Angriffe aus dem Internet
So schützen Ärzte ihre Praxisdaten
Auf Server und PC-Arbeitsplätzen in der Praxis liegen sensible Daten, auf die auch Cyber-Kriminelle gern Zugriff hätten. Ihnen können Praxischefs bereits mit einfachen Mitteln Paroli bieten.
Veröffentlicht:
Hacker bei der Arbeit: Nicht in allen Fällen stecken Menschen hinter Angriffen auf Praxisserver - oft handelt es sich um sogenannte Botattacken.
© aetb / fotolia.com
NEU-ISENBURG. 80 Prozent der Angriffe von Cyber-Kriminellen zielen auf kleine und mittlere Unternehmen (KMU) zu denen auch Arztpraxen zählen.
Das berichtet Dr. Oliver Grün, Präsident des Bundesverbandes IT-Mittelstand, im Gespräch mit der "Ärzte Zeitung".
Große Unternehmen betrieben heute hohen Aufwand, um wertvolle Informationen auf ihren Festplatten zu schützen. "Kleine Arztpraxen können das nicht in dem Umfang leisten, bieten Angreifern aber durchaus lukrative Geheimnisse, wie personenbezogene medizinische Daten", sagt Grün.
Dabei können sich Ärzte auch ohne einen Systemadministrator in der Praxis mit den richtigen Kniffen gut schützen.
"IT-Sicherheit in der Praxis sollte immer Chefsache sein", betont Grün. Dabei müsse der Arzt nicht viel Zeit mit der eigentlichen Technik verbringen - hiermit könne auch ein IT-Dienstleister beauftragt werden.
Wesentlich sei, die wichtigsten Angriffspunkte in der Praxis zu kennen, um ein gutes Sicherheitskonzept entwickeln zu können.
Routine bei Passwörtern
Ein erster Schritt sei, das Bewusstsein für Sicherheit im Praxisteam zu erhöhen. Dazu gehöre zum Beispiel, dass Praxisrechner gesperrt werden, wenn etwa Medizinische Fachangestellte (MFA) ihren Arbeitsplatz für eine Pause verlassen.
Anhänge in einer E-Mail sollten nur geöffnet werden, wenn klar ist, wer der Absender ist. Solche Verhaltensweisen für mehr Sicherheit im Alltag könnten gemeinsam in den Teamsitzungen festgelegt werden.
Ein anderer zentraler Punkt sei das Zugriffsmanagement. "Circa 60 bis 70 Prozent der Angriffe kommen von innen", sagt Grün.
Das können etwa Mitarbeiter und Kollegen sein, die nun in einer anderen Praxis tätig sind aber noch Einblick in Daten des ehemaligen Arbeitgebers haben. Ein Beispiel dafür sei der Terminkalender der Praxis - so dieser online ist.
Das passiere dann, wenn Passwörter nicht routinemäßig ausgetauscht würden. Wichtige Zugangsdaten sollten in regelmäßigen Intervallen erneuert werden: "Etwa alle drei Monate empfiehlt sich hier als Faustregel", erklärt Grün.
Hundert Angriffe pro Tag
Gefahren drohen den Praxisdaten aber auch von außerhalb, wobei diese nicht immer menschlicher Natur sind. Sogenannte Bots - kleine Schadprogramme - durchkämmen systematisch das Internet auf der Suche nach Sicherheitslücken.
Ein mögliches Ziel ist der Praxisserver, also der Computer der dauerhaft mit dem Internet verbunden ist. "Im Schnitt wird ein Server Hunderte Mal am Tag angegriffen", berichtet Sicherheitsexperte Grün.
Das funktioniere beispielsweise so: Bietet die Internetseite der Praxis einen Service für Patienten, um Termine zu buchen - und damit ein Onlineformular - werde der Bot aktiv. Automatisiert trage er Schadcode (zum Beispiel HTML-Befehle) etwa in das Textfeld für die Terminbuchung ein.
Ist der Server mit der Praxiswebsite davor nicht gefeit, werde er vom Bot "geentert". "Der Server verschickt dann unbemerkt Spam oder wird ausgehorcht", sagt Grün. Gegen solche Zugriffe helfen Firewall und Antivirenprogramme.
Damit keine Einfallstore für Cyber-Kriminelle in der Praxis bestehen, müssen die Sicherheitsprogramme stets aktuell gehalten werden. Dabei ist es laut dem Experten bereits riskant, die Programme länger als eine Woche nicht zu aktualisieren.
Auch Betriebssystem, Internetbrowser und andere täglich benutzte Anwendung benötigen regelmäßige Pflege, erklärt Grün. Das betreffe alle mit dem Internet verbundenen Rechner in der Praxis.
Mobile Geräte in der Praxis
Allerdings können auch mobile Geräte Sicherheitsrisiken bergen: "Werden USB-Sticks in der Praxis verwendet, sollten diese verschlüsselt sein", betont Grün.
Solche Speicher mit Hardwareverschlüsselung seien in der Regel teurer als die ohne Verschlüsselung. Bei Verlust können Dritte die gespeicherten Informationen aber nicht auslesen.
Auf einigen Modellen befinde sich zudem ein eigener Virenschutz. Das ist auch bei anderen Geräten in der Praxis wichtig.
Tablet-PC oder Laptops, die Ärzte beispielsweise auf Kongressen nutzen, sollten ebenfalls eine Festplattenverschlüsselung aktiviert haben. Ein weiterer wesentlicher Punkt für Ärzte ist die Datensicherung: "IT-Sicherheit bedeutet nicht nur Vertraulichkeit, sondern auch Verfügbarkeit."
Damit meint Grün, dass Ärzte regelmäßige Datensicherungen durchführen und anlegen, auf die sie zurückgreifen können, falls Geräte defekt oder mit Viren befallen sind.
Dabei mahnt Grün vor den immer beliebter werdenden Cloud-Lösungen, bei denen sich Daten auf externen Servern speichern und überall auf der Welt abrufen lassen.
Wer bei Microsoft OneDrive, Google Drive, Dropbox oder anderen Anbietern Daten ablege, müsse diese verschlüsseln. Dafür können, so Grün, Programme wie "Boxcryptor" verwendet werden.
"Wird die Cloud gehackt, finden Angreifer darin dann nur ungenießbaren Datensalat."
Cyber-Kriminalität: Jedem Zweiten fehlt das Notfallkonzept
Gut die Hälfte aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitaler Spionage, Sabotage oder Datendiebstahl geworden. Dabei rangiert das Gesundheitswesen auf Platz vier der Top 5 der am stärksten betroffenen Branchen (58 Prozent), die Versicherungen auf Rang drei (60 Prozent).
Häufigstes Angriffsziel und damit Haupteinfallstor sind die IT-Systeme und die Kommunikationsinfrastruktur der Betriebe. Das zeigen die Ergebnisse einer repräsentativen Umfrage des Hightech-Verbands BITKOM, für die Geschäftsführer und Sicherheitsverantwortliche von 1074 Unternehmen befragt wurden.
Dabei sind laut Umfrage mittelständische Unternehmen - zu denen auch Praxen zählen - mit 61 Prozent am stärksten von Spionage- oder Sabotageakten betroffen. Problematisch ist aber vor allem, dass die Unternehmen keine ausreichenden Notfallkonzepte vorhalten. Alle befragten Unternehmen verfügten zwar über einen Grundschutz, bestehend aus Virenscannern, Firewalls und regelmäßigen Updates aller Programme.
Dies sollte laut BITKOM aber durch spezielle Angriffserkennungs- und Verschlüsselungssysteme ergänzt werden. Ein Notfallmanagement für den tatsächlichen Krisenfall konnten nur 49 Prozent vorweisen - und das, obwohl schnelles Handeln im Krisenfall unbedingt notwendig ist.
Zu den Zielen des Notfallmanagements gehöre es etwa, einen Datenabfluss zu stoppen oder beim Ausfall wichtiger Systeme die Arbeitsfähigkeit des Betriebs so schnell wie möglich wieder herzustellen, so der BITKOM. "Die Maßnahmen zur Vorbereitung eines Notfallmanagements reichen vom Erstellen einer Kontaktliste mit den wichtigsten Ansprechpartnern bis zu mehrtägigen Übungen, bei denen verschiedene Szenarien durchgespielt werden", sagt BITKOM-Hauptgeschäftsführer Dr. Bernhard Rohleder.
Noch zu wenig wird laut Verband auch getan, um die Mitarbeiter für Risiken aus dem Web zu sensibilisieren. Nur 52 Prozent der Befragten führten Schulungen der Mitarbeiter durch - das betreffe auch Bereiche wie die richtige Verwendung von Zugangsdaten oder den korrekten Umgang mit externen Datenträgern. (reh)
Weitere Infos zum IT-Notfallmanagement und einen Selbsttest für Betriebe finden Sie im IT-Sicherheitsblog für den Mittelstand.
