12. August 2020

IT-Sicherheit

So schützen Sie Ihre Praxis

Mit der Digitalisierung im Gesundheitswesen gibt es immer neue Gefahrenquellen und Fallstricke in Bezug auf die Sicherheit der genutzten Informationstechnologien. Hier finden Sie nützliche Tipps für die IT-Sicherheit in Ihrer Praxis.

Lesedauer: 3,5 Minuten

Der folgende Beitrag wird vertreten durch Alexa Frey, Fachanwältin für Medizinrecht.

Praxishardware

Bei der Praxishardware (Computer, Server etc.) sind folgende Fragen wichtig:

Wo steht Ihr Praxisserver? Wird dieser in der Praxis selbst oder extern (in einem Rechenzentrum) betrieben?
Steht Ihr Server in der Praxis, muss dieser vor dem Zugriff Dritter gesichert sein (abschließbarer und abgeschlossener Serverschrank/-raum). Zudem muss er in einem separaten Brandabschnitt stehen und ausreichend klimatisiert werden. Der Serverraum sollte nicht für andere Zwecke – bspw. als Aufenthaltsraum, Labor, etc. – genutzt werden.

Ist Ihr Server ausfallsicher? Werden die Daten gesichert?
Arbeiten Sie mit mehreren Festplatten (sog. Spiegeln) und sichern Sie Ihre Daten in regelmäßigen, festgelegten Abständen. Sorgen Sie zudem für eine unterbrechungsfreie Stromversorgung (USV) in Ihrer Arztpraxis, um einem Datenverlust bei Stromausfällen entgegenzuwirken.

VPN-Verbindung
Bei Betrieb des Praxisservers im Rechenzentrum muss der „Weg“ der Daten zwischen der Praxis und dem Server abgesichert sein, bspw. durch eine sichere VPN-Verbindung. Die räumliche Absicherung des Servers muss hier durch die ausführende Firma sichergestellt werden. Sinnvoll kann – bei einer Rechenzentrumslösung & Nutzung einer digitalen Telefonanlage (Voiceover IP) – die Nutzung von mehreren Internetverbindungen sein.

Praxissoftware & Softwarenutzung

Sicherung von Daten
Machen Sie regelmäßig Datensicherungen (Spiegeln der Festplatte). Stellen Sie sicher, dass die Datensicherungen bspw. am Wochenende nicht in der Praxis verbleiben und vor dem Zugriff Dritter geschützt verwahrt werden. Wenn Ihre Daten „extern“ gespeichert werden, muss gewährleistet sein, dass die angebotenen Leistungen den Anforderungen an die ärztliche Schweigepflicht genügen. Dies ist insbesondere bei externen Rechenzentren und Cloud-Diensten wichtig. Von einer Nutzung von Cloud-Diensten (sog. Cloud-Computing) wird durch die Ärztekammern abgeraten, da eine sichere Umsetzung unter Wahrung des Berufsgeheimnisses nur schwer möglich ist. Wenn eine Cloud-Lösung umgesetzt werden soll, muss ein Anbieter beauftragt werden, der die besonderen Sicherheitserfordernisse der Berufsgeheimnisträger berücksichtigt und dieser durch entsprechende Sicherungssysteme Rechnung trägt.

Internet und WLAN
Prüfen Sie, ob ein Zugriff auf das Internet von allen Praxisrechnern aus erforderlich ist. Falls ja, benötigen Sie eine entsprechend sichere Firewall zum Schutz vor dem Zugriff von außen. Die in den gängigen Betriebssystemen vorhandene Firewall dürfte hierfür nicht ausreichend sein.

Benötigen Sie WLAN in der Praxis? Falls ja, stellen Sie sicher, dass ein individuelles Passwort für das WLAN vergeben wurde und nur Personen das Passwort kennen, die auf das WLAN zugreifen müssen. Von einem Patienten-WLAN in der Arztpraxis ist aus Sicherheitsaspekten grundsätzlich abzuraten. Für einen Missbrauch des WLANs haften nämlich Sie als Betreiber.

Sinnvoll ist, die verwendete Internetverbindung und die Router auf deren Sicherheit zu überprüfen. Insbesondere sollte auch die vom Router verwendete Firmeware laufend aktualisiert werden. Eine Empfehlung zum sicheren Einsatz von Breitbandroutern stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung >>

Trojaner und Malware
Schulen Sie Ihre Mitarbeiter in Bezug auf mögliche Schadsoftware, die von außen in Ihre Praxis eingeschleust werden kann. Nehmen Sie grundsätzlich keine Datenträger (USB-Sticks etc.) von Patienten an, ohne diese vorab mit entsprechenden Programmen auf schädliche Software zu überprüfen, bevor Daten auf Ihren Praxisserver kopiert werden. Stellen Sie sicher, dass keine E-Mail-Anhänge geöffnet werden, deren Absender nicht bekannt ist oder bei denen die E-Mail unseriös wirkt (fehlende persönliche Anrede, Schreibfehler, etc.).

Die Nutzung des medizinischen Messengers von coliquio ist ein zusätzlicher Schritt in Richtung Datenschutz und DSGVO-Konformität. Sie können medflex, der das ips-Gütesiegel der datenschutz cert GmbH besitzt, für Dateien- und Nachrichtenaustausch einsetzen. Zudem ist medflex als zertifizierter Anbieter von Videosprechstunden bei der KBV gelistet. Jetzt mit medflex unverbindlich starten >>

Verwendung sicherer Passwörter

Passwörter sind Fluch und Segen zugleich. Realität ist, dass heutzutage jedes Passwort durch entsprechende Computerprogramme geknackt werden kann. Es kommt aber entscheidend darauf an, wie lange das „Hacken“ dauert. Stellen Sie daher sicher, dass alle Computer und Praxissoftware mit einem Passwortschutz versehen sind und sichere Passwörter verwendet werden.

Für ein sicheres Passwort sollten Buchstaben, Ziffern, Sonderzeichen sowie Groß- & Kleinschreibung kombiniert werden (Minimum: 8 Zeichen). Auf Worte, die man im Wörterbuch findet, sollte genauso verzichtet werden, wie auf Buchstaben oder Ziffern die auf der Tastatur nebeneinanderliegen.

So können Sie sichere Passwörter „erfinden“, die leicht zu merken sind

  1. Suchen Sie sich einen Buch-, Film- oder Songtitel aus, der Bezug zu der Tätigkeit hat, für die das Passwort erstellt werden soll
  2. Wählen Sie die Anfangsbuchstaben der Wörter in der dort auftauchenden Groß- und Kleinschreibung
  3. Fügen Sie am Anfang und/oder am Ende ein Sonderzeichen hinzu
  4. Setzten Sie an das Ende eine Zahlenreihe, die Sie sich gut merken können (bspw. Geburtstag / Festnetznummer der Großmutter) (à nicht 123 o. 789)
Bsp.: Arztpraxis „Prometheus Allgemeine Anatomie und Bewegungssystem“ + Geburtstag 26. März
→ Passwort: !PAAuB2603 (Dauer zum Knacken: 39 Jahre)

Stellen Sie sicher, dass die Passwörter durch Ihre Mitarbeiter nicht notiert und am Computer „griffbereit“ deponiert werden; typisch sind Post-its direkt am Bildschirm, unter der Schreibtischunterlage oder in der Schreibtischschublade.

Cyberkriminalität und -versicherung

Für die Bekämpfung & Verfolgung von Cyberkriminalität auf Unternehmen, gibt es bei den jeweiligen Bundesländern zentrale Anlaufstellen. Um Ihre Praxis gegen Angriffe von außen abzusichern, kann es sinnvoll sein, eine zusätzlich „Cyberversicherung“ abzuschließen, die Schäden im Zusammenhang mit Cyberkriminalität bspw. Hacker-Angriffen absichern.

Alexa Frey ist selbständige Rechtsanwältin und Fachanwältin für Medizinrecht, in Weiterbildung zur Fachanwältin für IT-Recht. Sie berät Leistungserbringer im Gesundheitswesen in Fragen des Arzthaftungsrechts, IT-Rechts, Datenschutzes, Vertrags- und Gesellschaftsrechts, Vergütungsrechts und Medizinstrafrechts.
Kontakt: frey@wws-ulm.de

Bildquelle: © gettyImages/marchmeena29

Jetzt kommentieren

Möchten Sie den Beitrag kommentieren?

Angemeldete Mitglieder unserer Ärzte-Community können Beiträge kommentieren und Kommentare anderer Ärzte lesen.


Jetzt kommentieren

Verantwortlich für den Inhalt dieser Seite ist 
coliquio GmbH gemäß §4 HWG.

coliquio GmbH
Turmstraße 22
78467 Konstanz
www.coliquio.de

Tel.: +49 7531 363 939 300
Fax: +49 7531 363 939 900
Mail: info@coliquio.de

Vertretungsberechtigte Geschäftsführer:
Felix Rademacher, Martin Drees
Handelsregister: Amtsgericht Freiburg 
Registernummer: HRB 701556
USt-IdNr.: DE256286653