte Risikofaktoren, Drucker mit Wartungsfunktion, Laborsysteme oder auch Systeme, die Untersuchungen weiterverarbeiten wie manche Langzeit EKGs. Hier müssen Sie sicherstellen, daß diese Zugänge in die Praxis geregelt sind, das heisst die Firewall richtig versorgt wurde. Die beste Firewall nutzt nichts, wenn Sie alles durchlässt, dann hat sie lediglich Baldriancharakter, hilft nicht, aber beruhigt. Also wichtig: Im Rahmen der Datenschutzmaßnahmen für die Praxis eine Risikoanalyse bezüglich der eingesetzten Applikationen vornehmen und die adäquaten Sicherheitsvorkehrungen treffen. 2. Datensicherung Bitte sorgen Sie für eine valide Datensicherung, kontrollieren Sie diese auch peinlich, bzw beauftragen Sie jemanden in Ihrer Praxis, der das übernimmt. Im Falle eines Angriffs wird der komplette Datenbestand verschlüsselt und ein Entschlüsselungskey gegen Zahlung einer meist größeren 5stelligen Summe in Bitcoin versprochen. Ob dieser Key tatsächlich funktioniert wissen wir nicht, es könnte auch sein, dass er nicht funktioniert und man will nur das Lösegeld in die Höhe treiben. Wir konnten bis jetzt jedem Angriff begegnen, in dem wir die Anlage komplett neu einrichteten und die Daten aus der Datensicherung wieder hergestellt haben. Es gab zwar mehr als einen Tag Ausfall, aber dafür war wieder alles wie vorher, dank einer validen Datensicherung. 3. Aktualität der Systeme Für aktuelle Betriebssysteme gibt es ständig neue Patches, diese betreffen hauptsächlich die Sicherheit. Also reicht es nicht nur aktuelle Betriebssysteme einzusetzen, man muss diese darüber hinaus auch noch immer aktuell halten. Glücklicherweise hilft das Einlesen der entsprechenden Updates auch der Stabilität des ganzen Systems. Einwände, diese Updates seien gefährlich, würden stören und deshalb nicht durchgeführt gehören in die Welt der Fabel. Jedes System sollte aktuell sein, keiner würde mit seinem Verbrenner mit leuchtender Öllampe los fahren. Das gleiche gilt für Virenscanner, hier lohnt es nicht am etwaigen Preis des Virenscanners zu sparen, auch der Verweis auf Hörensagen beeindruckt Viren wenig, ohne Virenschutz ist ein System im höchsten Maße gefährdet. 4. Sensibilisierung des gesamten Praxisteams Phishing-Mails (Betrugsmails mit Links zu Seiten mit Schadsoftware, Ermöglichung von Fremdzugriff, Abfangen von Zugangsdaten) Diese Mails werden immer tückischer und sehen verteufelt echt aus. Achten Sie peinlichst genau auf den Absender der eMail, durchgehend korrekte Schreibweisen und Grammatik, Stimmigkeit von Bilder & Logos. eMailempfang ausschließlich an Arbeitsplätzen mit aktuellem & aktiven Virenschutz und wenn dieser Virenschutz anschlägt und sei es „nur“ mit einer Warnung dann öffnen Sie die Seiten lieber nicht. Vermeintliche Gewinne sind oft nur zu schön um wahr zu sein und können mehr Schaden anrichten als man vermutet. Fremde Datenträger (z. B. CD/DVD oder USB-Sticks) Vor jedem öffnen immer auf Viren prüfen. Nur von seriöser Herkunft annehmen, hierbei ist zu beachten, daß auch die seriösen Seiten von Viren befallen sein könnten. Sobald sich ein Gerät insbesondere nach versehentlich oder leichtsinnig geöffneten eMail / Fremddatenträger merkwürdig verhält nicht erst sagen, ach mal schauen es fängt sich wieder, lieber direkt den Systembetreuer kontaktieren damit das System aktiv auch Viren geprüft werden kann. 5. andere Geräte Keine praxisfremden Endgeräte (z. B. Smartphone, Tablett, Handy, eBook, Laptop) ins Praxisnetzwerk lassen. Dem Praxisteam und den Patienten stellt man gerne ein WLAN zur Verfügung, dies ist soweit auch ok, ABER es darf nicht Ihr Praxisnetzwerk sein. Lassen Sie sich von Ihrem Systembetreuer ein gesondertes WLAN einrichten, das keinen Zugriff auf Ihr praxisinternes Netzwerk hat und stellen Sie dies dann gerne den Praxisteam und evtl. den Patienten zur Verfügung. Sie sehen also, so ganz hilflos und schutzlos ist man nicht, wenn man sich an einfache Regeln hält und diese auch konsequent einhält. Ganz wichtig ist auf jeden Fall, seine Anwendungen im Auge zu behalten und bei Unregelmäßigkeiten nicht auf Belangloses zu hoffen. Leider kostet Sicherheit Geld, kostenlose Sicherheit gibt es nicht. Ohne Sicherheit wird es dann aber im Eventualitätenfall aber noch viel teurer und oft werden Sicherheitsmaßnahmen erst ergriffen, wenn ein Fall bereits einmal aufgetreten ist. |