Wie kann ich meine Praxisdaten vor Malware schützen?

© REDPIXEL/ Fotolia

Wie kann ich meine Praxisdaten vor Malware schützen?

Es ging an einem Freitag im Mai dieses Jahres los. In der Nacht wurden 57.000 Computer in 150 Ländern mit der Ransomware Namens WannaCry infiziert. Übers Wochenende wurden weitere 150.000 Systeme durchdrungen, darunter mindestens 48 Krankenhäuser. In der angehängten Nachricht hieß es, dass die Daten der Opfer gesperrt wären bis sie eine Geldsumme zu einem bestimmten Datum bezahlen. Nicht nur Computer waren betroffen. Eine Maschine, die in der Radiologieabteilung von einem unbekannten amerikanischen Krankenhaus in Verwendung war, wurde auch angegriffen. Laut Forbes Magazine handelte es sich um ein sogenanntes “Power Injector” Modell von Bayer, das in der Vorbereitung auf MRT Scans genutzt wird.

Ein Angriff wie WannaCry ist nichts neues, Viren gibt es fast so lange wie es Computer gibt. Aber er verdeutlicht, dass die zunehmende Digitalisierung im Gesundheitswesen neben sämtlichen Vorteilen, auch große Risiken mit sich bringt. Bei dem “Power Injector” Fall wurden zwar keine Patienten gefährdet, aber er verdeutlichte, wie verletzlich unsere Systeme sind. Und wie groß der Schaden sein könnte, wenn böswillige Hacker Zugriff auf medizinische Geräte oder Akten bekommen. Was kann man also als Arzt tun, um sich und seine Patienten vor künftigen Angriffen zu schützen?

Die Ausgangssituation

Noch bekommen Praxen und Kliniken keine finanzielle Unterstützung vom Staat um Daten zu sichern. Das ist sehr beunruhigend, denn verglichen mit anderen Wirtschaftszweigen sind IT Budgets von Krankenhäusern besonders gering. Auf dem Deutschen Ärztetag in Freiburg sind Mediziner also Schritte gegangen um dies zu ändern. Sie fordern die Aufstockung der Krankenhaus-Investitionsmittel durch die Bundesländer und möchten ein Sonderprogramm von zehn Milliarden Euro über die nächsten sechs Jahre veranlassen. Sie plädieren ferner für die Einführung einer Bewertungsagentur und eines Gütesiegels von Gesundheits-Apps um den Umgang mit sensiblen Daten zu schützen.

Des Weiteren sind 250 von den Ärztetag-Delegierten der Meinung, dass gesetzliche Veränderungen angebracht sind. Angesichts der Tatsache, dass Produkte wie Insulinpumpen schon gehackt worden seien, schlagen sie ein “digitales Medizinproduktegesetz” vor. Ein gesetzlicher Rahmen sei nötig, um mögliche Täter abzuschrecken oder sie zur Rechenschaft zu ziehen, wenn sie gegen das Gesetz verstoßen.

Obwohl diese Maßnahmen zweifellos zur Sicherheit beitragen können, sind die Umsetzungen aktuell noch nicht absehbar. Bis sie eintreten, müssen Ärzte Wege finden, um jetzt schon mit der Situation umzugehen. Anders gesagt: Im Moment ist Risikomanagement gefragt.

Raus aus dem Nebel

Cloud-Dienste wie Whatsapp oder Dropbox sind heutzutage fast allgegenwärtig. Sie bieten eine unkomplizierte, schnelle und zuverlässige Handhabung – zudem sind sie meist kostengünstig. Obwohl sie für den persönlichen Gebrauch unproblematisch sind, sollten sie für die Übermittlung von medizinischen Informationen vermieden werden.

Das größte Problem ist die Intransparenz die aktuell darüber herrscht, wo die Daten zwischengespeichert werden. Das ist extrem kritisch zu betrachten, denn jedes Land hat seine eigenen Datenschutzgesetze – manche sind streng, während andere äußerst locker sind. Zudem besteht oft keine ausreichende Verschlüsselung der Daten – daher ist es immer möglich, dass ein Unbefugter an die Kontaktliste der Patienten gelangen könnte.

Interne Kommunikationswege

Kein System ist 100 Prozent sicher – selbst wichtige Behörden sind neulich Opfer von Hackern geworden. Doch manche Cyber-Gewohnheiten schonen einen besser vor Angriffen als andere. Dazu gehört die Nutzung von betriebseigenen Servern und Geräten. Diese können beispielsweise mit einer Device Management Software in das geschützte WLAN integriert werden. Am Besten greifen alle Nutzer über ihr eigenes Konto auf das System, das nach dem OH-KIS auf ein Rollen- und Berechtigungskonzept ausgerichtet ist. Die Daten werden auf den Geräten und den eigenen Servern gespeichert, was das Risiko auf Datenmissbrauch relativ gering hält.

Versuchen Sie die Mischnutzung von Smartphonen (Geräte, die für private und dienstliche Zwecke genutzt werden) zu vermeiden. Sobald die Mitarbeiter ihre Geräte außerhalb der Praxis gebrauchen, können unbekannte Apps oder Software darauf laufen, was letztendlich Ihr System angreifbar macht. Das ist insofern problematisch, da viele Apps Zugriff auf personenbezogene Daten wie Kontaktlisten, E-Mail Verkehr oder Fotos ermöglichen. Über Kameras oder Mikrofone können zudem unbemerkt Informationen gespeichert und an Dritte gesendet werden.