• Artikel

Im Fokus: IT-Sicherheit in Arztpraxen, Apotheken und Krankenhäuser

Auf seiner digitalen Seite ist der Gesundheitssektor noch immer extrem verwundbar: Täglich kommunizieren Arztpraxen und ihr Personal online mit Patient_innen, vergeben Termine, verwahren ihre persönlichen Daten auf digitalen Datenbanken und rechnen gar virtuell ab. Solch sensible Informationen verlangen größtmögliche IT-Sicherheit. Was passiert, wenn Nachholbedarf zu lange unberücksichtigt bleibt, hat eine Arztpraxis aus MV festgestellt.

Das ist passiert: Im laufenden Praxisbetrieb stellt eine Mitarbeiterin fest, dass sich die elektronischen Patientenakten nicht mehr öffnen lassen. Nur kurze Zeit später erscheint eine Lösegeldforderung zur Entschlüsselung der Dateien. Auch der betreuende IT-Dienstleister kann die Situation nicht abwehren. Es folgt die Strafanzeige gegen unbekannt bei der Polizei.

Mit unmittelbarer Hilfe der Behörde ist allerdings nicht zu rechnen. Das Szenario ist jedoch bekannt. Um die Freigabe schneller herbeizuführen, geht die Arztpraxis schließlich auf die Forderung ein, zahlt das verlangte Lösegeld in Bitcoins und erhält anschließend einen Code.

Glück im Unglück? Was bleibt, ist die zeitintensive Entschlüsselung sämtlicher Dateien und der Verlust des erbeuteten Geldes. Die Auswirkungen sind noch lange nach dem Vorfall spürbar. Wäre da nur nicht dieser kleine Dateianhang einer E-Mail gewesen.

Cyber-Angriffe erfolgen nicht nur über Einfallstore in den Konfi­gurationen der IT-Infrastruktur von Arztpraxen, sondern in gleichem Maße in falscher Handlung des medizinischen Personals — z. B. durch den Download einer Phishing-Mail angehängten Datei. Ist sie heruntergeladen, ist es oft schon zu spät. Der menschliche Faktor ist in solchen und ähnlichen Situationen schließlich ein ganz wesentlicher: Eine Sensibilisierung gegenüber entsprechenden Risiken muss die ohnehin einzuhaltenden Richtlinien ergänzen.

In §75 SGB V hat die Kassenärztliche Bundesvereinigung konkrete Anforderungen zur IT-Sicherheit in der vertragsärztlichen und -zahnärztlichen Versorgung festgelegt: zum Schutz vertraulicher Informationen, zur kryptographischen Sicherung vertraulicher Daten, Sperrung von Geräten, Verhinderung von unautorisierten Zugriffen auf Mikrofone und Kameras sowie unerlaubter automatischer Nutzung von Webanwendungen. Inbegriffen sind eine regelmäßig Datensicherung und -aufbewahrung sowie zeitnahe verfügbarer Updates. Wir unterstützen Ihre Praxis auf dem Weg zu mehr Cyber Security — von der Überprüfung des aktuellen Sicherheitsniveaus, entsprechenden Empfehlungen und Umsetzungen notwendiger Maßnahmen bis zur Schulung des wichtigsten Faktors: ihren Mitarbeiter_innen.

Hier sind die gesetzlichen Regelungen und Anforderungen in Kürze:

  • §75b SGB V: Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung
    - Umsetzungsfristen tlw. ab 01.04.2021
  • §75c SGB V: IT-Sicherheit in Krankenhäusern
    - Umsetzungsfristen bis 01.01.2022
  • Sanktionsmöglichkeiten SGB 5 (394-397)
    - Ordnungswidrigkeit Busgelder bis 300.000€

https://www.kbv.de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistung_IT-Sicherheit.pdf

https://www.der-niedergelassene-arzt.de/kommcenter/it-in-der-arztpraxis/news-details/it-sicherheit/it-sicherheitsrichtlinie-ist-in-kraft-welche-anforderungen-gelten-fuer-praxen

Anforderungen

Basisanforderungen für alle Praxen, Frist bis 01.04.2021:

  • Verwendung sicherer Apps
  • Verhinderung von Datenabfluss
  • Schutz vertraulicher Informationen, Kryptographische Sicherung vertraulicher Daten
  • Sperren von Geräten
  • Einsatz von Virenschutzprogrammen
  • Zugriffsschutz
  • Dokumentation des Netzwerks
  • Verhinderung von unautorisierten Zugriffen auf Mikrofon/Kameras
  • Update von Mobiltelefonen

Basisanforderungen für alle Praxen, Frist bis 01.01.2022:

  • Sichere Speicherung lokaler App-Daten
  • Firewalls, Schutz vor unerlaubter automatischer Nutzung von Webanwendungen
  • Regelmäßige Datensicherung
  • Sperrmaßnahmen bei Verlust eines Mobiltelefons
  • Schutz vor Schadsoftware
  • Zeitnahes Installieren verfügbarer Aktualisierungen
  • Sicheres Aufbewahren von Administratordaten

Für mittlere und große Praxen ergänzend:

  • Bis 01.04.2021: Minimierung und Kontrolle von App-Berechtigungen
  • Bis 01.01.2022: Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung
  • Bis 01.07.2022: Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten + Regelung zur Mitnahme von Wechseldatenträgern

Für große Praxen ergänzend:

  • Bis 01.01.2022: Festlegung einer Richtlinie für den Einsatz von Smartphones/Tablets
  • Bis 01.07.2022: Auswahl und Freigabe von Apps

Für alle Praxen mit medizinischen Großgeräten ergänzend:

  • Bis 01.07.2021: Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen + Nutzung sicherer Protokolle für die Konfiguration und Wartung
  • Bis 01.01.2022: Netzsegmentierung

§ 75 SGB V IT-Sicherheit in Krankenhäusern

(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

(2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI Gesetzes festgestellt wurde.

Basismaßnahmen

  • Absicherung von Netzübergängen
  • Abwehr von Schadprogrammen (z.B. „Virenscanner“)
  • Inventarisierung der IT-Systeme
  • Vermeidung von offenen Sicherheitslücken (z.B. Softwareaktualisierung)
  • Logdatenerfassung und -auswertung
  • Sicherstellung eines aktuellen Informationsstandes (CERT, Lagebild)
  • Bewältigung von Sicherheitsvorfällen
  • Sichere Authentisierung
  • Sichere Interaktion mit dem Internet
  • Sichere (oder keine) Nutzung sozialer Netze
  • Gewährleistung der Verfügbarkeit notwendiger Ressourcen
  • Durchführung nutzerorientierter Maßnahmen (“Awareness“-Schulungen)
  • Regelmäßige Durchführung von technischen Sicherheitsüberprüfungen

Zurück