Viele Arztpraxen arbeiten am Limit. Patienten müssen trotz zunehmendem Fachkräftemangel und hohem bürokratischen Aufwand versorgt werden. Das Thema Sicherheit bleibt dabei nicht selten auf der Strecke.
mednic sprach mit dem Sicherheitsexperten bei der G Data CyberDefense AG Tim Berghoff darüber, was man über den Schutz sensibler Praxis- und Patientendaten unbedingt wissen sollte.
mednic: Was läuft in Arztpraxen hinsichtlich Digitalisierung gut und wo besteht Verbesserungsbedarf?
Berghoff: Die Digitalisierung ist mittlerweile in den meisten Praxen angekommen. Dass Angestellte Patientenakten auf Papier von einem Behandlungsraum zum nächsten bringen, ist heute eher selten. Befunde geben die MedizinerInnen meist direkt am PC ein, sodass sie nicht erst noch mühsam übertragen werden müssen. Dass aber manches noch immer papierbasiert ist, stellt einen in manchen Fällen unnötigen Flaschenhals dar. So müssen PatientInnen oft noch Arztbriefe oder radiologische Befunde der jeweiligen Fachpraxis selbst von A nach B tragen, und einige Prozesse sind noch immer auf das Fax angewiesen, obwohl es wesentlich schnellere und sicherere Übertragungswege gibt.
Die Frage, ob wirklich alles digitalisiert werden muss, haben auch einige MedizinerInnen gestellt – etwa aus dem Bereich der Psychiatrie. Denn gerade hier ist die zwischenmenschliche Komponente überaus wichtig. Daher scheuen PsychiaterInnen oft den bürokratischen Mehraufwand, den eine Anbindung an die Telematik-Infrastruktur mit sich bringt, wie es die Psychotherapeutenkammer NRW in der Resolution ihrer 4. Kammerversammlung im Mai 2019 festgehalten hat. Statt jedoch Anreize zu schaffen, werden die letzten „analogen Rebellen“ mit Honorarabzügen abgestraft.
mednic: Arztpraxen wird eine Menge Verwaltungsarbeit aufgebürdet. Bleibt in diesem oftmals stressigen Alltag die Sicherheit auf der Strecke?
Berghoff: In der Tat stellen Verwaltungsaufgaben einen nicht unerheblichen Teil der Büroarbeit in Praxen dar. Diese dienen zahlreichen Zwecken, von der Dokumentation von Behandlungen, über das Abrechnungswesen bis hin zur Terminverwaltung. Dazu kommt eine Vielzahl von Medienbrüchen – manche Informationen müssen von Hand in verschiedenen Systemen aktuell gehalten werden, etwa parallel per E-Mail und Fax, aber auch in (hand-) schriftlichen Berichten. Damit sind die Angestellten zumeist auch schon voll ausgelastet – die Sicherheit bleibt oft auf der Strecke.
IT-Sicherheit nach Feierabend
Das kann man ihnen aber nur eingeschränkt zum Vorwurf machen, denn oberste Priorität hat in jeder Praxis noch immer die Behandlung von PatientInnen. An dieser Stelle unterscheidet sich eine Arztpraxis nicht signifikant von jedem anderen Unternehmen – dort ist ebenfalls das Kerngeschäft der Fokus aller Bemühungen. Alle anderen Belange sind dem nachgeordnet. So sind vielfach alle IT-Belange an einen Dienstleister wie ein Systemhaus ausgelagert. Gibt es Probleme, muss der Dienstleister ran. Oder, wie in manchen Praxen, kümmert sich sogar der Chef oder die Chefin persönlich um die IT – nicht unbedingt der beste Ansatz, denn nicht nur fehlt es MedizinerInnen oft am nötigen Hintergrundwissen in Sachen IT-Sicherheit – hier bleibt für sicherheitskritische Aufgaben bestenfalls die Zeit nach Feierabend. Das ist langfristig geradezu ein Garant dafür, dass Dinge schiefgehen.
Effektive Sicherheit muss benutzbar sein
Sicherheit muss unter dem Strich benutzbar und nahtlos in den Alltag integrierbar sein, sonst ist sie nicht effektiv. Und wer zusammengenommen zehn Minuten am Tag oder mehr ausschließlich damit beschäftigt ist, lange Passwörter einzugeben, wird sich Wege überlegen, um das zu beschleunigen. Das passiert oft etwa dadurch, dass einmal morgens vor Praxisöffnung alle Rechner hochgefahren und entsperrt werden – und den ganzen Tag entsperrt bleiben.
mednic: Was sind die größten IT-Sicherheitsrisiken für Arztpraxen und vergleichbare Einrichtungen?
Berghoff: Datenverlust oder IT-Ausfall auf lokaler Ebene gehört zu den dramatischsten IT-Vorkommnissen für Arztpraxen – gerade, wenn es in die Phase der Quartals- oder Jahresabschlüsse geht. Hier bedeutet ein Datenverlust auch gleichzeitig einen finanziellen Verlust – und den Verlust von Arbeitszeit.
USB-Festplatten und „Server“ in der Besenkammer
Auch immer wieder ein Thema: Datensicherungen, die diesen Namen eigentlich nicht verdienen. Warum? Weil die „Sicherung“ aus einer dauerhaft angeschlossenen externen USB-Festplatte besteht, die im schlimmsten Fall von einer Ransomware gleich mit verschlüsselt wird. Zugleich steht der „Server“ oft genug in einer Besenkammer oder einem anderen mehr oder weniger offen zugänglichen Raum. Und diese „Server“ – oft genug nur ein normaler Büro-PC, nur ohne Monitor – sind auch oft genug nicht ausreichend ausfallsicher ausgelegt. RAID-Systeme, redundante Netzteile, USV – Fehlanzeige. Und im ungünstigsten Fall ist dieser auch noch per Remotedesktop-Dienst aus dem Internet erreichbar, damit ein Dienstleister schnell darauf zugreifen kann. Sobald das System ausfällt, ob durch Hardwaredefekte oder eine Schadsoftware, geht nichts mehr.
Wichtige Wiederherstellbarkeit
Auch dass eine Datensicherung – sofern eine solche besteht, die den Anforderungen gerecht wird – oftmals nicht oder nur selten auf ihre Wiederherstellbarkeit geprüft wird, ist ein altes Problem. Hier sind die Systemhäuser eindeutig in der Pflicht, Abhilfe zu leisten und einen besseren Beitrag für die Sicherheit zu leisten. Aufgrund ihrer vergleichsweise geringen Größe (gemessen etwa an einem Krankenhaus), haben selbst größere Gemeinschaftspraxen nicht unbedingt die Mittel, einen eigenen Sicherheitsdienstleister unter Vertrag zu nehmen oder im Notfall eine Incident Response zu beauftragen.
Der aus Sicht von Systemhäusern wie auch Praxen schnellste Weg zurück zum Normalbetrieb ist in solchen Fällen meist das Austauschen oder Neuaufsetzen der betroffenen Systeme. Wo, wann und wie ein Zwischenfall seinen Anfang genommen hat, ist aus Sicht des medizinischen Personals und den Angestellten unerheblich – denn der Praxisbetrieb muss weitergehen. Für aufwändige oder langwierige Ermittlungen ist da keine Zeit. So bleiben allerdings auch wichtige Lektionen auf der Straße liegen, die hätten gelernt werden können, um gleichartige Zwischenfälle künftig zu verhindern.
In einer Arztpraxis sind auch sicherheitsrelevante Faktoren vorhanden, die sich nur bedingt von Angestellten beeinflussen lassen. Dazu zählt etwa die Verwendung bestimmter vorgegebener Programme und bestimmter Geräte, wie etwa im Fall der Telematik. Hier haben Praxen recht geringen Spielraum.
Gefahr Datenverlust
Die größte Gefahr ist der Verlust von Daten und die Möglichkeit, dass Unbefugte medizinische Daten einsehen können. Das kann durch ein Versehen oder durch Bequemlichkeit passieren. Eine Akte bleibt offen einsehbar auf dem Tisch liegen, ein Befund geht aus Versehen an die falsche E-Mail-Adresse – und schon ist Ärger potenziell vorprogrammiert. Gleiches gilt, wenn nicht mehr benötigte Papierunterlagen nicht einer sachgemäßen Entsorgung zugeführt werden und im normalen Abfall oder Altpapier landen.
mednic: Inwieweit hat sich das Sicherheitsbewusstsein in den Praxen verändert? Welche Rollen spielen dabei die DSGVO oder auch die Anbindung an die Telematikinfrastruktur?
Berghoff: Dass bestimmte Informationen unbedingt zu schützen sind, haben mittlerweile alle verstanden. Die DSGVO spielt hier sicherlich auch eine Rolle, und das ist auch gut so. Die Telematik-Infrastruktur selbst ist in Teilen problembehaftet. So haben Sicherheitsforschende immer wieder auf gravierende Sicherheitslücken hingewiesen, die nicht nur ohne großen technischen Aufwand ausnutzbar sind, sondern Unbefugten auch ungehinderten Zugriff auf Patientendaten ermöglichten. Hier können Arztpraxen effektiv nicht viel ausrichten – die Sicherheitslücken sind an anderer Stelle zu schließen.
Schwieriger Spagat
PatientInnen erwarten grundsätzlich, dass ihre medizinischen Daten sicher sind. Für die Mitarbeitenden in der Praxis ist es einfach ein System, das sie nutzen müssen und von dem sie hoffen und erwarten, dass es ihren Alltag so wenig wie möglich stört. Angesichts der ohnehin schon hohen Arbeitslast ist das auch weiter nicht verwunderlich. Die frustrierte Frage „Was sollen wir denn noch alles machen?” ist hier schnell gestellt. Dabei mangelt es nicht einmal unbedingt am Willen, sondern am Wissen – und auch der nötigen Zeit und dem Personal. So haben die wenigsten Praxen einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte, weil die Personalstärke unter der Grenze liegt, ab der dieser Posten zwingend vorgeschrieben ist.
mednic: Warum ist der Aufbau von Security-Kompetenz insbesondere bei den Mitarbeitenden in Praxen wichtig?
Berghoff: Das Thema IT-Sicherheit verorten viele Mitarbeitende in Arztpraxen und anderen Einrichtungen des Gesundheitswesens bei der IT-Abteilung beziehungsweise dem zuständigen Dienstleistungsunternehmen. In vielen Köpfen ist noch immer die Vorstellung präsent, dass IT-Sicherheit sie nichts angeht – und wenn man mal etwas „kaputtmacht“, ist es schnell behoben.
In Wahrheit richten sich viele aktuelle Bedrohungen jedoch direkt gegen die Mitarbeitenden. Tätergruppen verstehen sich sehr gut darauf, ihre Rezipienten so zu manipulieren, dass sie in deren Sinn aktiv werden. Statt Systeme direkt anzugreifen und sich die erforderlichen Berechtigungen zu verschaffen, findet der Erstkontakt mit einer Person statt, die über die entsprechenden Berechtigungen bereits verfügt. Hier gilt es, die gesamte Belegschaft zu einem Teil des Sicherheitskonzeptes zu machen. Das geschieht etwa durch geeignete Schulungsmaßnahmen, die einen langfristigen Erfolg garantieren. Die Ausgaben für diese Maßnahmen machen sich bereits nach einem einzigen erfolgreich verhinderten Angriff bezahlt. Manchmal sogar mehrfach, wenn wir uns vor Augen führen, wie fragil vielerorts die praxisinterne IT-Infrastruktur ist.
Praktische Maßnahmen für mehr Sicherheit
mednic: Können Sie Grundregeln nennen, mit denen es Praxen auf jeden Fall gelingt, sensible Patientendaten zu schützen?
Berghoff: Ganz praktische Maßnahmen können hier für mehr Sicherheit sorgen. Eine davon ist die Anbringung so genannter „Privacy-Folien“ auf Bildschirmen. Diese verhindern, dass Unbefugte von der Seite mit auf den Bildschirm sehen können. Zudem: Bildschirme beim Verlassen des Arbeitsplatzes sperren und Zugangsdaten jeglicher Art nicht auf Zetteln am Bildschirm notieren, vor allem wenn diese aus dem öffentlich zugänglichen Bereich der Praxis aus einsehbar sind.
Patientendaten in jeder Form schützen
Auch Papieraufzeichnungen – vor allem wenn diese Patientendaten enthalten – sollten nie offen sichtbar umherliegen. Das klingt trivial, ist es aber in einigen Fällen nicht. Gerade zum Jahres- oder Quartalsanfang verzeichnen viele Praxen mehr Andrang als sonst. Zwischen Anfragen für neue Rezepte, Terminwünschen, telefonischen Rückfragen, Anforderungen des medizinischen Personals und der Beschwichtigung des Unmutes Einzelner über lange Wartezeiten fällt es bisweilen schwer, den Überblick und die Sicherheit von Daten im Blick zu behalten. Doch auch weil vieles an Kommunikation bereits digitalisiert ist, gilt es hier besonderes Augenmerk auf den Umgang mit E-Mails zu legen, denn E-Mails beziehungsweise Dateianhänge in E-Mails sind nach wie vor eines der primären Einfallstore für Angriffe. Ein Klick genügt und der Praxisbetrieb kommt schlagartig zum Erliegen. Abhilfe schaffen Trainings für die Mitarbeitenden, doch diese dürfen sich nicht in einem Termin einmal pro Jahr erschöpfen, sondern müssen konstant sein, wenn sie Wirkung zeigen sollen.
„Alle dürfen alles“ mit schädlichen Folgen
Eines der Grundprinzipien der Datensicherheit lautet „Least Privilege“. Jeder Mitarbeitende sollte also nur Zugriff auf die Daten und die Systeme haben, die zur Ausführung der eigenen Tätigkeit absolut notwendig sind. Alles, was darüber hinausgeht, gilt es zu vermeiden. „Alle dürfen alles“ mag zwar im Alltag manche Vorgänge beschleunigen, hat aber unter Umständen schädliche Auswirkungen auf die Sicherheit des Netzwerks und der darin verarbeiteten Patientendaten. Die unbefriedigende Realität ist: Eine Patentantwort ist wie immer schwierig, eben weil die Theorie oft mit dem Praxis-Alltag kollidiert.