München. „Hacker attackieren Arztpraxis und veröffentlichen Patientendaten“: Meldungen wie diese nehmen inzwischen deutlich zu. Die Gefahr, Opfer von Cyberkriminellen zu werden, ist für Arztpraxen real. Meist geht der Datenklau dann mit dem Versuch einher, Geld zu erpressen. Nicht nur für die Arztpraxis, sondern erst recht für Patienten wäre das Veröffentlichen sensibler Daten eine Katastrophe.
Der Kieler IT-Berater Lars Konuralp mit den Schwerpunkten IT-Sicherheit, Datenschutz und Mentoring im Gesundheitswesen empfiehlt deshalb dringend, sich zu wappnen. Er sagt: „Fit werden in der digitalen Selbstverteidigung bedeutet proaktives Vorbeugen und Vermeiden von Sicherheitsvorfällen und den damit verbundenen Folgen.“
Beim MFA-Tag und ZFA-Tag 2024 des PKV Instituts gab er im Workshop den Medizinischen Fachangestellten ein Bündel an Ratschlägen. „Ich bin keiner. Aber ich glaube, ich weiß, wie Cyberkriminelle ticken“, stellte er sich vor.
Cyberkriminelle können heute laut Konuralp meist selbst nicht mehr hacken, sondern mieten Ransomware und Hacking-Tools zu verhältnismäßig niedrigem Preis im Internet.
Die Anwendungen arbeiten dabei mit Künstlicher Intelligenz und WormGPT, dem „bösen Bruder“ von ChatGPT. Trainiert sind sie mit spezifischer Malware, helfen beim Verfassen von Phishing-Mails oder können etwa auch bösartige Programmcodes erzeugen.
Gleichzeitig sind die Schadprogramme in der Anwendung laut Lars Konuralp ähnlich einfach zu bedienen wie ChatGPT. Auch Open-Source-Intelligence-Tools werden eingesetzt, um mögliche Opfer auszuspionieren. „Erst werden möglichst detaillierte Informationen beschafft, dann wird versucht, sie emotional zu manipulieren“, erklärt der IT-Experte die Strategie der Verbrecher. Ist von „Speerfishing“ die Rede, werden Opfer ganz gezielt ausgesucht.
Neben dem „klassischen“ Phishing über E-Mails arbeiten Cyberkriminelle inzwischen zum Beispiel auch mit QR-Codes (Quishing), mit mobilen Textnachrichten (Smishing) oder mit Sprachnachrichten über eine Fake-Stimme (Vishing). Mittels Ransomware werden Daten geklaut, um deren Besitzer anschließend zu erpressen.
Das Team muss sensibilisiert werden
Vor drei Jahren hatte die KBV eine „Richtlinie zur Datensicherheit der Praxis-IT“ erstellt. „So sollen klare Vorgaben dabei helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren“, schreibt die KBV dazu.
Gleichzeitig haften Praxen, wenn sie Mindeststandards nicht erfüllen. „Die Richtlinie ist geschrieben für Experten und so kompliziert, dass sie kein Mensch versteht. Und MFA sollen sie dann umsetzen“, kritisiert Konuralp.
Allein ist er mit dieser Einschätzung nicht. In zwei Studien hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Sicherheitslage in Arztpraxen untersucht.
Veröffentlicht wurden die Ergebnisse im April: Es bestünden teils schwerwiegende Sicherheitsmängel und die IT-Sicherheitsrichtlinie werde noch nicht in vollem Umfang umgesetzt – und zwar nicht zuletzt wegen mangelnder Verständlichkeit.
So viel zur Theorie. Doch wie lässt sich die digitale Angriffsfläche einer Praxis ganz konkret minimieren? Lars Korunalp rät zu folgenden Maßnahmen:
E-Mails sollten ausgelagert sein auf ein externes Notebook oder einen externen Rechner außerhalb des Praxis-Netzwerks.
Private E-Mails der Mitarbeitenden haben – auch aus Eigenschutz – in einer Praxis nichts verloren.
Eine Datenminimierung auf der Website, auf Arzt- und Businessportalen und in Sozialen Medien erschwert das Ausspionieren möglicher Opfer.Konuralp rät, Praxisinfos zu versachlichen und nur wirklich Wichtiges für Dritte bereitzustellen.
Weiter sind Spam- und Virenfilter einzurichten – eine Antivirensoftware, eine professionelle Firewall und auch direkt beim Webhoster gibt es oft kostenpflichtige Schutzmodule oder auch bei speziellen Anbietern.
Der IT-Experte rät außerdem dazu, das ganze Praxisteam für Cybersicherheit zu sensibilisieren durch Awareness-Trainings im Team oder auch über externe Dienstleister. „Schärfen Sie Ihr Bewusstsein“, sagt Konuralp. Das schwächste Glied sitze immer direkt vor dem Bildschirm. Wichtig sei ein gesundes Misstrauen, um nicht auf Phishing-Mails und Co. hereinzufallen.
Mit dem IT-Dienstleister muss unbedingt ein Notfall-Maßnahmenplan erstellt werden, der genau regelt, wer was zu tun hat bei einem IT-Sicherheitsvorfall.
Und: Ein IT-Dienstleister hat im Ernstfall erreichbar zu sein, das „Wie“ ist vorher zu klären.
Freier Zugriff
