Cyber-Crime: Arztpraxen oft nicht gut geschützt?

Jede zehnte Praxis ist schon von einem IT-Sicherheitsvorfall betroffen gewesen, berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wie sich Praxisinhaber schützen können, ist in der IT-Sicherheitsrichtlinie der KBV geregelt. An der Umsetzung hapert es jedoch noch.

Die Bedrohung durch Cyberkriminalität nimmt zu und dass persönliche Daten zu schlecht geschützt sind, liest und hört man immer wieder. Nicht zuletzt in der Diskussion über die Sicherheit der Patientendaten in der elektronischen Patientenakte. Oder auch im Fall von D-Trust, ein Unternehmen, das unter anderem elektronische Heilberufsausweise (eHBA) ausgibt, und einem Cyberangriff ausgesetzt war.

In der Diskussion geht es häufig um große IT-Projekte, Unternehmen oder Hackerangriffe auf Kliniken, aber wie gut sind Arztpraxen auf Cyberangriffe vorbereitet? Im Tätigkeitsbericht Gesundheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus dem letzten Jahr kam eine besondere Bedeutung der ambulanten Versorgung zu. So hat laut BSI eine Umfrage unter rund 1.600 Ärztinnen und Ärzten im Jahr 2023 gezeigt, dass es einen großen Bedarf für die Erhöhung der Sicherheit in Arztpraxen gibt. Zwar seien die meisten Befragten um die Sicherung und den Schutz ihrer Daten bemüht und halten sich bei diesem Thema für gut informiert, gleichzeitig zeigte sich aber auch, dass die meisten Rückmeldungen eine geringe Bekanntheit der IT-Sicherheitsrichtlinien und deren Umsetzung ergeben hat.

IT-Sicherheitsrichtlinien befinden sich in Überarbeitung

Diese IT-Sicherheitsrichtlinien gibt es seit Dezember 2020, damit sollen grundlegende Sicherheitsmaßnahmen für Arzt- und Zahnarztpraxen garantiert werden. Dabei geht es unter anderem um Sicherheitsmanagement, IT-Systeme, Programme oder Internetanwendungen. Den Auftrag dazu, Anforderungen der IT-Sicherheit zu regeln, hat die Kassenärztliche Bundesvereinigung (KBV) nach § 75b SGB V. Aktuell befinden sich die IT-Sicherheitsrichtlinien in der Überarbeitung, so die KBV auf Anfrage der Ärzte Zeitung. Laut Tätigkeitsbericht des BSI seien derzeit erst in einem Drittel der Praxen die Richtlinien vollumfänglich umgesetzt worden. Gründe dafür seien Verständnisprobleme, Zweifel am Nutzen der Richtlinien und die Kosten, die für die IT-Sicherheit anfallen.

Die Ärztekammer Rheinland-Pfalz hat bereits seit mehreren Jahren eine eigene Seite zu dem Thema aufgelegt und eine Reihe mit Praxistipps auf den Weg gebracht, in denen es um Datenschutz und IT-Sicherheit geht, da immer wieder Anfragen von Ärzten an die Kammer herangetragen wurden. „Bisher handelt es sich nur um gelegentliche Anfragen. Themen betreffen dabei unter anderem die Verwahrung von Patientenakten, Löschung von Patientendaten sowie der Auskunftsanspruch bei der Behandlung von Minderjährigen gegenüber den (getrennt lebenden) Eltern, so die Kammer auf Anfrage.

Die Seite www.mit-sicherheit-gut-behandelt.de wird gemeinsam von der Kammer, der KV Rheinland-Pfalz, dem Landesdatenschutzbeautragten und der Landespsychotherapeutenkammer unterstützt.

Die meisten Praxen haben Vorkehrungen getroffen

Laut Umfrage des BSI hätten aber die meisten Praxen bereits Vorkehrungen getroffen, wie regelmäßige Sicherheitskopien, das Verschlüsseln von Daten beim Versenden und das Verwenden von Passwörtern. Trotzdem betont das BSI, dass ein größeres Problembewusstsein geschaffen werden müsse, denn die Umfrage habe auch gezeigt, dass jede zehnte Praxis bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen war. Genaue Zahlen, wie häufig Arztpraxen von Cyberangriffen betroffen sind, gibt es laut KBV und BSI bisher jedoch nicht.

Je nach Bedarf kann eine Cyberschutzversicherung sinnvoll sein, die oft eine 24/7-Hilfe durch IT-Spezialisten anbieten, eine kostenfreie Wiederherstellung und Rechtsberatung sowie Schulungen für Mitarbeiter. Die KBV hat eine Checkliste entwickelt, wie Ärztinnen und Ärzte in der Praxis vorgehen können, um zu schauen, ob sie die Anforderungen der IT-Sicherheitsrichtlinien erfüllen oder wo sie nachbessern müssen. Die Checkliste gibt es als PDF bei der KBV.

Checkliste

  • Die IT-Sicherheitsrichtlinien sind nach Praxistyp ausgerichtet, das bedeutet, dass sich Ärztinnen und Ärzte erst einmal anschauen müssen, welcher Praxistyp sie sind
  • Dieser ist nach kleiner Praxis (1 bis 5 Personen), mittlere Praxis (6 bis 20 Personen) und große Praxis (mehr als 21 Personen) aufgeteilt und je nach Größe richten sich auch die Anforderungen
  • Der zweite Schritt ist zu schauen, welche IT-Komponenten in der Praxis genutzt werden. Das heißt, welche dezentrale Komponenten der TI nutzt die Praxis, wie Kartenlesegerät oder Konnektor, welche Endgeräte, welche Betriebssysteme, welche Internet-Anwendung etc.
  • Des Weiteren heißt es dann, Maßnahmen festzulegen, um die Praxis zu schützen, und zu überlegen, ob man einen IT-Dienstleister damit beauftragt und dann die Maßnahmen umsetzt

Diese Inhalte könnten Sie ebenfalls interessieren:

Kostenfrei anmelden
1/4 Wählen Sie Ihre Anmeldeinformationen

Ihr Passwort muss mindestens enthalten:

8 Zeichen

Eine Zahl und einen Buchstaben

Ein Sonderzeichen

2/4 Geben Sie Ihre persönlichen Daten ein
4/4 Bestätigen

Kostenfrei anmelden

Melden Sie sich jetzt an und erhalten Sie exklusiven Zugang zu:

  • Live-Webinare und Webinar-Wiederholungen. Lernen Sie von Referenten aus der Zahnmedizin, die Experten auf Ihrem Gebiet sind.
  • Fortbildungsinhalte in einer Vielzahl von Formaten, die Ihnen helfen Ihre Fähigkeiten auszubauen und geschäftlichen Erfolg zu erzielen.
  • Unser Programm “Voice of Customer” ist maßgeblich mitverantwortlich, innovative Produkte zu entwickeln, die Ihren Bedürfnissen entsprechen
Erstellen Sie ein kostenloses Profil.
Jetzt anmelden Sie haben bereits ein Profil? Log in
Passwort vergessen?
Geben Sie Ihre E-Mail Adresse an.
Wir senden Ihnen einen Link, mit dem Sie Ihr Passwort zurücksetzen können.
Abbrechen
Abonnieren Sie unseren Newsletter