Das ist bei einem IT-Sicherheitsvorfall zu tun
Sicherheitsvorfall durch Hacker
Am Montagmorgen soll der Praxisbetrieb starten, doch auf dem Bildschirm erscheint nicht das gewohnte Bild. Stattdessen der Hinweis, dass die Praxisdaten verschlüsselt wurden und nur gegen Zahlung einer sechsstelligen Summe wieder zur Verfügung stehen. Dies ist ein ernst zu nehmender Sicherheitsvorfall, und da es um Erpressung geht auch eine Straftat.
In einem solchen Fall ist schnelles Handeln gefragt, und zugleich ist es wichtig, Ruhe zu bewahren. Entdecken Mitarbeitende den Vorfall, informieren sie zunächst den Praxisinhaber, der für die IT-Sicherheit seines Praxisbetriebs verantwortlich ist. Auch der IT-Dienstleister ist schnellstmöglich zu benachrichtigen. Und im Falle einer Erpressung sollte Anzeige bei der Polizei erstattet werden. Auch müssen gegebenenfalls die Patientinnen und Patienten informiert und Termine abgesagt werden.
Wie es dann weitergeht, hängt von verschiedenen Faktoren ab. Etwa davon, ob der kontaktierte IT-Dienstleister den Angriff abwehren beziehungsweise den IT-Schaden beheben kann. Hacker sind IT-versierte Personen oder Gruppen, die unbefugt in fremde IT-Systeme eindringen, um Daten zu stehlen, zu manipulieren oder auch zu verschlüsseln, um für die Freigabe Geld zu erpressen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Informationen und Checklisten für einen Sicherheitsvorfall speziell für Unternehmen bereit. Dazu gehört auch die IT-Notfallkarte „Verhalten bei IT-Notfällen“ im DIN A4-Format. Sie enthält wichtige Verhaltenshinweise, um bei IT-Notfällen vom ersten Moment an die richtigen Entscheidungen treffen zu können (siehe unten).
Ärzte und Psychotherapeuten können die Checklisten und die IT-Notfallkarte bei einer Teambesprechung durchgehen und für ihre Praxissituation anpassen, damit alle Mitarbeitenden sensibilisiert und vorbereitet sind. Sinnvoll ist es, die IT-Notfallkarte im Mitarbeiterbereich auszuhängen oder bereitzulegen, damit sie jeder im Praxisteam bei Bedarf schnell zur Hand hat.
Sicherheitsvorfall durch Softwarestörung
Nicht immer spielen Kriminelle eine Rolle. Auch wenn die Praxissoftware aus technischen Gründen nicht richtig arbeitet, kann das einen Sicherheitsvorfall auslösen, beispielsweise den Verlust sensibler Daten von Patienten, Angestellten oder auch des Praxisinhabers oder der Praxisinhaberin.
Für technische Störungen kann es vielerlei Gründe geben. Eine Möglichkeit ist eine Software-Inkompatibilität. Komponenten einer Software arbeiten dann nicht reibungslos zusammen, weil sie unterschiedliche Standards haben. Das kann der Fall sein, wenn eine neue Software auch eine neuere Version des Betriebssystems benötigt, um zu funktionieren.
Wurde eine Anwendung in der Arzt- oder Psychotherapie für eine ältere Version entwickelt, kann sie nach einem Upgrade – also einer Hochstufung oder Aufwertung – des Betriebssystems oder der verwendeten Software-Bibliotheken inkompatibel werden. Fehlermeldungen, eingeschränkte Funktionalität und Leistungsprobleme können die Folge sein. Es kann auch dazu führen, dass die Software überhaupt nicht mehr arbeitet.
Daher sollten sich Praxisinhaberinnen und Praxisinhaber vor dem Einspielen neuer Software zunächst über die Kompatibilität informieren. Hilfreich kann auch sein, sich nach Updates zu erkundigen oder nach einem alternativen Programm, das mit älteren Versionen kompatibel ist. Ziel ist es, die Störung zu beheben, um die korrekte und zuverlässige Funktion der Software wiederherzustellen.
Auch Stromausfall kann IT-Sicherheit gefährden
Ein Stromausfall während des Praxisbetriebs kann ebenfalls einen Sicherheitsvorfall auslösen. Wenn IT-Systeme unkontrolliert abgeschaltet werden, können datenverarbeitende Programme in einen sogenannten inkonsistenten Zustand geraten und es kann zum Datenverlust kommen.
Regelmäßige Kopien der Praxisdaten, sogenannte Back-ups, können dann helfen, verlorene Daten wiederherzustellen. Dazu werden die Daten, die wichtig sind, als Kopie auf einem separaten Gerät abgespeichert – das kann je nach Größe eine externe Festplatte sein oder ein USB-Stick. Gehen die Original-Praxisdaten dann durch einen Stromausfall verloren, kann die Kopie verwendet werden.
Die KBV empfiehlt, wichtige Praxisdaten regelmäßig als Kopie zu speichern, also regemäßig ein Back-up zu erstellen. Änderungen können dann als neue Version abgespeichert werden. Wie häufig dies im Einzelfall erforderlich und sinnvoll ist, muss jede Praxis selbst entscheiden.
Vorbereitung auf einen Sicherheitsvorfall
Da Cyberangriffe weltweit zunehmen und auch im Gesundheitswesen keine Seltenheit sind, ist es wichtig, sich als Praxisteam mit IT-Sicherheit zu beschäftigen und auf einen möglichen Sicherheitsvorfall vorzubereiten. Hierzu gibt es generelle Empfehlungen und drei Beispiele, wie Praxen bei verschiedenen Sicherheitsvorfällen vorgehen können (siehe unten).
Grundsätzlich empfiehlt sich die bereits erwähnte Notfallkarte des BSI zu nutzen und die generellen Empfehlungen zu beachten (siehe ebenfalls unten). Gegebenenfalls können mögliche Szenarien praxisindividuell im Team besprochen und dabei festgelegt werden, wer welche Punkte umsetzt.
Zur Unterstützung der Praxen in puncto IT-Sicherheit stellt die KBV umfangreiches Schulungsmaterial für Praxisangestellte bereit. Außerdem gibt es eine zertifizierte Online-Fortbildung für Ärzte und Psychotherapeuten im KBV-Fortbildungsportal. Einen kompakten Überblick bietet darüber hinaus das Serviceheft „IT-Sicherheit“ in der Reihe PraxisWissen der KBV.
Der nächste Teil unserer Serie zur IT-Sicherheit erscheint am 6. November. Thema sind dann Software-Updates.
Drei Beispiele: So können Praxen bei IT-Sicherheitsvorfällen vorgehen
Wichtig: Verantwortlich für die IT-Sicherheit der Praxis ist stets der Praxisinhaber oder die Praxisinhaberin. Daher sollte diese Person stets zuerst informiert werden, sofern sie selbst nicht vor Ort ist.