Zum Hauptinhalt springen

IT-Sicherheit in Arztpraxen - Ein unterschätztes Risiko?

Gastbeitrag zur IT-Sicherheitsrichtlinie §75B SGB V von Klaus Wilke - Geschäftsführer MVS Wilke - Safe Cyber Identity

Seit dem 01.01.2021 gibt es die neue IT-Sicherheitsrichtlinie für vertragsärztliche und vertragspsychotherapeutische Praxen. Diese Richtlinie ist für Praxen bindend und muss unter Berücksichtigung der angegebenen Daten umgesetzt werden. Viele Praxisinhaber/innen und IT-Dienstleister/innen wissen noch nicht, dass eine derartige IT-Sicherheitsrichtlinie existiert. Vor diesem Hintergrund ist es umso wichtiger, sich mit diesem Thema zu beschäftigen und wenn nötig sich bei Spezialisten/innen zu informieren.

Im Zeitalter der Digitalisierung werden immer mehr Daten über das Netz ausgetauscht. Es ist bequem, einfach und schnell. Allerdings ist dieser Datenaustausch auch mit einer Vielzahl an Risiken verbunden, vor allem Gesundheitsdaten werden von Kriminellen hoch gehandelt und müssen deswegen besonders geschützt werden. Gerade während der Coronakrise haben solche Angriffe auf IT-Systeme zugenommen. Die IT-Sicherheit wird leider viel zu häufig unterschätzt und hat bei einem erfolgreichen Angriff meist verheerende Folgen für die Praxen.

Es gibt eine Vielzahl an erfolgreichen Hackerangriffen. Einige Angriffe werden erkannt, andere bleiben allerdings unentdeckt. Laut TÜV Hessen-Blog wurden 2019 in Deutschland Tests von renommierten IT-Sicherheitsunternehmen gemacht, die die Sicherheit der Praxen auf den Prüfstand stellten, und das mit erschreckenden Ergebnissen: Fast 80% der Praxen wären nicht mehr in der Lage, ihre Patienten zu behandeln. Gerade einmal 5 Minuten dauerte es in einer Praxis, um an sensible Daten zu kommen. Teilweise könnte mit einfachsten Mitteln eine relativ gute Sicherheit hergestellt werden, zum Beispiel durch Schulungen der Mitarbeiter, Social Engineering, das ein wesentlicher und nicht zu unterschätzenden Teil darstellt. Social Engineering hat einen immer noch sehr hohen Bestand in der Hackerszene und wird immer besser. Gerade (Spear-) Phishing-Attacken werden dabei immer professioneller und kaum bis gar nicht zu unterscheiden von Original-E-Mails.

Aufgrund dessen beschäftigte sich auch die KBV und KZBV mit diesem Thema und hat eine einheitliche Sicherheitsrichtlinie auf den Weg gebracht, die auf den jeweiligen Seiten für Praxen, aber auch für IT-Dienstleister/innen zur Verfügung steht. Die Kassen haben den Auftrag einem dem Stand der Technik sowie den technisch organisatorischen Maßnahmen nach Artikel 32 DSGVO (Datenschutz Grundverordnung) entsprechend in den Praxen zu standardisieren. Die Richtlinie beschreibt ein Mindestmaß an technischen Anforderungen, um die IT-Sicherheit und die Schutzziele Vertraulichkeit, Integrität sowie Verfügbarkeit in den Praxen zu gewährleisten und sicherzustellen.

Ein wichtiger Punkt ist die Gliederung der Praxen in drei Größenordnungen: Klein-, Mittel- und Großpraxen. Dabei gibt es allerdings einen weiteren Punkt, der unter Anlage 4 zu beachten ist, und zwar wenn eine Praxis medizinische Großgeräte betreibt. Auch wenn es die Möglichkeit gibt, die Risiken an Dritte wie IT-Dienstleister/innen oder Versicherungen weiterzugeben, liegt die Verantwortung zur Einhaltung dieser Richtlinie bei den jeweiligen Praxisinhabern/innen und ist unter Berücksichtigung der Umsetzungsdaten in den Anlagen 1-5, je nach Praxisgröße einzuhalten.

© Klaus Wilke - MVS Wilke 2021
www.mvs-sci.de