Die voranschreitende Digitalisierung birgt trotz aller Automatisierung und Vereinfachung auch ihre Schattenseiten und somit digitale Gefahren. Nicht erst durch WannaCry* im Mai 2017 birgt die Digitalisierung stets neue und nicht unerhebliche Risiken. Dies gilt im Privaten als auch im Beruflichen. Beinahe täglich erfährt man von neuen Sicherheitslücken oder Hackerangriffen. Unternehmen wie auch Arztpraxen sehen sich einer immer ernster zu nehmenden Bedrohung ausgesetzt und vor allem Gesundheitsdaten sind aufgrund der geringen Hürden und kleinen IT-Strukturen ein immer mehr in den Fokus geratendes Angriffsziel.

Ein häufig vernachlässigtes und kaum bedachtes Risikofeld sind die eigenen Mitarbeiter. Hier geht es vor allem um die fehlende Sensibilisierung für digitale Gefahren und das Verhalten im Schadensfall oder bei einem Verdacht. Zwei Themen möchten wir uns in diesem Artikel genauer widmen, um auf das Thema aufmerksam zu machen und einen kleinen Teil zu beleuchten, der durch kleine Maßnahmen und Mitarbeiterschulungen die Sicherheit ihrer Patientendaten stark erhöht.

Wer darf was?

Das Praxis-Verwaltungssystem (PVS) ist das Herzstück einer jeden Praxis. Es stellt sozusagen das elektronische (Daten-)Herz Ihrer Praxis dar. Arbeitet dieses Herz nicht mehr einwandfrei, d. h., die Daten stehen nicht mehr unverfälscht und vollständig zur Verfügung, hat man vielleicht noch das Glück, dass man auf veraltete Daten zurückgreifen kann, aber in Zeiten von papierlosen Praxen und digitaler Patientenakte wird das nicht mehr weiterhelfen.

Möglich können hierbei zwei Ursachen sein. Fehler oder Probleme technischer Natur lassen sich durch neue IT-Komponenten oder die Reparatur beheben.

Die zweite Ursache ist das Versagen aufgrund eines geschädigten Systems bspw. durch einen Cyberangriff.

Das „Wer darf was?“ ist hierbei von zentraler Bedeutung. In vielen Praxen haben alle Mitarbeiter kompletten Zugriff auf alle Daten oder können Software installieren. Wenn man ehrlich ist und sich fragt: „Ist das wirklich nötig, dass bspw. auch ich auf alles zugreifen kann?“, kann man die Frage häufig mit „Nein“ beantworten.

Folgendes sollten ihnen dabei helfen herauszufinden, ob die Zugriffsrechte schon jetzt ein Problem darstellen:

  • Hat jeder Mitarbeiter (Praxisinhaber inbegriffen) einen eigenen Login + Passwort?
  • Wird der Login auch von jedem und nur von einer Person verwendet oder wird aufgrund des Zeitdrucks häufig der Login des ersten morgens durchgängig verwendet?
  • Werden Sie aufgefordert, in regelmäßigen Abständen Ihre Passwörter zu ändern?
  • Haben Sie auf alle Daten Zugriff, auch wenn Sie dies gar nicht benötigen oder können sogar Programme installieren?

Sogenannte Rollenkonzepte begrenzen die missbräuchliche Bedienung von PVS und anderen Systemen. Eine Rolle in der IT beschreibt u. a. die Zugangsrechte zu IT-Systemen und/oder die Zuord­nung von Ausführungsrechten innerhalb von Anwendungen. Jeder kann dann nur die Funktionen nutzen, die auch für seine Arbeit notwendig sind. Verändert sich die Rolle der Mitar­bei­terIn innerhalb der Praxis, wird auch die entsprechende IT-Rolle angepasst. Auf diese Weise wird vermieden, dass eine unnötige, zu weit reichende Rechtevergabe, zu unautori­sier­ten Aktionen führen. Dies dient vor allem dem Schutz der MitarbeiterIn und des Systems. Stellen Sie sich vor, Sie erhalten einen USB-Stick mit EKG Daten eines Patienten und sollen diesen aufspielen. Der Patient hat unwissentlich als Trojaner-Wirt fungiert und der USB-Stick hat die Praxis mit einem Virus/Trojaner infiziert. Wenn die Rechte so vergeben sind, dass Sie keine Software ausführen bzw. installieren dürfen, die nicht autorisiert ist, kann der Stick keinen größeren Schaden zufügen. Vereinfacht dargestellt sind für dieses Problem nicht mehr als zwei Klicks notwendig und digitale Gefahren können vermieden werden.

Messenger-Dienste – die trojanischen Pferde in den vermeintlich sicheren Messengern

Messenger wie WhatsApp, Facebook Messenger, Instagram Nachrichten/Storys, Telegram u. a., werden gerne nicht nur im privaten, sondern auch vermehrt im dienstlichen Umfeld eingesetzt (immer mehr Praxen haben Social-Media Accounts). Die leichtfertige Verwendung von Messengern birgt ein enormes Schadenspotenzial für Praxen und Ihre Patienten. Aber worin liegen eigentlich die Risiken?

Auch wenn die Messenger im direkten Chat verschlüsselt sind, ist es etwas anderes, wenn über diese Verbindung Dokumente oder beliebige andere Dateien versendet werden. Diese müssen nicht zwangsweise auch verschlüsselt sein.

Wenn aus der Praxis Patientendaten an Patienten, Labore, Ärzte gesendet werden, ist nicht zwingend sichergestellt, dass nicht auch andere den Zugriff auf diese Daten erhalten könnten. Eine Datenschutzverletzung nach DSGVO liegt dann sowieso zwangsläufig vor.

Auch arbeitsrechtlich ist es schwierig, wenn z. B. in der internen Messenger-Gruppe über Krankschreibungen, Urlaub oder Dienste gesprochen wird.

Im Glauben, eine komfortable Kommunikationslösung mit Patienten zu verwenden, begehen Sie sehr, sehr dünnes Eis. Überlegen Sie es sich deshalb sehr genau, diese Medien mit medizinischen Daten von Patienten zu beladen. Und: Private Handys sind für den Dienst­ge­brauch auf keinen Fall zu empfehlen!

Zusammenfassend lässt sich festhalten, dass dieser kurze Exkurs in zwei kleine Teilbereiche die vollständige Klaviatur digitaler Gefahren nur erahnen lässt. Was kann man also tun?

Wichtig sind dabei zwei Kernaspekte:

  1. Man sollte sich im Klaren sein, dass es so etwas wie eine 100% Sicherheit vor digitalen Gefahren nicht gibt. Also sollte eine Notfallplanung für den Worst-Case (Cyberversicherung, Ablaufplan, IT-Dienstleister Kontaktadressen, etc.) in das Qualitätsmanagement mit aufgenommen werden
  2. Mitarbeiterschulungen und ein gelebter Verhaltenskodex mit digitalen Medien ist unabdingbar. Cybersicherheit fängt bei jedem Nutzer an und durch einfache Verhaltensgrundsätze und revolvierende Sensibilisierung lassen sich viele Gefahrenpotentiale minimieren.

 

Hier finden Sie weitere Informationen zum Thema Compliance.

 

Bildquellen