12 Tipps zur IT-Sicherheit in Ordinationen

© orzalaga - pixabay

Das Gesundheitswesen ist international gesehen immer öfters Ziel von Cyberkriminalität. Relatus hat recherchiert, wie sich Ärzt:innen schützen können.

Fachleute warnen: Angriffe auf die IT von Gesundheitseinrichtungen häufen sich. In den USA haben zuletzt Apotheken aufgrund eines Cyberangriffs auf den Versicherungsriesen UnitedHealth Probleme bei der Bearbeitung von Rezepten. In Deutschland hatten im Vorjahr die Krankenkassen der AOK eine Sicherheitslücke für 19 Millionen Versicherte gemeldet. Zuletzt warnte das deutsche Bundesamt für Sicherheit in der Informationstechnik vor professionellen Hackerangriffen auf Akteure im Gesundheitswesen. „Wir ordnen die aktuelle Cybersicherheitslage als besorgniserregend ein“, hatte BSI-Präsidentin Claudia Plattner bei der Vorstellung eines Sicherheitsberichtes gewarnt.

„Der sichere Umgang mit sensiblen Patientendaten und damit ein IT-Sicherheitskonzept sind verpflichtend für Ordinationen und oft eine Herausforderung. Hier gibt es deshalb mit der Website Itsicherheitskonzept.aerztekammer.at ein Gratistool der Kurie für niedergelassene Ärzt:innen“, sagt der steirische Hausarzt und Leiter des Referats „e-Health in Ordinationen“ in der Österreichischen Ärztekammer, Dr. Alexander Moussa. Relatus zeigt, wie sich Ärzt:innen schützen können.

• Rechtliche Vorschriften: Informieren Sie sich über Ihre Rechte und Pflichten. Verschriftlichen Sie alle Vorgänge und sammeln Sie die Unterlagen an einem Ort.
• Physischer Schutz: Stellen Sie sicher, dass betriebsfremde Personen keine sensiblen Daten einsehen können. Beschränken und kontrollieren Sie den Zutritt, beschränken Sie absichtliche oder versehentliche Einblicke, schützen Sie die Bereiche, in denen mit sensiblen Daten gearbeitet wird. Sehen Sie einen Einbruchs- und Diebstahlschutz vor.
• Mitarbeiter:innen: Weisen Sie auf die Geheimhaltungspflicht in den Dienstverträgen hin. Legen Sie in einem Schriftstück für jeden Mitarbeiter fest, welche Dateneinsicht jeder Mitarbeiter benötigt.
• Rechner/Betriebssystem: Benutzen Sie ein Betriebssystem, das mit Sicherheitsupdates versorgt wird, einen aktuellen Browser sowie einen aktuellen Virenschutz. Falls Sie auf das Internet ohne GIN (e-card-Netzwerk) zugreifen, aktivieren Sie eine Software-Firewall.
• Ordinationssoftware: Überprüfen Sie, ob eine Mitarbeiterverwaltung mit persönlichem Login unterstützt wird, fordern Sie eine starke Passwortqualität. Beschränken Sie die Zugriffe Ihrer Mitarbeiter:innen auf die notwendigen Daten und stellen Sie sicher, dass die tatsächlichen Datenzugriffe protokolliert werden.
• Datensicherung: Sichern Sie regelmäßig alle wesentlichen Daten Ihres IT-Systems. Bewahren Sie die Sicherungsmedien extern oder an einem geschützten Ort (Safe) auf. Kontrollieren Sie periodisch die Qualität der Medien und prüfen Sie die Wiederherstellbarkeit Ihres Systems. Treffen Sie Vorkehrungen für einen Softwarewechsel oder die Beendigung Ihrer ärztlichen Tätigkeit.
• Daten übertragen: Übertragen Sie personenbezogene Daten nur mit gesicherter Befundübertragung oder (unter den gesetzlich vorgesehenen Auflagen) per Fax. Verwenden Sie keinesfalls E-Mail!
• Dienstleisterverträge: Stellen Sie die Geheimhaltungsverpflichtung schriftlich sicher. Regeln Sie die Möglichkeiten der Fernwartung und den Zugriff auf Daten oder Sicherungsmedien. Vermeiden Sie unbeschränkte Fernwartungszugänge.
• Reparatur/Entsorgung: Geben Sie Datenträger nur ohne Daten an Dritte weiter, zerstören Sie gegebenenfalls selbst die Festplatten. Denken Sie an den Inhalt von Sicherungsmedien. Fordern Sie von dem Dienstleister eine schriftliche Bestätigung der Einhaltung des Datenschutzes.
• Persönliches Verhalten: Gehen Sie mit den neuen Medien und Möglichkeiten kritisch um: Öffnen Sie keine E-Mails von unbekannten Personen, misstrauen Sie Gratisversprechungen, geben Sie keine vertraulichen Daten bekannt – so wird beispielsweise keine Bank oder Kreditkartenfirma Informationen von Ihnen per E-Mail einholen.
• Neue Gefahren bedenken: Sichern Sie ein verwendetes WLAN nach dem Stand der Technik ab. Denken Sie an Daten auf mobilen Geräten (Notebook, Tablet, Smartphone), insbesondere bei Weitergabe und Diebstahl. Externe Zugriffe auf die Ordinationsdaten sind entsprechend zu sichern.
• Regelmäßige Überprüfungen: Die aktuelle Technik und die damit verbundenen Möglichkeiten und Gefahren schreiten rasant voran. Denken Sie bei allen Konfigurationsänderungen auch an die IT-Sicherheit und dokumentieren Sie alle wesentlichen Vorgänge. Aktualisieren Sie in regelmäßigen Abständen Ihr IT-Sicherheitskonzept. (Quelle: OöÄK) (rüm)