0,00 €
Zum Warenkorb
  • Quintessence Publishing Deutschland
Filter
1543 Views

Hackerangriffe auf Praxen nehmen zu – Praxis-IT sichern und Mitarbeiter immer wieder schulen

(c) SynthEx/Shutterstock.com

Am Donnerstagmorgen um 7.58 Uhr fährt ZMF Sabrina R. wie an jedem Tag den Computer an der Rezeption hoch. Doch diesmal erscheint nicht der gewohnte Desktop, sondern ein schwarzer Bildschirm mit einem weißen Totenkopf und dem Text: „Wir haben Ihr System verschlüsselt. Überweisen Sie innerhalb von 24 h einen halben Bitcoin (1 Bitcoin entspricht derzeit ca. 52.000 Euro) an uns. Nach 48 h verdoppelt sich der Preis. Ansonsten sind Ihre Daten verloren.“

Sabrina R. rennt panisch zu ihrem Chef und dieser erkennt sofort, dass alle Computer und der Server lahmgelegt sind. Ihm wird es heiß und kalt. Er telefoniert umgehend mit seinem ITler und brüllt in den Hörer: „Hilfe, meine Praxis wurde gehackt. Sie müssen sofort kommen und uns helfen!“

Wie konnte das passieren? Sind jetzt alle Patientendaten weg? Für immer? Oder wie bekomme ich meine Daten zurück? Soll ich lieber zahlen oder nicht? – Tausend Gedanken rasen dem Praxisinhaber durch den Kopf. Wenn das Unglück erst eingetreten ist, kommen die Selbstvorwürfe von allein. Hätte ich bloß gestern noch eine Datensicherung auf Band gemacht. Warum haben mein Team und ich nicht doch noch an einer IT-Sicherheitsschulung teilgenommen? Waren wir zu leichtsinnig? Und wer ist eigentlich schuld an dem Dilemma? Fragen über Fragen quälen den Praxisinhaber und die verantwortliche ZMF.

Die Praxis steht auf jeden Fall erst einmal still. Ohne Computer geht gar nichts!

Dieses Szenario kann jede Praxis treffen, und die Wahrscheinlichkeit dafür steigt stetig an. Immer häufiger werden Firmen und Praxen von Hackerangriffen bedroht. Betrügerische Mails suchen täglich nach neuen Opfern, und die Spamfilter schaffen es längst nicht, alle Fakes herauszufiltern.

TI-Anbindung bringt alle Praxen ins Internet

Fangen wir von vorne an: Die Zeiten, in denen die Praxisinhaber ihre IT selbst zusammenstellen und betreuen konnten, sind längst vorbei. Mit der rasanten Digitalisierung der Zahnarztpraxen wurde die IT immer komplexer und komplizierter. Während früher lediglich an der Rezeption ein Computer stand, stehen mittlerweile in jedem Behandlungszimmer ein oder mehrere Computer, und der digitale Austausch zwischen Laboren, Praxen, Krankenkassen, Patienten, Steuerberater, Kassenzahnärztlicher Vereinigung und vielen anderen machen das ganze System deutlich empfindlicher gegenüber Hackerangriffen. Nicht zuletzt die Einführung der Telematikinfrastruktur (TI) bereitet den Computerspezialisten zusätzlich noch Kopfschmerzen in Bezug auf die Umsetzung der IT-Sicherheit, denn damit sind alle Praxen zwingend mit dem Internet verbunden.

Das Inkrafttreten der Europäische Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 macht es erforderlich, dass empfindliche Gesundheitsdaten in einem gesteigerten Maße geschützt werden. Dazu müssen einerseits die technischen und organisatorischen Maßnahmen in der Praxis immer auf dem aktuellen Stand der Technik und andererseits die verantwortlichen Mitarbeiter ausreichend geschult und sensibilisiert sein. Sicherheitsmaßnahmen wie Datenverschlüsselungen und Datensicherungen sollten in der heutigen Zeit für jede Praxis eine Selbstverständlichkeit darstellen.

Datenpannen unverzüglich melden

Zudem muss jede Datenpanne unverzüglich, möglichst innerhalb von 72 Stunden, an die zuständige Aufsichtsbehörde des jeweiligen Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) gemeldet werden (Artikel 33 Absatz 1 DSGVO). Wenn bei der Datenpanne zusätzlich patientenbezogene Gesundheitsdaten betroffen sind, muss auch die betroffene Person selbst benachrichtigt werden (Artikel 34 DS-GVO). Schwierig wird dies, wenn alle Daten durch die Hacker so verschlüsselt sind, dass der Praxisinhaber keinen Zugriff mehr darauf hat.

Hohe Bußgelder und ein irreparabler Imageverlust für die Praxis können den Zahnarzt schwer belasten. Übrigens richtet sich die Höhe des Bußgeldes auch danach, ob Nachlässigkeiten in den IT-Systemen vorlagen oder Fehler hätten vermieden werden können.

Seit April 2021 gilt für alle Kassenpraxen wegen der zunehmenden Digitalisierung und der Anbindung an die Telematikinfrastruktur verpflichtend auch die sogenannte IT-Sicherheitsrichtlinie, die auf der Internetseite der Kassenzahnärztlichen Bundesvereinigung mit weiterführenden Informationen abgerufen werden kann.

Aus diesem Grund erscheinen die folgenden Vorsichtsmaßnahmen empfehlenswert:

  1. Lassen Sie rechtzeitig einen Sicherheitscheck Ihrer Praxis durch einen zertifizierten IT-Sicherheitsexperten durchführen.
  2. Setzen Sie die empfohlenen technischen Sicherheitsmaßnahmen baldmöglichst und vollständig um.
  3. Lassen Sie sich und Ihre Mitarbeiterinnen und Mitarbeiter durch einen spezialisierten ITler schulen und wiederholen Sie diese Schulung in regelmäßigen Abständen (am besten halbjährlich).
  4. Bestellen Sie einen (externen) Datenschutzbeauftragten für Ihre Praxis (auch wenn Sie ihn für Ihre Praxisgröße laut DSGVO vielleicht nicht zwingend brauchen) und erkundigen Sie sich gegebenenfalls nach einer Versicherung für Cyberkriminalität.

Schulung zur IT-Sicherheit: Bruno Klein, Sicherheitsexperte der Hiss IT GmbH, Dr. Claudia Obijou-Kohlhas, Benjamin Falkson, Datenschutzexperte der Hiss IT GmbH (von links)
Schulung zur IT-Sicherheit: Bruno Klein, Sicherheitsexperte der Hiss IT GmbH, Dr. Claudia Obijou-Kohlhas, Benjamin Falkson, Datenschutzexperte der Hiss IT GmbH (von links)
Foto: privat
Wir haben in unserem Kollegenkreis die uns bekanntgewordenen Fälle von betroffenen Praxen und auch Unternehmen zum Anlass genommen, unsere Praxis-IT unter die Lupe zu nehmen. Die Hiss IT GmbH aus Baden-Baden hat uns hierzu in einer Fortbildung informiert. Wichtig sind die regelmäßigen Mitarbeiterschulungen – die Hiss IT bietet zum Beispiel praktische Online-Schulungen zur IT-Sicherheit für die Mitarbeiterteams in der Praxis an (der nächste Termin ist am 3. Dezember 2021).

Im oben geschilderten Fall konnten alle Daten durch eine Sicherheitskopie durch den ITler gerettet werden und es wurden keine Erpressungsgelder bezahlt. Das Bestellbuch war allerdings nicht mehr aufzurufen und das daraus resultierende Chaos in der Praxis kann sich sicherlich jeder vorstellen. „Reingekommen“ waren die Hacker über eine gefälschte E-Mail, die eine Mitarbeiterin dazu verleitete, an einem Praxiscomputer die der E-Mail angehängte virusinfizierte Datei zu öffnen.

Am Ende mussten alle Computer und der Server neu installiert werden und die Praxis konnte erst nach etwa vier Wochen wieder normal weitergeführt werden. Die Unsicherheit, ob die Patientendaten und Praxisinterna bereits jetzt oder in Zukunft im Internet kursieren, bleibt erhalten.

Die dringende Empfehlung lautet daher: Nehmen Sie Ihre IT-Sicherheit ernst und warten Sie nicht, bis es zu spät ist.

Dr. Claudia Obijou-Kohlhas, FZÄ für Kieferorthopädie, Baden-Baden

Telematikinfrastruktur Praxisführung Praxis

AdBlocker active! Please take a moment ...

Our systems reports that you are using an active AdBlocker software, which blocks all page content to be loaded.

Fair is fair: Our industry partners provide a major input to the development of this news site with their advertisements. You will find a clear number of these ads at the homepage and on the single article pages.

Please put www.quintessence-publishing.com on your „adblocker whitelist“ or deactivate your ad blocker software. Thanks.

More news

  
25. Nov 2024

Unsicherheit über Roll-out der „ePA für alle“

PVS-Anbieter müssen nicht zum 15. Januar 2025 alle Anwendungen für PVS bereitstellen – Lauterbach: alle bekommen ihre ePA
14. Nov 2024

30 Jahre VDDS – ein Grund zum Feiern

Ein Rückblick auf drei Jahrzehnte Softwareentwicklung und Arbeit im Dienst der deutschen Zahnmedizin
11. Nov 2024

„Die Bilanz der Ampel-Koalition ist mehr als dürftig“

Ärzte- und Zahnärzteschaft schauen skeptisch auf Ampel-Bilanz im Gesundheitsbereich und erwarten Stillstand bei Gesetzgebungsverfahren
7. Nov 2024

Specht-Riemenschneider: „Datenschutz von vornherein mitdenken“

Hauptversammlung des Freien Verbands Deutscher Zahnärzte in Kassel befasst sich mit Datenschutz und beschließt einstimmig Resolution zur Reform des Gesundheitswesens
29. Oct 2024

„Viele Themen lassen sich in der Cloud besser abbilden“

Datenschutz, Datensicherheit, digitale Anwendungen – Stefan Mühr spricht in Folge #19 von „Dental Minds“ über die Zukunft von Praxisverwaltungssystemen zwischen Cloud und TI
7. Oct 2024

Der ePA bei allen Bedenken eine Chance geben

Bedenken gegen unkontrollierbaren Datenabfluss ernst nehmen – der Kommentar von Dr. Marion Marschall
7. Oct 2024

ePA: Produkt mit vielen Unbekannten

Kassenärzte bereiten auf ePA vor – Lauterbach hält vier Wochen Testphase für ausreichend – Bündnis startet „Widerspruchsgenerator“
7. Oct 2024

Stets vornean mit CGM Z1.PRO

Die Praxissoftware von CGM Dentalsysteme hält Anwenderinnen und Anwender immer up to date