Der Hackerangriff Anfang November richtete sich – so der aktuelle Stand – gegen Medatixx und nicht gegen deren Kunden. Das sind: Arztpraxen, Medizinische Versorgungszentren oder Ambulanzen. Die Funktionalität dieser Anwender-Systeme soll nicht betroffen sein. Bei der Cyberattacke wurden interne Bereiche der Unternehmens-IT von Medatixx verschlüsselt und waren somit nicht erreichbar.
Möglicherweise größte Cyberattacke auf das deutsche Gesundheitssystem
Unklar ist aber nach wie vor, ob bei dem Angriff nicht möglichweise für die Fernwartung erforderliche Zugangsdaten, also auch Passwörter entwendet wurden. Betroffen sein könnten Passwörter der Praxissoftware, der Windows-Anmeldung und der TI-Konnektoren“, sagt Simon Rehwald, IT-Experte bei mediorbis. „Sollten Daten gestohlen worden sein, wäre es der bisher größte Cyberangriff auf das deutsche Gesundheitssystem.“
Medatixx reagierte nach Bekanntwerden des Cyberangriffs umgehend und warnte seine Kunden. Dringlicher Appell: Passwörter ändern. Anleitung, wie‘s geht, gab’s gleich dazu.
Wichtige Regeln konsequent beachten
Ein Angriff, der zeigt, wie verletzlich IT-Systeme sein können. Doch einen solchen Vorfall als Vorwand nutzen, um sich modernen Praxis-Systemen zu verschließen, hält Experte Rehberg für wenig sinnvoll: „Die Chancen der Digitalisierung überwiegen definitiv.“ Seine Empfehlung daher: „Nicht abschrecken lassen, stattdessen wichtige Regeln konsequent beachten.“
Dazu gehören regelmäßige Betriebssystem-Updates, Sicherheitssoftware und ein automatisiertes Backup der Daten, so dass diese im Falle eines Zugriffsverlusts durch einen Hack weiterhin verfügbar sind. „Am besten die Sicherung an einem anderen Ort ablegen als auf einem Server, der in der Praxis selbst steht – zum Beispiel bei einem IT-Dienstleister. So ist auch bei einem Einbruch, Brand oder Ähnlichem nicht alles weg“, rät Rehwald.
Besser 2-Faktor-Authentifizierung als schwache Passwörter
Alle Mitarbeiter auffordern, in regelmäßigen Abständen ihre Passwörter zu ändern, davon hält Rehwald nicht viel: „Erfahrungsgemäß denken sich die meisten dann ein Standardpasswort aus, vielleicht mit dem aktuellen Jahr am Ende, bei dem sie lediglich die hinteren Ziffern nach oben zählen. Hacker wissen das, und probieren das natürlich aus.“
Wesentlich sinnvoller ist – vorausgesetzt die eingesetzte Praxissoftware erlaubt das – eine 2-Faktor-Authentifizierung zu installieren: Also eine Legitimierung nicht nur über ein Passwort, sondern zusätzlich über eine TAN, die per SMS gesendet wird. Wenn die Passwortdaten gestohlen wurden, sind sie trotzdem wertlos.
Ein verpasstes Update kann schon reichen
Software-Updates sind ein wichtiger Baustein in der Cyber-Security.
Patientendaten in den falschen Händen werfen zwangsläufig immer auch rechtliche Fragen auf. Die wichtigste: wer muss haften? „Haftbar ist man immer dann, wenn einem Eigenverschulden nachgewiesen werden kann“, sagt Christian Wagner, Fachanwalt für Medizinrecht beim Ärzteportal mediorbis. Ein verpasstes Update der Firewall oder wie im Fall von Medatixx, wenn trotz Warnung des Software-Herstellers das Passwort nicht geändert wurde, kann schon reichen.
„Ein Passwort trotz Hinweisen des Herstellers nach einem Hackerangriff nicht zu ändern, ist wie ein seit Jahren nicht gewarteter Feuerlöscher im Brandfall“, verdeutlicht Jurist Wagner.
Die Cyberversicherung springt ein
Werden Dritte geschädigt, kann das hohe Schadenssummen verursachen und zusätzlich Bußgelder nach sich ziehen. Daher empfiehlt Wagner auf jeden Fall eine Cyberversicherung, die gegenüber den Ansprüchen Dritter haftet und im Optimalfall auch Datenwiederherstellung, Sachschäden oder Praxisausfall absichert.
Wagner weiter: „Die Veränderungen der Digitalisierung bringen für den Arztberuf viele neue Möglichkeiten. Es geht nicht darum, sich dem Fortschritt zu verweigern, sondern frühzeitig Sicherungen zu schaffen, dass IT- und dadurch Rechts-Probleme gar nicht erst entstehen können.“
IT-Sicherheit in Kliniken: Mängel, die Leben kosten können!
Jede Sekunde zählte …
IT-Sicherheit: Die Verletzung war gravierend, es ging um jede Sekunde. Eine 78-Jährige muss im September 2020 mit einer gerissenen Haupt-Schlagader von einem Rettungs-Team notversorgt werden. Normalweise wäre der RTW sofort ins nahegelegende Universitätsklinikum Düsseldorf gefahren. Doch das war unmöglich. Eine Cyberattacke hatte das Klinikum lahmgelegt. Die Frau musste in eine Wuppertaler Klinik gebracht werden.
Der Cyberangriff auf das Klinikum galt vermutlich der gesamten Düsseldorfer Heinrich-Heine-Universität. Im Klinikum verschlüsselten die Hacker 30 Server und verhinderten u. a. die Analyse von Röntgendaten im IT-Netz. Die Zahl der Operationen sank vorübergehend um 70 bis 120 pro Tag auf 10 bis 15. Erfolgreich war der Angriff wegen einer Sicherheitslücke „in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware“. Das schrieb das Klinikum am 17. September.
Mehr als ein Drittel der Kliniken haben ein Problem
36 Prozent der Krankenhäuser haben Defizite in der IT-Sicherheit. Betroffen sind keineswegs nur kleine Kliniken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft nicht wenige von ihnen als hochsensible „kritische Infrastruktur“ ein. Das ergab 2020 eine Analyse der Münchner Universität der Bundeswehr mit Partnern. Das erhöhte Risiko einer blockierten IT besteht schon allein deswegen, weil sich derartige Angriife häufen. Weltweit lag der Anstieg von Cyberattacken von November 2020 bis Anfang 2021 bei 45 Prozent. In Deutschland erreichte er sogar 220 Prozent.
Wie sieht eine geeignete Abwehrstrategie dagegen aus? Der Gesetzgeber in Deutschland hat bereits gehandelt. „Er unternimmt viel, um die IT-Systeme der Kliniken zu schützen“, sagt Mike Burns, IT-Experte von mediorbis und verweist dabei auf die ab 2022 verschärften Regeln.
Verschärfte Regeln für IT-Sicherheit von Kliniken ab 2022
Safety first: Ab 2022 gelten für Kliniken verschärfte Regeln zur IT-Sicherheit
Ab dem 1. Januar 2022 gelten neue Regeln für die IT-Sicherheit in allen deutschen Kliniken (SGB V, §75c). Sie betreffen alle IT-Systeme, die für die Funktionsfähigkeit eines Krankenhauses und die Sicherheit von Patienteninformationen maßgeblich sind. Die Regeln fordern unter anderem angemessene organisatorische und technische Vorkehrungen, um Störungen zu vermeiden. Die branchenspezifischen Sicherheitsstandards der Deutschen Krankenhausgesellschaft verraten, wie Kliniken das konkret umsetzen sollen. Sie empfehlen sieben Schritte, um ein Managementsystem für Informationssicherheit zu etablieren. Der sechste Schritt betrifft die Schulung von Führungskräften und Mitarbeitern.
Hauptproblem: Faktor Mensch
Im Faktor Mensch sieht Mike Burns eines der größten Probleme im Kampf für eine erhöhte IT-Sicherheit in Kliniken. „Die Gesetze in Deutschland sind top“, sagt er, „aber an der Umsetzung hapert es oft.“ Wichtig sind Sicherheitssysteme auf dem neuesten Stand und exzellent geschulte Mitarbeiter. Damit die Versorgung Kranker und Schwerstkranker nie an IT-Problemen scheitern muss. Damit IT-Probleme niemals Leben kosten. Aber Burns sieht bei der Kommunikation mit Kliniken auch Patienten in der Pflicht. Sie sollten mit Kliniken niemals über ein öffentliches Netzwerk kommunizieren und ihre privaten WiFi-Systeme unbedingt mit einem sicheren Passwort schützen.
Für die Akut-Patientin, die nach Wuppertal statt ins viel nähere Düsseldorf gebracht werden musste, kommen diese Änderungen zu spät. Etwa 30 Minuten länger dauerte die Fahrt in die Ausweich-Klinik. Zu viel Zeit für einen Menschen mit gerissener Haupt-Schlagader. Sie starb kurz nach der Einlieferung.
Die anonymen Hacker gaben die blockierten Uni-Server kurz nach dem Tod der Frau wieder frei.
Bietet der TI-Konnektor Schutz vor Haftung? Ja und Nein.
Der TI-Konnektor – eine Herausforderung in Sachen Sicherheit
Dem TI-Konnektor kommt im Praxisbetrieb eine zentrale Aufgabe zu, denn er ist die Schnittstelle zur Telematik-Infrastruktur. Er verbindet z. B. das Terminal für die Karten mit dem Praxisverwaltungssystem. Dafür und viele weitere Anwendungen stehen verschiedene Ausbaustufen bereit. Auf Praxisseite sind dabei einige Vorschriften zu beachten. Zu den einfachsten gehört dabei, dass der TI-Konnektor nicht Unbefugten zugänglich sein darf. Anders gesagt: Er muss in einem Raum stehen, zu dem Patienten oder andere Praxisfremde keinen Zugang haben. Ein verschlossener Schrank tut’s auch. Dazu können noch weitere Vorgaben von den Herstellern oder Anbietern der Konnektoren kommen. Wichtig: In der Praxis dürfen nur Konnektoren eingesetzt werden, die vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert und von der gematik zugelassen sind.
Vom Reihen- und Parallelbetrieb …
Im Betrieb wird bei den TI-Konnektoren zwischen Reihen- und Parallelbetrieb unterschieden und das hat für die Praxis tatsächlich eine haftungsrechtliche Folge. Beim Reihenbetrieb schützt der Konnektor die Praxis mit, wie im Ärzteblatt zu lesen ist: „Im ‚Reihenbetrieb‘ (seriellen Betrieb) befinden sich alle Komponenten wie Computer und Kartenterminals im selben lokalen Netzwerk und erhalten über den Konnektor Zugang zur TI. Durch die integrierte Firewall des Konnektors und den optionalen sicheren Internetzugang wird das Netzwerk vor Angriffen von außen geschützt.“
Anders sieht es danach im Parallelbetrieb aus, hier „… sind alle Komponenten im Praxisnetzwerk hinter der Internetanbindung am Router angeschlossen. Der Konnektor wird „parallel“ zum übrigen Netzwerk angeschlossen und übernimmt somit keine Schutzfunktion. Diese Variante ist dann sinnvoll, wenn Praxen über ein größeres lokales Netzwerk verfügen, das über ausreichende Sicherheitsfunktionen verfügt und beibehalten werden soll. Hierbei fungiert der Konnektor nicht als Firewall im Netzwerk, sondern die Praxis muss – wie vor der TI-Anbindung – entsprechende Schutzmaßnahmen treffen.“
Was ist für die Praxis praktisch zu tun?
Am besten ist es, Hilfe zu holen. Das sagt auch Christian Wagner, Gründer der Anwaltsplattform advomeda und ein Experte auf dem Gebiet des Datenschutzes: „Ärztinnen und Ärzte müssen die Daten ihrer Patienten schützen – bestmöglich und nachweislich. Die, die das nicht tun, laufen Gefahr datenschutzrechtlich, zivilrechtlich, strafrechtlich und berufsrechtlich belangt zu werden. Wir sprechen hier also nicht über kleine Regelverstöße oder Bagatelldelikte.“ Zum Hintergrund gehört seiner Meinung nach auch, sich als Praxisverantwortlicher der großen Verantwortung bewusst zu sein, weil Daten über die Gesundheit zu den schützenswertesten überhaupt gehören.
Wenn schon, denn schon: der 360⁰ Digitalcheck von mediorbis
mediorbis bietet auch in diesem Zusammenhang einen ganzheitlichen Check an, der alle wichtigen Bereiche des Digitalen in Praxen prüft und Lösungen vorschlägt. Dazu analysieren Teams aus Praxisberatern, Designern, Programmierern, Autoren, Juristen und Datenschützern das digitale Umfeld der jeweiligen Arztpraxis auf „Herz und Nieren“. Wer sich erst einmal selbst informieren will, der findet dazu z. B. Hinweise in der Broschüre „IT-Sicherheit – Hinweise zur Richtlinie, Tipps zur Umsetzung, Beispiele für die Praxis“.
IT-Sicherheitsrichtlinie beschreibt das Mindestmaß zur IT-Sicherheit
Die IT-Sicherheitsrichtlinie begleitet die Arztpraxen jetzt schon seit einigen Monaten und sie wird es weiterhin tun. Wichtige Grundlagen dafür sind zum einen der § 75b Sozialgesetzbuch (Fünftes Buch) und die Datenschutzgrundverordnung. Die daraus entstandene Sicherheitsrichtlinie der KBV beschreibt zum einen, was mindestens getan werden muss, um die Praxis-IT sicher zu machen. Zum anderen ist der Versuch unternommen worden, die Regelungen möglichst Arztpraxen-gerecht umzusetzen. An der Notwendigkeit lässt Dr. Thomas Kriedel, Mitglied des Vorstands der KBV, keinen Zweifel: „Es geht um sensible Gesundheitsdaten, die besonders geschützt werden müssen. Praxisinhaberinnen und Praxisinhaber tragen hierfür eine hohe Verantwortung.“ Dahinter steht immer auch, dass Praxen für mangelhafte IT-Sicherheit und fehlenden Datenschutz haftbar gemacht werden können.
Setzen Sie eine Web Application Firewall ein? Eine was …?
Es gibt viele Regelungen in der IT-Sicherheitsrichtlinie die leicht nachzuvollziehen und auch relativ einfach umsetzbar sind. Dazu gehört der Einsatz von aktuellen Virenschutzprogrammen oder regelmäßige Updates von Mobiltelefonen. Ein drittes Beispiel ist das Abmelden am Computer durch die Benutzer, wenn sie ihre Arbeit am Gerät beenden. Daneben gibt es aber auch Regelungen, die wesentlich weiter greifen und dazu gehört die Frage, ob die Praxis-Website mit dem Online-Termin-Kalender durch eine aktuelle Web Application Firewall geschützt wird.
Eine Web Application Firewall bewahrt vor Angriffen über das Hypertext Transfer Protocol (HTTP). Dazu wird die Kommunikation mit dem Web-Server analysiert und im Zweifel wird der Zugriff unterbrochen. Ein anderes Beispiel ist die Forderung, dass Daten aus Programmen nur verschlüsselt und lokal gespeichert werden dürfen. Dass Daten lokal gespeichert werden, lässt sich relativ leicht herausfinden, aber sind sie ausreichend verschlüsselt? Bei mittleren und großen Praxen kommen noch weitere Forderungen in Zukunft dazu. So muss für Dienst-Mobiltelefone eine Nutzungs- und Sicherheitsrichtlinie erstellt werden. Eine Aufgabe, die wohl nur die wenigsten Ärzte regelkonform aus dem Stand erledigen können.
Selbst ist die Praxis? Besser nicht!
In ihrer Check-Liste „So können Sie vorgehen“ zur IT-Sicherheitsrichtlinie stellt die KBV die Frage, ob es sinnvoll ist, auf einen IT-Dienstleister zu setzen. „Durch die größer werdende Komplexität ist es sehr sinnvoll, sich an IT-Experten mit dem entsprechenden Wissen zu wenden. Die Praxen müssen sich bewusst sein, dass sie für die IT-Sicherheit haften.“ Das sagt Konrad Mauermann, der als geprüfter Sachverständiger für Datenschutz und Datensicherheit auch Berater für mediorbis ist und für Anfragen jederzeit bereitsteht.
Videosprechstunde und Datenschutz? Kein Problem, wenn …
Sorgen sind berechtigt – Gesundheitsdaten sind ein sensibles Gut
Dass die Videosprechstunde für viele Patienten in der Pandemie ein Segen war und ist, werden nur wenige bestreiten. Die Vorteile liegen zu klar auf der Hand: Keine Infektionsgefahr auf dem Weg mit den öffentlichen Verkehrsmitteln, keine Infektionsgefahr in der Praxis und alle, die schlecht zu Fuß sind oder lange Wege zu fahren haben, profitieren zusätzlich von der Videosprechstunde. Und die Ärzte und ihre Praxen? Die haben vielfach festgestellt, dass die Online-Sprechstunde viel Zeit in der Praxis schafft und das Praxismanagement erheblich effizienter macht. On top: Die Investitionskosten sind im Vergleich gering.
Aber es gibt keine Medaille ohne eine zweite Seite und die hört bei der Videosprechstunde auf den Namen Datenschutz. Zu Recht, denn Gesundheitsdaten haben in der Öffentlichkeit nichts verloren. Entsprechend streng sind die Vorschriften, die beachtet werden müssen.
Zertifizierter Videodienstanbieter, Firewall und die Regeln zum Datenschutz müssen bei der Videosprechstunde „stimmen“
Was gilt? Ein Blick auf die wichtigsten Regelungen …
Einer der wichtigsten Punkte ist, dass zertifizierte Videodienstanbieter eingesetzt werden müssen, die alle Anforderungen an den Datenschutz und die Informationssicherheit erfüllen. Zu diesen Anbietern gibt es eine zentrale Anlaufstelle und das ist die Webseite der Kassenärztlichen Bundesvereinigung, auf der sich eine entsprechende Liste findet. Dabei sollte ein sehr wichtiger Hinweis unter der Liste wahrgenommen werden: Praxen sollten sich dazu bei ihrer zuständigen Kassenärztlichen Vereinigung informieren. Praxen erhalten von den zertifizierten Videodienstanbietern nach Vertragsschluss eine Bescheinigung, dass der Videodienst gemäß Anlage 31b zum BMV-Ä zur Informationssicherheit, zum Datenschutz und zu den Inhalten zertifiziert ist.
Das ist alles noch einfach zu verstehen und die Liste der zertifizierten Videodienstanbieter ist lang. Wer aber einen Blick in die zehn Seiten starke Anlage 31b des BundesmantelvertragsÄrzte (BMV-Ä) wirft, findet auch folgende Vorschrift: Im Hinblick auf die Sicherheit der Verarbeitung der Daten hat der Vertragsarzt in seinen Räumlichkeiten und IT-Systemen zu gewährleisten, dass die erforderlichen technischen und organisatorischen Maßnahmen eingehalten werden: „Im Hinblick auf die Sicherheit der Verarbeitung der Daten hat der Vertragsarzt in seinen Räumlichkeiten und IT-Systemen zu gewährleisten, dass die erforderlichen technischen und organisatorischen Maßnahmen eingehalten werden.“
Es hängt also nicht nur alles am Dienstanbieter – es hängt auch an der Praxis.
Welcher Arzt soll sich selbst um den Datenschutz kümmern? Am besten keiner!
„Es gibt wohl nur wenige Ärzte, die sich in eigener Regie um den Dienstanbieter, die praxiseigene Firewall, die Technik und die Praxisorganisation kümmern können und dabei wirklich alle Regeln zum Datenschutz beachten“, sagt Konrad Mauermann, der als geprüfter Sachverständiger für Datenschutz und Datensicherheit auch für mediorbis berät. Deshalb empfiehlt er, beim Thema Videokonferenz und Datenschutz auf einen Partner wie zum Beispiel mediorbis zu setzen. Hier arbeiten IT-Experten gemeinsam mit Praxisberatern und Anwälten und stellen Pakete zusammen, die sicher sind – technisch und juristisch. Dass das nicht „die Welt“ kostet, erklären die Praxisberater gerne per Mail oder am Telefon.
Das spiegelt sich auch in den entsprechenden Zahlen: Im zweiten Quartal 2020 wurden fast 1,2 Millionen Onlinesprechstunden durchgeführt, drei Viertel entfielen davon auf die Psychotherapie. Um die Bedeutung deutlich zu machen: Im Jahr 2019 wurden in Summe nur rund 3.000 Videosprechstunden durchgeführt – und das in allen medizinischen Bereichen.
Also alles „in Butter“ und ohne Probleme? Die Antwort ist ein klares „jein“!
Das Ärzteblatt berichtete, dass sich die Bundespsychotherapeutenkammer dafür einsetzt, die Online-Sprechstunde auch nach Corona weiter einzusetzen. Dazu sagte Dr. Dietrich Munz, Präsident der Bundespsychotherapeutenkammer: „Dabei ist eine Psychotherapie aus einer Hand wesentlich, unabhängig davon, ob sie als Präsenz- oder Videobehandlung stattfindet.“ Die Vorteile liegen für ihn dabei vor allem darin, die Behandlung dauerhaft zu gewährleisten und das mit geringerem Aufwand. Aber: Auf der anderen Seite gebe es auch Nachteile, so Munz, zu denen auch technische Probleme gehörten.
Technik als Hemmschuh – das muss nicht sein
Eine Einschätzung, die auch Konrad Mauermann als geprüfter Sachverständiger für Datenschutz und Datensicherheit teilt. Der mediorbis-Berater weiß, dass es in vielen Praxen in Deutschland an entsprechendem IT-Wissen mangelt: „Die deutschen Ärzte und Psychotherapeuten haben in der Regel ein ausgesprochen tiefes und aktuelles Wissen, wenn es um ihre medizinischen Disziplinen geht – keine Frage. Aber: Bei den Themen Telekommunikation, Digitalisierung und moderne Patientenkommunikation wird das Eis oft sehr schnell dünn. Das ist vor allem deshalb ärgerlich, weil moderne Technik sowohl den Patienten als auch den Praxen erhebliche Vorteile bringt.“ Sein Rat an Praxen, die bisher zögern, ist deutlich: „Suchen Sie sich einen professionellen Partner, der sich in den Bereichen Technik, Datenschutz und Praxismanagement gleichermaßen gut auskennt und vor allem über ausreichend Referenzprojekte verfügt.“
Die Investitionskosten sind überschaubar
Die Kosten für die Einführung der Videosprechstunde in der Psychotherapie halten sich in engen Grenzen. Auf der Einkaufsliste stehen neben einem etwas leistungsfähigeren und sicheren Internetzugang – Stichwort Firewall – vor allem ein Computer, Monitor, Kamera, Mikrofon, Lautsprecher oder ein Headset. Übrigens: Auf Patientenseite braucht es noch weniger. Ein Smartphone oder ein Tablet mit einem Internetzugang reicht aus und es muss noch nicht einmal eine Software installiert werden.
Der Videodienstanbieter muss zertifiziert sein
Ein wichtiger Punkt darf hier aber nicht ungenannt bleiben. Die Online-Verbindung zwischen Psychotherapeuten und Patienten muss über einen zertifizierten Videodienstanbieter durchgeführt werden. Das entscheidende Stichwort lautet hier „Bescheinigung nach § 5 Absatz 4 Anlage 31b BMV-Ä“. Aber auch hier gilt, was Konrad Mauermann sagt: Für die technischen Details und den Datenschutz gibt es Experten, wie zum Beispiel das Team für Praxismarketing bei mediorbis, die dafür sorgen, dass die Online-Sprechstunde sicher und komfortabel angeboten werden kann.
Patientenunterlagen, Abrechnungsinformationen, Untersuchungsprotokolle – auch in Arztpraxen gibt es wichtige Informationen. „Viele Ärzte vergessen, dass der Verantwortliche laut Datenschutz-Grundverordnung, Artikel 4, Nummer 7 für Fehler beim Datenschutz haftet“, erklärt IT-Sicherheits-Experte Konrad Mauermann vom mediorbis-Digitalcheck-Team. Computerbildschirme sollten gesperrt werden, bevor Praxismitarbeiter ihren Platz verlassen oder der Patient allein im Arztzimmer bleibt. Andernfalls könnten sensible Daten in falsche Hände geraten.
Gleiches gilt für andere tägliche Routinen, wie zum Beispiel das Faxen von Patientendaten ohne deren Zustimmung. Über diese Lücke in der Datensicherheit haben wir bereits berichtet. Deshalb sollten IT-Themen und Datenschutzeinhaltung in die festen Abläufe integriert werden.
Hackerangriffen vorbeugen
Neben fahrlässigen Handlungen ist auch die IT-Ausstattung ein wichtiger Punkt. Dazu gehört neben Anti-Maleware und regelmäßigen Systemupdates auch Basis-Ausstattung, die bei vielen Ärzten fehlt. „Häufig verwenden Arztpraxen Betriebssysteme, die nicht mehr unterstützt werden“, sagt Mauermann. „Das ist eine enorme Sicherheitslücke.“ Leider kann sich der Arzt nicht darauf verlassen, dass die Systemhersteller ausreichende Sicherheitsvorkehrungen einbauen. Der Datenschutzexperte weiter: „Die Ärzte haften selbst für entstandene Schäden und auf die Hersteller wird diesbezüglich leider zu wenig Druck ausgeübt.“
Von IT-Experten helfen lassen
Um die Sicherheitsstandards und die DSGVO-Vorgaben einzuhalten, müssen Sicherheitslücken aufgedeckt und geschlossen werden. Solche Lücken gibt es eben auf technischer wie auf menschlicher Seite. Laut Konrad Mauermann geht es genauso darum, das Personal für den Umgang mit personenbezogenen Daten zu sensibilisieren und jährlich zu schulen. Andernfalls droht Ärger mit der zuständigen Datenschutzbehörde, Zivilklagen, Hackerangriffe und Imageschäden.
Egal ob Einweisung des Personals oder Prüfen des bisherigen Systemaufbaus – es gibt diverse Formen, wie IT-Dienstleister unterstützen können. Das muss nicht immer mit riesigen Kosten verbunden sein. Ist die Praxis zum Beispiel technisch gut aufgestellt, reicht ein Checkup alle 6 Monate wahrscheinlich aus. Möchte der Arzt das IT- und Datenschutzthema gänzlich von seiner To-Do-Liste streichen, kann er damit auch langfristig einen Dienstleister beauftragen. So oder so ist es aber hier wie bei jedem Arztbesuch: Wartet man zu lange, bis man etwas unternimmt, wird’s nur schlimmer.
Vielleicht möchten Sie als Praxisinhaber erfahren, welche Schwächen und Potenziale sich hinter Ihrer Praxiswebsite verbergen? Dazu dient unser Gesundheitscheck für Praxiswebsites. Erfahren Sie mehr über unsere Dienstleistung im mediorbis 360° Digitalcheck.
Ein kleines Rätsel: Was wird mit Passwörtern gemacht?
Die richtige Antwort: Oft das, was nicht damit gemacht werden sollte. Oder ernsthaft betrachtet: Wer eine Haftnotiz mit der Aufschrift „Passwort: hallo123“ an den Monitor klebt, hat womöglich schnell ein großes Problem – vor allem, wenn der Monitor in einer Arztpraxis steht.
Die Liste der Schande, die Daniels und Mark Zuckerberg
Alle Jahre wieder stellt das Hasso-Plattner-Institut im Dezember seine Liste der Schande ins Netz: Die beliebtesten deutschen Passwörter. Und jedes Jahr mit dem gleichen und schlechten Ergebnis: Passwörter wie „123456“, „ichliebedich“ oder „lol123“ liegen ganz weit vorne. Gut, es gibt auch immer wieder Ausreißer, die überraschen. In der vergangenen Aufstellung fand sich zum Beispiel der Name „Daniel“ auf Platz 20 der beliebtesten Passwörter. Gibt es so viele Daniels in Deutschland? Haben so viele Menschen ihr Herz an einen Daniel verloren? Es bleibt ein Rätsel. Dabei ist die Datenbasis der Untersuchung mit 3,1 Millionen Zugangsdaten breit und damit ein guter Spiegel.
Weniger schleierhaft dürften die Gründe für Simpel-Passwörter und Aufbewahrungsorte wie der Zettel unter dem Mauspad sein: Bequemlichkeit und Ignoranz. Aber damit jetzt wieder alle den Kopf heben können, die gerade daran denken, dass sie seit Jahren immer „Passwort“ als Passwort nutzen und der Zugangs-Pin zum Praxis-Handy in der obersten Schublade gleich vorne liegt, wollen wir kurz daran erinnern, dass auch die Großen der Faulheit nachgeben. Einer davon ist Mark Zuckerberg. In einer von Hackern gestohlenen Datenbank von LinkedIn wurde „dadada” als das Passwort des Facebook-Chefs identifiziert. So weit, so schlecht.
Die Haftung macht schnell Schluss mit lustig
Zugegeben, das ist alles auch ein bisschen unterhaltsam. Aber mit dem Sprung in den Praxisalltag ist schnell Schluss mit lustig. „Ein Arzt, der die Daten seiner Patienten nicht bestmöglich schützt, könnte unter Umständen datenschutzrechtlich, zivilrechtlich, strafrechtlich und berufsrechtlich belangt werden.“ Das sagt Christian Wagner, Co-Founder und Justiziar von mediorbis und ein Experte auf dem Gebiet des Datenschutzes.
Das ist auch richtig so, denn Daten über die Gesundheit gehören zu den schützenswertesten überhaupt. Ärzte wie Psychotherapeuten müssen die personenbezogenen Daten ihrer Patienten also mit allen Mitteln vor fremdem Zugriff bewahren. Ein wichtiger Basisbaustein dazu sind sichere Passwörter.
Sie mögen Pizza, die mit Grottenolmen belegt ist? Super!
Ein sicheres Passwort kann zum Beispiel so aussehen: u4dD!7.8FJRdMPt9A@pAinH4. Wer sich das merken kann? Keine Ahnung … Aber es gibt einen sehr guten Weg, sich schwer knackbare Passwörter auszudenken, die trotzdem als Satz oder Sätze im Gedächtnis bleiben. Beispiel: „Drei Pizzen mit jeweils vier Grottenolmen bitte! Geht das schnell?“ Als Passwort liest sich das dann so: „3Pmj4Gb!Gds?“. Sie mögen es lieber vegan? Kein Problem: „Achtung: In meinen Kuchen kommen nur vier Äpfel und auf die drei Eier verzichte ich lieber!“ macht „A:ImKkn4Äuad3Evil!“.
Wem jetzt immer noch der Angstschweiß vor dem Vergessen auf der Stirn steht, der schreibt das Passwort auf. Achtung, jetzt kommt ein so großes wie dickes „Aber“: und bewahrt diese Notiz räumlich weit getrennt und verschlossen auf.
Eine kleine Anmerkung der Redaktion …
Bitte benutzen Sie „3Pmj4Gb!Gds“ und „A:ImKkn4Äuad3Evil!“ nicht selbst als Passworte. Die nutzen schon Autor und Redaktion und wir wollen ja alle nicht auf der Liste des Hasso-Plattner-Instituts am Jahresende auftauchen 😉
Faxgeräte verschicken Daten meist ungesichert durchs Netz
Auf die Probleme beim Faxen hat im Mai 2021 die Bremer Landesbeauftragte für Datenschutz hingewiesen. Und sie hat recht. Wer sensible Patientendaten faxt, missachtet die Datenschutzgrundverordnung (DSGVO) und riskiert eine Strafe. Ärzte sollten andere Wege des Datenversands nutzen. Solche Wege gibt es.
Die meisten modernen Faxgeräte unterscheiden sich deutlich von früheren Geräten. In der Anfangszeit schickten Faxgeräte das Dokument über eine sogenannte Ende-zu-Ende-Verbindung zum Empfänger. Die Geräte sind bei solchen Verbindungen direkt über Leitungen miteinander verbunden und das Risiko eines unbefugten Zugriffs auf die Informationen ist verschwindend gering. Diese Art des Faxens spielt heute aber kaum noch eine Rolle.
Moderne Geräte, die drucken, scannen und faxen, senden das Fax stattdessen munter unverschlüsselt über das Internet. In anderen Fällen wandeln sogenannte Cloud-Dienste im Internet Daten aus Computern in ein Fax um. Das Ergebnis ist oft nicht sicherer als eine unverschlüsselte E-Mail und die gilt laut der Bremer Landesbeauftragten für Datenschutz „zu Recht als digitales Pendant zur offen einsehbaren Postkarte“. Faxgeräte seien deshalb „in der Regel nicht für die Übertragung personenbezogener Daten geeignet“. Das zu missachten, kann Probleme verursachen. Mediziner, die sensible Gesundheitsdaten via Fax verschicken, riskieren eine Strafe.
Faxen ist nicht so sicher, wie viele denken.
105.000 Euro Strafe für strukturelle Defizite beim Patienten-Management
Die DSGVO ist eine europäische Verordnung, die innerhalb der EU einheitliche Regeln zum Umgang mit Daten definiert. Verbindlich ist sie unter anderem für Unternehmen, Praxen und Krankenhäuser in Deutschland.
Die Datenschutzbehörden auf Bundes- und Landesebene kontrollieren, ob sie die Regeln einhalten. Diese Datenschützer verstehen ihre Aufgabe auch als Beratung und stellen sie bei einer Kontrolle in Praxen oder Kliniken kleinere Datenschutzmängel fest, fordern sie den Inhaber eventuell einfach nur auf, die Mängel zu beseitigen. Bei Verstößen gegen die DSGVO können sie aber eben auch Geldstrafen verhängen.
Das musste das Mainzer Universitätsklinikum 2019 leidvoll erfahren. Damals erhielt die Uniklinik eine Geldstrafe in Höhe von 105.000 Euro aufgrund struktureller Defizite beim Patientenmanagement. Das Klinikum hatte unter anderem einen Patienten verwechselt und deshalb eine falsche Rechnung gestellt.
Eine Alternative zum Faxen? DSGVO-konforme Messenger
Strafen in fünfstelliger Höhe sind bei einem nicht datenschutzkonformen Versand von Vertraulichem via Fax natürlich nicht realistisch. Aber auch kleiner dimensionierte Geldstrafen sind ärgerlich und schaden im ungünstigsten Fall dazu noch dem Image.
Falls noch nicht geschehen, sollten Mediziner deshalb alle datenschutzrelevanten Arbeitsabläufe in ihren Praxen zusammen mit einem Fachanwalt überprüfen. Diese Spezialisten verbinden Kenntnisse aus dem Datenschutz mit Wissen aus dem Medizinrecht. Dadurch finden sie mögliche Schwachstellen beim Umgang mit Daten und können passende Lösungen vorschlagen.
Extrem sicher ist natürlich die gute alte Snail-Mail. Aber wer will schon wertvolle Human Resources mit Briefe eintüten und Briefmarken kleben beschäftigen? Zeitgemäßer und effektiver sind Anbieter für telemedizinische Technologienmit DSGVO-konformen Messengern. Sie versprechen für ihre Dienste hohe Sicherheitsstandards und die Einhaltung aller Auflagen der EU-Datenschutzkommission. Kurzum: Geeignete Übertragungswege für datenschutzkonforme Überweisungen und Befunde. Und in einem nächsten Schritt auch für Videosprechstunden.
