Cybersicherheit in der Arztpraxis

Das BSI zeigt in seinem aktuellen Bericht über Produktionsunternehmen die Top 10 Bedrohungen und Gegenmaßnahmen aus dem Bereich der Cybersicherheit¹. Zwar sind Arztpraxen sicherlich nicht mit Produktionsunternehmen zu vergleichen, aber es ist dennoch interessant, sich über die aktuellen Entwicklungen der Cybersicherheit zu informieren. Daher möchte ich versuchen, die wichtigsten Erkenntnisse einmal für uns MFA zu „übersetzen“, auch wenn ich selbst keine IT-Expertin bin. 

Die Ergebnisse des Reports zeigen die Veränderung seit dem letzten Report aus dem Jahr 2019. Seitdem haben sich die Problemfelder verschoben: Waren es im alten Bericht aus 2019 noch primär die „menschlichen Schwachstellen“, bei denen Mitarbeitende beispielsweise externe USB-Sticks mit Geräten des Arbeitgebers verbunden haben und dadurch (unwissentlich) Schadsoftware eingeschleust haben, so liegen die Probleme heute eher in den Programmen, mit denen gearbeitet wird. Dennoch werden die meisten Angriffe immer noch durch die Anwender selbst ermöglicht. 

Was können wir als Mitarbeitende in Arztpraxen machen, um unser Risiko von Angriffen zu minimieren? Ich erkläre euch drei wichtige Cyberrisiken und zeige euch, wie ihr damit umgehen könnt!

1. Infektion mit Schadsoftware über Internet und Intranet

Betriebssysteme, Browser im Internet oder E-Mails können hier das Einfallstor für Angriffe von außen sein. 

• Manipulierte Websites: Nutzer werden zu Interaktionen aufgerufen. Seid hier immer vorsichtig, was ihr anklickt. Sobald ihr z.B. einen Rechtschreibfehler entdeckt oder euch irgendetwas komisch vorkommt, klickt auf keinen Fall etwas an, sondern fragt bei Kollegen oder beim IT-Support nach, ob es sich um eine vertrauenswürdige Seite handelt. 
• Anhänge von E-Mails: Ihr kennt den Absender nicht? Öffnet auf keinen Fall diesen Anhang, auch kein Office-Dokument. Leitet die E-Mail auch nicht weiter, sondern macht bestenfalls einen Screenshot und sendet es an den IT-Support, um eine Einschätzung über das Risiko zu erhalten.
• Private Hardware: Vermeidet es immer, eure privaten Geräte an das WLAN der Arztpraxis anzuschließen und – der Klassiker – steckt keinen USB-Stick an die Infrastruktur eurer Praxis.  

2. Soft- und Hardwareschwachstellen in der Lieferkette

Die Lieferanten unserer Arztpraxen wollen sich und auch uns die Arbeit erleichtern und machen dies mithilfe verschiedener IT-Lösungen. Eine Gefährdung kann bei einem Lieferanten unentdeckt bleiben und diese wird anschließend über die gesamte Lieferkette weitergegeben.

• Updates: Alle an einer Lieferkette Beteiligten sollten vorhandene Updates der Programme und Software zügig und ausnahmslos installieren. Erfolgt ein solches Update nicht zeitnah genug, ist die Schwachstelle externen „Angreifern“ bekannt. Diese versuchen dann, ihre Angriffe an dieser Schwachstelle systematisch auf zahlreiche Akteure im System auszuweiten. Für ein entsprechendes Update kann es erforderlich sein, dass Kontaktinformationen der eigenen Arztpraxis mit anderen Dienstleistern geteilt werden müssen, um hier einen Informationsaustausch sicherzustellen. 
• Vertrauenswürdige Quellen: Es gilt auch bei Updates, nur von vertrauenswürdigen Quellen die erforderlichen Updates anzunehmen. Vertrauenswürdig heißt, dass man den Hersteller oder das Programm zweifelsfrei kennt und auch über ein anstehendes Update vorab informiert wurde. Wenn ihr es mit einem (möglicherweise) unangekündigten Update zu tun habt, ruft kurz beim IT-Support oder dem Lieferanten an, von dem das Update kommt und fragt nach.

3. Einbruch über Fernwartungszugänge

Für Wartungszwecke ist es beliebt, ein externes Programm zu wählen, über das auf ein anderes Netzwerk zugegriffen werden kann. Das ist grundsätzlich auch gar nicht das Problem. Das Problem ist der Zugang zu diesem System.

• Standardpasswörter: Dass wir keine Passwörter, wie „Arztpraxis123“ nutzen sollten, ist logisch. Hiermit ist aber gemeint, dass das erstmalig vom Hersteller zugewiesene Passwort nach Erstanmeldung unbedingt geändert werden soll. Dabei sollen natürlich die Empfehlungen, wie ein Passwort aussehen soll*, eingehalten werden.
• Freischaltung für Mitarbeiter: Der Personenkreis, der für die Fernwartung zuständig ist, sollte reduziert sein. Das trifft auch auf den externen IT-Support zu. Jede Fernwartung sollte vorher abgesprochen und zeitlich begrenzt sein. Am besten, ihr protokolliert in der Arztpraxis auch diese Fernwartungen.
• Keine Funktionskonten: Vermeidet immer Funktionskonten, sondern legt für eure Mitarbeiter eigene und personalisierte Zugangsdaten für die jeweils notwendigen Programme an. Das vereinfacht die Nachvollziehbarkeit, wann in wessen Beisein welche Prozesse stattgefunden haben. Manchmal erhöht es auch das Verantwortungsbewusstsein der Mitarbeiter, wenn man solche Sicherheitsprozesse unter eigenen Zugangsdaten begleitet…

Wie haltet ihr euch eigentlich über solche Entwicklungen der Cybersicherheit auf dem Laufenden? Wie oft habt ihr Schulungen und wer führt diese durch? Seid ihr schon einmal Opfer eines Cyberangriffs geworden? Ich bin gespannt über eure Einblicke!

Viele Grüße

Eure Steffi

* Zu Passwörtern hatte ich in folgendem Blog-Beitrag etwas für euch geschrieben: IT-Sicherheit – Wie sicher ist eure Arztpraxis?

>>> Nächster Blogeintrag: Arbeitnehmerüberlassung, Leiharbeit und Zeitarbeit