Basis-Schutz für die IT-Infrastruktur: Das gehört dazu und so können Praxen vorgehen

Firewall, Virenschutz, Updates, Backups und sichere Passwörter sind Beispiele für grundlegende Maßnahmen, um die IT-Infrastruktur der Praxis zu schützen. Wichtig ist zugleich das Sicherheitsbewusstsein des Praxisteams zu schärfen. So lassen sich Datenverluste und die häufigsten Sicherheitsrisiken vermeiden. Was für einen Basis-Schutz der IT-Infrastruktur notwendig ist und wie Praxen hierbei vorgehen können, stellen wir im zweiten Teil unserer Serie vor.

Der Basis-Schutz für die Praxis-IT umfasst technische, organisatorische und personelle Maßnahmen. Zu nennen sind Zugriffsrechte und Sperrcodes für sämtliche Geräte, sichere Passwörter, die Aktualisierung der Praxissoftware und Betriebssysteme (Updates) sowie der Einsatz von Virenschutzprogrammen und Firewall.

Auch eine regelmäßige Datensicherung (Backups) gehört dazu. Hinzu kommen personelle Schutzmaßnahmen, insbesondere die Sensibilisierung und Schulung des Praxispersonals, um das Sicherheitsbewusstsein zu stärken und zu schärfen. Beispiele für den Basis-Schutz zeigt eine Übersicht (siehe unten).

Ziel der Maßnahmen ist es, einen sicheren Praxisbetrieb zu ermöglichen, Risiken für Sicherheitsvorfälle zu minimieren und Cyberkriminellen keine Angriffsfläche zu bieten.

Gesamte Bandbreite abgedeckt

Das Mindestmaß, was Praxen für IT-Sicherheit tun müssen, beschreibt die IT-Sicherheitsrichtlinie der KBV. Sie entstand durch einen Gesetzesauftrag und basiert auf den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die KBV hat die Vorgaben und Schutzmaßnahmen auf die Praxen zugeschnitten und darauf geachtet, dass diese möglichst aufwandsarm umzusetzen sind.

Dabei wird die gesamte Bandbreite an IT und Technik berücksichtigt, die Arzt- und Psychotherapiepraxen in der Regel einsetzen. Angefangen bei Praxisrechnern und darauf installierten Programmen über mobile Dienstgeräte wie Tablets und darauf verwendete Apps bis hin zur Netzanbindung, insbesondere der Übergang ins Internet. Auch die Anbindung der Praxis an die Telematikinfrastruktur (TI) mittels TI-Gateway oder Konnektor und medizinische Großgeräte wie MRT und CT werden berücksichtigt.

So können Praxen vorgehen

Was im Einzelfall vor Ort zu tun ist, prüft jeder Praxisinhaber individuell. Dabei spielen unter anderem die IT-Ausstattung und die Anzahl der Beschäftigten eine Rolle, aber auch die individuelle Gefahreneinschätzung und das eigene Sicherheitsbedürfnis. Als Faustregel gilt: Je mehr Technik und Personal, desto mehr ist zu tun.

Überblick verschaffen und Checkliste nutzen

Im ersten Schritt ist es wichtig, sich einen Überblick zu verschaffen. Hierbei kann die Checkliste der KBV „So können Praxen vorgehen“ unterstützen (siehe unten). Sie ist Teil des Serviceheftes „IT-Sicherheit“ aus der Reihe PraxisWissen und umfasst fünf Punkte: die Festlegung des eigenen Praxistyps, eine Auflistung aller IT-Komponenten, die Einbindung des Teams und Festlegung von Maßnahmen, die optionale Einbindung eines IT-Dienstleisters sowie den Start der Umsetzung.

Das gesamte Heft bietet einen kompakten und übersichtlichen Einstieg ins Thema IT-Sicherheit. Es enthält Praxis-Tipps und zahlreiche Beispiele für Schutzmaßnahmen.

Netzplan: Dokumentation und Visualisierung der IT-Infrastruktur

Die erstellte Liste aller vorhandenen IT-Komponenten können Praxisinhaber nutzen, um auf dieser Grundlage einen Netzplan zu erstellen. Der Netzplan dokumentiert und visualisiert die IT-Infrastruktur. In welcher Form und Darstellung dies konkret erfolgt, kann jeder Praxisinhaber selbst entscheiden. Wie ein Netzplan aussehen kann, zeigt ein Ansichtsbeispiel im KBV-Hub zur IT-Sicherheit (siehe unten).

Der nächste Teil der Serie zur IT-Sicherheit erscheint in der ersten September-Ausgabe der PraxisNachrichten. Thema ist dann der sichere Umgang mit E-Mail-Programmen.

Von Firewall bis Updates: Beispiele für den Basis-Schutz

Firewall für den Netzübergang

Der Übergang vom Praxisnetz zu anderen Netzen, insbesondere dem Internet, ist durch eine Firewall zu schützen. Hierbei empfiehlt die IT-Sicherheitsrichtlinie, die Firewall so zu konfigurieren, dass keine unerlaubten Verbindungen von außen auf das Praxisnetz zugelassen werden.

Zusätzlich sollten auch nur erlaubte Verbindungen aus dem geschützten Praxisnetz nach außen aufgebaut werden können. Dies kann durch Firewall-Regeln bezüglich erlaubter Kommunikationsverbindungen (IP-Adressen, Port und Kommunikationsprotokolle) bei ein- und ausgehenden Verbindungen realisiert werden.

Durch Firewall-Regeln können auch innerhalb des Praxisnetzes einzelne Subnetze voneinander getrennt werden, zum Beispiel für die Administration der IT, für besonders schützenswerte Bereiche, oder gegebenenfalls auch medizinische Großgeräte, die keinen Support mehr erhalten, aber noch nicht ausgemustert werden sollen, können in einem eigenen Netzwerksegment isoliert werden.

Sichere Passwörter

Sichere Passwörter gehören zum Basis-Schutz. Ziel ist, dass nur Berechtigte Zugriff auf Programme und damit schützenswerte Informationen erhalten. Passwörter sollten komplex sein (z.B. mindestens 12 alphanumerische Zeichen + Sonderzeichen) und nicht von Dritten eingesehen werden können.

Für verschiedene Anwendungen sollten verschiedene Passwörter verwendet werden, da andernfalls ein kompromittiertes Passwort (z.B. nach Einbruch bei einem Dienste-Anbieter) sämtliche Dienste und Anwendungen gefährden würde. Voreingestellte Passwörter sind vor dem ersten Gebrauch zu ändern. Bei zu vielen Passwörtern bietet sich die Verwendung eines sogenannten Passwortmanagers an. Mit diesem Programm kann der Anwender durch ein einzelnes Passwort sämtliche Passwörter verwalten (erzeugen, ändern, speichern). Dabei sollte der Passwortmanager lokal installiert sein und die Passwortdatenbank sollte verschlüsselt sein. Wann immer ein Dienst dies anbietet, sollte (zusätzlich) eine Multifaktorauthentisierung (MFA) eingesetzt werden, da dies mehr Sicherheit bietet.

Virenschutz

Die Verwendung von Virenschutzprogrammen zählt ebenfalls zum Basis-Schutz. Besonders Dokumente von Dritten wie Dateien oder E-Mail-Anhänge sollten auf Viren oder allgemeine Schadcodes untersucht werden. Der Virenschutz ist regelmäßig zu aktualisieren. In der Regel erfolgt dies automatisch durch eine entsprechende Einstellung der Virenschutzsoftware.

Updates für Software

Durch Updates werden bestehende Fehler behoben, neue Funktionalitäten angeboten, aber auch erkannte Sicherheitslücken geschlossen. Daher ist es notwendig, Software-Updates zeitnah zu installieren. Der Praxisinhaber oder die Praxisinhaberin muss festlegen, wer Software-Updates installieren darf und die Person muss hierfür geschult und berechtigt werden. Auf eigene Faust sollte keiner Änderungen durchführen dürfen und müssen. Durch die Festlegung der Verantwortlichkeiten wird sichergestellt, dass alle relevanten Software-Updates zeitnah installiert werden.

Backups für schützenswerte Daten

Ein Backup ist eine Sicherheitskopie, um schützenswerte Daten bei einem Datenverlust wiederherzustellen. Bei einem Ransomware-Angriff, bei dem die Daten verschlüsselt werden, sind Backups die Lebensversicherung. Solche Kopien können zum Beispiel auf externen Festplatten, USB-Sticks oder in einer Cloud gespeichert werden. Praxisinhaber sollten festlegen, für welche Daten ein Backup durchgeführt wird, wie häufig dies erfolgt, wer im Praxisteam dafür zuständig/verantwortlich ist und wo die Sicherheitskopie aufbewahrt wird. Ebenso ist darauf zu achten, dass das Backup nicht ebenfalls verschlüsselt werden kann, und dass ein bestehendes Backup problemlos wiederhergestellt werden kann.

Sicherheitsbewusstsein beim Praxisteam

Das Personal ist – neben allen technischen Schutzmaßnahmen – essenziell für die IT-Sicherheit der Praxis. Neben dem sicheren Umgang mit der Technik spielt das Bewusstsein für die Sicherheit beziehungsweise die Awareness für die Gefahren der Angriffe eine immer bedeutendere Rolle. Daher sollte das Praxispersonal regelmäßig geschult werden. Mehr dazu im Hub zur IT-Sicherheit unter „Fortbildungen“.

Medizinische Großgeräte berücksichtigen

MRT, CT, PET oder Linearbeschleuniger sind in puncto IT-Sicherheit ebenfalls zu berücksichtigen. Hier ist zum Beispiel sicherzustellen, dass nur berechtigte Mitarbeiterinnen und Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können. Generell müssen alle sicherheitsrelevanten Systemereignisse eines medizinischen Großgerätes – zum Beispiel eine Funktionsstörung oder ein Systemausfall – protokolliert und bei Bedarf ausgewertet werden.

Telematikinfrastruktur: zeitnah Updates installieren

Die Komponenten der Telematikinfrastruktur in der Praxis, zum Beispiel der Konnektor oder das eHealth-Kartenterminal, müssen regelmäßig auf verfügbare Aktualisierungen geprüft werden und verfügbare Aktualisierungen müssen zeitnah installiert werden. Bei der Verfügbarkeit einer Funktion für automatische Updates sollte diese aktiviert werden.

Tipps für das Erstellen eines eigenen Netzplans

Ein Netzplan dokumentiert und visualisiert Komponenten und Verbindungen – und damit die Struktur des praxiseigenen Netzwerks. Dies hilft bei der Verwaltung, Fehlerdiagnose und Planung der IT-Infrastruktur. So können Sie Ihren Netzplan erstellen:

Erfassen Sie alle IT-Komponenten Ihres Netzwerks wie Rechner, Router, Konnektor etc.
Ergänzen Sie relevante Informationen, beispielweise IP-Adressen.
Nutzen Sie gegebenenfalls ein Tool, um den Plan zu erstellen.
Visualisieren Sie gegebenenfalls die Komponenten und ihre Verbindungen im Netzplan.
Aktualisieren Sie den Netzplan regelmäßig und halten Sie ihn stets auf dem neuesten Stand, insbesondere nach Veränderungen der IT-Infrastruktur.

Ein Ansichtsbeispiel finden Sie im Hub zur IT-Sicherheit. Erstellen Sie den Netzplan gegebenenfalls gemeinsam mit Ihrem IT-Dienstleister.