Cybersecurity in der Praxis: Sicher ist besser

Was Datenschutz und Datensicherheit betrifft, haben Inhaber:innen und Mitarbeiter:innen von Praxen der Physiotherapie, Ergotherapie, Logopädie und Podologie (in An- und Abführung) Glück – zumindest ein bisschen. Während für ärztliche und psychotherapeutische Praxen seit 2021 eine umfangreiche, verbindliche IT-Sicherheitsrichtlinie gilt, bleiben die Heilmittelerbringer:innen davon verschont. Damit ist das versprochene Quäntchen Glück aber auch schon aufgebraucht. Denn viele der in dieser Sicherheitsrichtlinie enthaltenen Anforderungen entsprechen Vorgaben, die bereits an anderer Stelle formuliert wurden: in der Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG).

Diese beiden Regelwerke gelten wiederum auch für die Heilmittelerbringer:innen. „Daraus folgt, dass jede Praxis ein auf die eigenen Bedürfnisse zugeschnittenes Datenschutzkonzept erstellen muss“, sagt Marc Balke, stellvertretender Geschäftsführer und Referatsleiter Recht beim Bundesverband selbstständiger Physiotherapeuten – IFK e. V. „Dazu gehören Schulungen der Mitarbeiter:innen, gegebenenfalls die Bestellung einer oder eines Datenschutzbeauftragten sowie ganz praktische technische Maßnahmen wie Passwortmanagement, Firewall und organisatorische Maßnahmen wie ein internes Berechtigungskonzept und Ablaufpläne bei Datenpannen.“ Auch die Nutzung einer an sich sicheren cloudbasierten Software entbinde die Praxen nicht von den genannten Pflichten, so Barke.

Starke Passwörter und Zwei-Faktor-Authentifizierung

Um die Gesundheitsdaten der Patienten:innen zu schützen, ist es wichtig, den Zugang zu Praxissoftware, E-Mail-Konten und Online-Diensten mit starken Passwörtern abzusichern. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es dafür zwei Möglichkeiten: Entweder das Passwort ist lang, mindestens 25 Zeichen, dann genügen zwei Zeichenarten, zum Beispiel Klein- und Großbuchstaben. Daraus lassen sich schwer zu knackende Passwörter bilden, die man sich gut merken kann. Beispiel mit 40 Zeichen: „MeinePraxisinFrankfurtdiebestederWelt“. Für ein kurzes Passwort mit mindestens acht Zeichen sollten vier Zeichenarten kombiniert werden, zum Beispiel Zahlen, Sonderzeichen, Klein- und Großbuchstaben. Jedes Passwort sollte für jeden Zugang einzigartig sein. Wer immer wieder dasselbe Passwort verwendet, läuft Gefahr, bei einem Datenleck gleich mehrere Zugänge zu gefährden. Mit einem Passwortmanager, in dem alle Passwörter gespeichert werden, kann man sich das Leben deutlich erleichtern. Außerdem empfiehlt sich die Zwei-Faktor-Authentifizierung (2FA). Dabei wird zusätzlich zum Passwort ein zweiter Faktor abgefragt, zum Beispiel ein Code per App oder SMS. So wird selbst bei einem Passwortdiebstahl der Zugriff auf die Patientendaten verhindert. 

Mehr über Passwörter beim BSI

Zugriffe beschränken: das Berechtigungskonzept

Ein weiterer wichtiger Sicherheitsgrundsatz lautet: Nicht jede:r in der Praxis braucht Zugang zu allen Daten. Mitarbeiter:innen sollten nur auf die Informationen zugreifen können, die sie für ihre tägliche Arbeit wirklich benötigen. So können sensible Daten gezielt geschützt und das Risiko von unbeabsichtigten Fehlern oder Datenmissbrauch minimiert werden. In der Praxis bedeutet dies, dass zum Beispiel eine Rezeptionskraft keinen Zugriff auf vertrauliche Behandlungsunterlagen benötigt und Auszubildende nur eingeschränkte Rechte erhalten sollten. Dies kann durch ein rollenbasiertes Berechtigungssystem umgesetzt werden, das, vereinfacht gesagt, wie folgt aufgebaut wird: Im ersten Schritt werden alle Rollen in Ihrer Praxis erfasst: etwa Therapeut:innen, Verwaltung, Empfang oder externe IT-Dienstleister. Dann wird definiert, welche Daten und Systeme für jede Rolle wirklich benötigt werden. Anschließend werden die Zugriffsrechte so vergeben, dass jede Person nur das sehen und bearbeiten kann, was sie für ihre Aufgaben benötigt. Wichtig ist, dieses Konzept zu dokumentieren, regelmäßig zu überprüfen und bei personellen Veränderungen anzupassen. 

Regelmäßige Software-Updates und Virenschutz

Die meisten kennen das von ihrem PC oder ihrem Smartphone. Immer wieder heißt es: Updates laden und neu starten. Das ist zwar lästig, aber leider sind veraltete Programme ein Einfallstor für Cyberangriffe, auch in Praxen. Denn Cybergangster arbeiten ständig daran, die Sicherheitsmechanismen von Software auszuhebeln, während Sicherheitsexperten versuchen, die Lücken zu schließen. Ihre Updates beseitigen bekannte Sicherheitslücken und schützen vor aktuellen Bedrohungen. Deshalb ist es wichtig, jede eingesetzte Software – sei es das Betriebssystem oder installierte Anwendungen – regelmäßig zu aktualisieren. Ist die Praxissoftware cloudbasiert, muss man sich zumindest in diesem Punkt keine Sorgen machen: Der Anbieter kümmert sich um die Aktualisierung. Zusätzlich sollte ein professionelles Antivirenprogramm installiert sein, das regelmäßig aktualisiert wird und auch vor Phishing und Malware schützt. Nur mit aktueller Software und einem zuverlässigen Virenschutz lassen sich Patientendaten wirksam vor unbefugtem Zugriff schützen.

Datensicherung durch verschlüsselte Backups

Es passiert öfter als man denkt: Der Bildschirm wird schwarz und eine unfreundliche Meldung sagt in etwa Folgendes: „Ihre Daten wurden verschlüsselt. Um sie wiederherzustellen, zahlen Sie ein Lösegeld von 0,5 Bitcoin an folgende Adresse“. Die Expert:innen-Regel, niemals Lösegeld zu bezahlen, kann dann mit einigermaßen gutem Gewissen befolgt werden, wenn die Daten zuvor gesichert wurden. Gleiches gilt für den Datenverlust durch technische Defekte: Die Festplatte, die jahrelang geräuschlos und zuverlässig lief, fällt von einer Sekunde auf die andere aus. Auch dann sind die Daten weg. Umso wichtiger ist es, regelmäßig vollständige Backups aller relevanten Daten zu erstellen. Dabei sollte die Datensicherung nicht nur automatisiert, sondern idealerweise auch verschlüsselt erfolgen. Denn eine Backup-Festplatte in der Praxis könnte bei einem Einbruch gestohlen werden. Ideal ist eine Kombination aus lokaler und externer Sicherung, zum Beispiel auf einer verschlüsselten Festplatte in der Praxis und in einer Cloud. Wichtig: Die Wiederherstellung der Daten sollte regelmäßig getestet werden, um im Ernstfall schnell handlungsfähig zu bleiben.

Schulungen für Mitarbeitende zu Cybersecurity

Ein falscher Klick auf eine Phishing-Mail, ein zu einfaches Passwort, das dann auch noch für mehrere Zugänge verwendet wird: Viele Sicherheitslücken entstehen durch Unwissenheit oder kleine Fehler im Alltag. Mitarbeiter:innen in therapeutischen Praxen sollten daher regelmäßig zu Themen der IT-Sicherheit geschult werden – etwa zum Erkennen von Phishing-Mails, zum sicheren Umgang mit Passwörtern oder zum richtigen Verhalten bei verdächtigen Vorfällen. Schulungen müssen nicht aufwendig sein, aber sie sensibilisieren das Team für mögliche Gefahren und schaffen ein gemeinsames Sicherheitsbewusstsein. Je nach zeitlichem und finanziellem Budget können solche Schulungen vor Ort oder in Form eines Webinars durchgeführt werden.

Bereit für den Ernstfall: das Konzept für Datenpannen

Alle Datenpannen haben eines gemeinsam: Sie kommen völlig unerwartet. Dennoch kann man sich darauf vorbereiten, indem man einen Krisenplan aufstellt, der festlegt, was im Ernstfall zu tun ist. Zunächst muss definiert werden, wer sich darum kümmert: Meist besteht das Krisenteam aus der Praxisleitung, dem IT-Verantwortlichen und dem Datenschutzbeauftragten. Dann gilt es, den Schaden so gering wie möglich zu halten: betroffene Systeme vom Rest isolieren, Zugänge sperren. Der Vorfall muss dokumentiert werden: Was ist wann, wie und warum passiert. Die Dokumentation dient einerseits der Rechtssicherheit und der Rechenschaftspflicht gegenüber den Datenschutzbehörden, andererseits der internen Analyse und Verbesserung. Dann folgt die Bewertung des Schadens: Besteht ein Risiko für die Patient:innen? Unter bestimmten Umständen muss auch die Datenschutzbehörde informiert werden, zum Beispiel wenn personenbezogene Daten betroffen sind. Geregelt ist das in Artikel 33 der DSGVO.

Auch wenn all das kompliziert und aufwendig klingt, ist es wichtig, mit diesen grundlegenden Maßnahmen zu beginnen oder – wenn sie schon ganz oder in Teilen bestehen – sie zu überprüfen. IT-Sicherheit ist ein fortlaufender Prozess und wird mit der fortschreitenden Digitalisierung des Gesundheitssystems immer wichtiger. Eine gute Anlaufstelle für einen Start oder ein Update zum Thema sind die einzelnen Fachverbände, bei denen es oft Fort- und Weiterbildungen zum Thema gibt. Die Masterclass zum Datenschutz in Optica OWL bietet einen kompakten Überblick über die wichtigsten Themenfelder.