Cyberrisiken für Praxen: eine unterschätzte Gefahr

Datensicherheit ist essenziell. Während Konzerne das erkannt haben, schützen Praxen oder Kliniken ihre Netzwerke derzeit nicht ausreichend gegen Cyberangriffe. Das Gefahrenpotenzial wird meist unterschätzt, zeigt eine aktuelle Befragung.

Einrichtungen mit personenbezogenen Daten besonders gefährdet

Datensicherheit ist essenziell. Während Konzerne das erkannt haben, schützen Praxen oder Kliniken ihre Netzwerke derzeit nicht ausreichend gegen Cyberangriffe. Das Gefahrenpotenzial wird meist unterschätzt, zeigt eine aktuelle Befragung.

Die Angriffe auf das Klinikum Arnsberg und das Lukaskrankenhaus in Neuss in 2016 haben es bereits gezeigt: Auch das Gesundheitswesen in Deutschland kann in den Fokus von Cyberkriminalität geraten. Auch der Gesetzgeber ordnet den Gesundheitsbereich der Kritischen Infrastruktur (KRITIS) zu, welche im Hinblick auf die Gefahren durch Cyberangriffe besonders schützenswert ist. Dabei sind es nicht nur große Kliniken, auch kleine und mittlere Praxen haben ein hohes Risiko, Opfer von Cyberkriminalität zu werden. Das verwundert insofern nicht, als dass besonders zwei Gruppen betroffen sind: Betriebe, die mit einer hohen Zahl von personenbezogenen Daten arbeiten und in deren Alltag Kundenvertrauen und Reputation eine große Rolle spielen sowie kleine und mittelständische Unternehmen, die sich aufgrund von Größe und Budgetrestriktionen nicht ausreichend vor Angriffen schützen können – Arztpraxen fallen oftmals in beide Kategorien.

Kriminalität aus dem Netz führt unter Umständen zum Ausfall der gesamten IT-Infrastruktur mit Folgen für die Patientensicherheit und dem Risiko von Vermögens-, Reputations- oder gar Personenschäden. Zudem sind Arztpraxen dem unter der DSGVO verschärften Haftungsrisiko ausgesetzt, welches sich aus einer Datenschutzverletzung ergibt. So sind Ärzte nach der DSGVO bei einem Hackerangriff, bei dem Dritte unbefugt die Möglichkeit des Zugriffs auf Patientendaten erlangen, gesetzlich verpflichtet, dies umgehend der zuständigen Aufsichtsbehörde zu melden. Abhängig vom Risiko für den Betroffenen, das aus der Datenschutzverletzung resultiert, sind auch alle Patienten unmittelbar über den Vorfall zu informieren. Doch obwohl Arztpraxen und Kliniken besonders häufig von Cyberkriminalität bedroht sind, belegen Ergebnisse einer aktuellen Studie nun, dass fast alle der befragten niedergelassenen Ärztinnen und Ärzte die Gefahren weiterhin unterschätzen und Nachholbedarf beim Thema IT-Sicherheit haben. Trotz hohen Risikos empfinden über 50% aller Ärzte keine bis lediglich eine geringe Bedrohung durch Cyberrisiken.   

So gelangt eine Schadsoftware in den PC

Die Gründe für die hohe Anzahl von Attacken liegen vor allem in neuen Angriffsformen. Denn die Gefahr im Netz kommt zwar von außen, doch die größte Schwachstelle sitzt vor dem Computer - der Anwender selbst. Mittlerweile erfolgen die meisten Attacken auf kleine Unternehmen über Phishing, Social Engineering und beispielsweise als Bewerbungen getarnte E-Mail-Anhänge. 

Ein typischer Fall: Ein Arzthelfer öffnet eine E-Mail mit dem Betreff "Initiativbewerbung" und durch die angehängte Datei aktiviert sich ein eingeschleuster Trojaner, der auf diesem Weg in das interne IT-System gelangt. Die Schadprogramme starten beim Betriebssystem, führen dabei zu keiner Veränderung der Benutzeroberfläche, bis sie vollständigen Zugriff auf den Rechner oder das gesamte Netzwerk haben. Die meisten sind darauf programmiert, auf dem infizierten Rechner Daten zu sammeln. Besonders perfide sind sogenannte Erpressungstrojaner, die das gesamte System lahmlegen und die Daten erst gegen eine Zahlung wieder freigeben. Aus Sorge um einen vollständigen Datenverlust, aber auch aus Mangel an offensichtlichen Alternativen, zahlen immer noch viele Betroffene bereitwillig die geforderten Summen, auch wenn Experten eindeutig davon abraten.

Doch auch ohne Lösegeld generiert ein Angriff schnell hohe Kosten. So kann die Wiederherstellung von Software und Daten mehrere Tage in Anspruch nehmen. Der normale Praxisbetrieb ist in diesem Zeitraum meist unmöglich und so können sich schnell Schadenssummen im fünfstelligen Bereich anhäufen. Um die betroffenen IT-Systeme von der Schadsoftware zu befreien, müssen Spezialisten aus dem Bereich der IT-Forensik hinzugezogen werden. Falls der Angriff zum Quartalsende stattfindet, kann dies Verzögerungen bei der KV-Abrechnung nach sich ziehen oder zu Liquiditätsengpässen führen. Darüber hinaus bestehen unkalkulierbare, finanzielle Risiken aus der Haftung gegenüber Dritten, wie z.B. Patienten, deren Daten dem unbefugten Zugriff ausgesetzt wurden. In diesem Fall ist außerdem notwendig, sich mit einem Fachanwalt für Datenschutzrecht zu beraten.

Gefahrenquelle Mensch

Eine vielfach unterschätzte Sicherheitslücke ist das Personal. Um diese zu schließen, braucht es zuallererst einen offenen Umgang und die notwendige Beachtung des Themas Cyberkriminalität. Wie die Befragung von 300 kleinen und mittleren Unternehmen nun feststellte, sind sich die Teilnehmer aus dem Gesundheitsbereich noch immer nicht über ihr erhöhtes Risiko im Klaren. So haben nur ein Drittel der Befragten von Cyberangriffen auf Kollegen gehört. Dabei ist notwendig, dass alle Mitarbeiter ein Bewusstsein dafür entwickeln. Sie sollten auf die Risiken aufmerksam gemacht werden, die etwa aus privatem Surfen im Internet oder der Nutzung von Social Media am Arbeitsplatz resultieren. Denn gut geschulte Mitarbeiter sind einer der entscheidenden Bausteine eines ganzheitlichen Cybersicherheitskonzepts.

So kann sich eine Praxis schützen

Um einen möglichst wirksamen Schutz für die Arztpraxis aufzubauen, ist die technische Absicherung des praxiseigenen Computersystems mithilfe von Sicherheitssoftware und regelmäßigen Systemupdates immer noch das Mittel der Wahl. Ebenfalls elementar und häufig vernachlässigt, ist die regelmäßige Datensicherungen. So verfügen fast ein Drittel der befragten Unternehmen aus der o.g. Erhebung über kein regelmäßiges Datenbackup, was bei einer Attacke schnell einen irreparablen Datenverlust nach sich ziehen kann. Um die Sicherheitslücke "Mensch" zu schließen, sollte das Praxis- und Klinikpersonal sensibilisiert und geschult werden. Eine weitere Möglichkeit sind Angebote für eine Versicherung gegen Cyberattacken. Diese können ein Mittel sein, um sich gegen Schäden abzusichern und im akuten Fall auf professionelle Unterstützung zurückgreifen zu können.

Weitere spannende Fragen und relevante Themen für Niedergelassene Ärzte wie Abrechnungen, Erstattung, GOÄ, IGeL oder Förderprogramme lesen Sie regelmäßig im Praxis-Tipps Blog.