Cyberattacken können jeden treffen

Patientendaten effektiv schützen

Wer als Arzt in einer Praxis oder in einer Klinik tätig ist, kommt täglich mit hochsensiblen Informationen und Patientendaten in Berührung. Die Prozesse im modernen Arbeitsalltag sind dabei so komplex, dass eine voll digitalisierte Infrastruktur unverzichtbar erscheint. Doch wenn die hauseigene IT Fehler aufweist, kann das weitreichende Konsequenzen haben – dazu kommt, dass die meisten Anwender über die zahlreichen Cyber-Gefahren nicht Bescheid wissen. Wer sich und seine Praxis schützen will, sollte sich gut informieren.

Patientendaten
Bankdaten
Buchhaltung
Mitarbeiterdaten

Für diese Mediziner ist Cybersicherheit besonders wichtig:

Internisten, Rechtsmediziner, Amtsärzte, Orthopäden, Radiologen, Tierärzte, Zahnärzte, Neurologen, Chirurgen, Toxikologen, Urologen, Kardiologen, Gynäkologen, Kinderärzte, HNO-Ärzte, Notfallmediziner und Dermatologen

Viren, Malware und Co. – mit diesen Gefahren müssen Sie rechnen

Cybergefahren für Ärzte

In Deutschland gehören Cyberangriffe mittlerweile zum Arbeitsalltag. Natürlich sind Ärzte und Praxen ebenso betroffen, wie andere Unternehmen. Dabei gibt es wohl kaum eine Branche, in der die gespeicherten Daten so vertraulich behandelt werden müssen, wie im Medizinwesen. Umso erschreckender, dass die Einfallstore für Hacker oft weit offenstehen. Insofern gilt es, sich über die potenziellen Gefahren zu informieren und entsprechende Maßnahmen zu ergreifen.

Der Hackerangriff und das organisierte Verbrechen

Wenn Sie denken, dass Ihre Praxis zu klein und „irrelevant“ für eine Cyberattacke ist, kann dies ein böses Erwachen nach sich ziehen: Gerade Ärzte gehen tagtäglich mit hochsensiblen Daten um, die für Hacker von größtem Wert sind. Die Beweggründe der Angreifer können dabei sehr unterschiedlich sein: Datendiebstahl, Spionage und Erpressung sind nur einige der Gefahren, die von organisierten Gruppen ausgehen.

Datenschutz- oder Sicherheitsverletzung

Dabei muss ein Cyberverbrechen nicht unbedingt mit einer aktiven Tat zusammenhängen. Das Umgehen oder Nichtbeachten bestimmter Gesetze und Vorschriften kann bereits zu Sicherheitslücken führen und sogar strafrechtlich verfolgt werden. Als aktuelles Beispiel dient dabei die neue Datenschutzgrundverordnung: Vielen Ärzten und Praxen gelingt es nicht, den vorgeschriebenen Umgang mit personenbezogenen Daten einzuhalten. Damit riskiert man unter Umständen eine Verletzung der Informationssicherheit, die Schadensersatzansprüche nach sich ziehen kann.

Malware

Als Malware bezeichnet man eine Schadsoftware (englisch: malicious), die Computer, Smartphones und Tablets befallen kann. Dazu werden unter anderem Würmer, Viren und Trojaner eingesetzt. Problematisch wird es, wenn die „Infektion“ von den Nutzern unbemerkt bleibt: Dadurch kann sich die Software verbreiten und der Schaden wird immer größer. Gerade für Ärzte und Praxen kann dies fatale Folgen haben, z. B. wenn digitale Patientenakten gelöscht werden.

Fehler oder Täuschung von Mitarbeitern

Sich vor externen Gefahren zu schützen reicht leider nicht immer aus. Zahlreiche Studien belegen (u. a. Bitkom, BSI), dass die größten Sicherheitslücken selbstverschuldet sind. Dabei muss es sich nicht nur um einen Kollegen handeln, der versehentlich einen dubiosen Anhang in einer Phishing-Mail öffnet – es gibt zahlreiche Fälle, in denen Mitarbeiter bewusst Daten stehlen, Spionage betreiben und Cyberkriminellen den Zugang zu IT-Systemen verschaffen.

Auf einen Blick

Hackerangriff/
organisiertes Verbrechen

  • Erpressung
  • Cyber-Diebstahl

Datenschutz- oder
Sicherheitsverletzung

  • Verletzung der Datenschutzgesetze (bspw. DSGVO)
  • Schadensersatzansprüche nach einer Verletzung der Informationssicherheit

Malware

  • Komplexe Schadprogramme (z.B. Petya, WannaCry)

Fehler oder Täuschung durch Mitarbeiter

  • Verletzung der Netzwerksicherheit
  • Datenklau
  • Datenweitergabe
  • Sabotage

Ärzte und Kliniken im Cyber-Check

5 Tipps für mehr Cybersicherheit

Cybergefahren gibt es überall im Netz. Ob Mail-Anhänge, Software-Downloads oder unvorsichtiges Surfen – Hacker haben es teilweise erschreckend einfach, ein IT-System zu infiltrieren. Selbst wenn nur kleine Budgets verfügbar sind, können die folgenden Tipps leicht umgesetzt und die Cybersicherheit entscheidend verbessert werden:

1 Cybersicherheit ist Chefsache

Alle Fragen, die die digitale Informationssicherheit betreffen, sollten zentral von der Praxenleitung oder dem zuständigen Arzt erfasst und behandelt werden. Das erleichtert die Entwicklung von ganzheitlichen Lösungsansätzen und Präventionsmaßnahmen.

2 Updates und Patches aktuell halten

Zunächst sollten Sie sich einen Überblick darüber verschaffen, welche Hard- und Software von Ihnen und Ihren Mitarbeitern genutzt wird. Sorgen Sie anschließend dafür, dass die Updates und Patches aller Rechner auf einem aktuellen Stand sind. Wichtig: Es sollten keinesfalls alte Betriebssysteme verwendet werden. Wenn Sie diese einfachen Maßnahmen umsetzen, verringern Sie die Erfolgsaussichten von Cyberangriffen bereits entscheidend.

3 Verwenden Sie sichere Passwörter

Der Name Ihrer Praxis, Ihrer Spezialisierung oder „123123123“ – nutzen Sie keinesfalls solche Passwörter. Hacker können diese ohne Weiteres entschlüsseln, z. B. mittels eines sogenannten Wörterbuchangriffs. Es gibt zwar kein Passwort, das zu 100 Prozent sicher ist, aber man kann es den Hackern durchaus schwer machen. Nutzen Sie dazu mindestens acht zufällige Zeichen, die aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Außerdem sollten Sie die Passwörter keinesfalls schriftlich festhalten, nicht mehrfach verwenden und regelmäßig ändern.

4 Mitarbeiter regelmäßig schulen

Mitarbeiter stellen eine der größten Gefahren für die IT-Sicherheit dar. Ob sie unvorsichtig surfen oder unbekannte Mailanhänge öffnen und weiterleiten: Der Fehler ist schnell passiert und dann ist es oftmals zu spät. Deswegen sollten Mitarbeiter regelmäßig geschult und mit Informationen zu aktuellen Sicherheitsthemen versorgt werden. Gute Präventionsarbeit ist hier unverzichtbar und leistet einen wichtigen Beitrag zur Cybersicherheit einer Praxis oder Klinik.

5 Datensicherung ist elementar

Sichern Sie Ihre Daten unbedingt regelmäßig und an unterschiedlichen Orten. Das schützt Sie und Ihre Praxis nicht nur vor dem Verlust wichtiger Patientendaten, sondern auch vor sogenannter „Ransomware“. Letztere wird von Cyberkriminellen verwendet, um die Inhalte auf Computern zu verschlüsseln und eine Lösegeldforderung zu stellen. Wird dieser nicht nachgekommen, droht der Datenverlust.

Jetzt ihre Website prüfen.

Damit eine Cyberversicherung abgeschlossen werden kann, müssen je nach Police bestimmte Voraussetzungen erfüllt werden. So sollten zum Beispiel unterschiedliche Passwörter genutzt oder die Caches regelmäßig geleert werden. Wie Sie Ihre Praxis optimal darauf vorbereiten, können Sie der hier zum Download bereitstehenden Checkliste entnehmen:

Mit dieser Checkliste können Sie einen Quick-Check durchführen:

  • Virenscanner, Spamschutz, Firewall und Sicherheitssoftware installieren
  • Daten regelmäßig und getrennt sichern
  • Eine Schlüsselsoftware installieren: Damit sind alle Daten nur über einen Schlüssel oder ein spezielles Passwort zugänglich
  • Unterschiedliche Passwörter nutzen und diese in regelmäßigen Abständen aktualisieren. Diese sollten zudem sicher sein und Groß- und Kleinbuchstaben, Ziffern und Buchstaben enthalten sowie mindestens acht Buchstaben haben
  • Keine Mails von unbekannten Adressaten öffnen
  • Mitarbeiter, die im Homeoffice arbeiten oder ein dienstliches Smartphone nutzen, müssen ebenfalls immer wieder ein Backup ausführen
  • Möglichst regelmäßig den Cache leeren
  • Sensibilisierung der Mitarbeiter für das Thema Datenschutz und Cyber-Kriminalität
Cyber-Checkliste downloaden

Cyberschäden in Kliniken und Arztpraxen

Die Folgeschäden einer Cyberattacke

Ein erfolgreicher Cyberangriff auf ein schlecht geschütztes IT-System kann für ernstzunehmende Probleme sorgen und eine kostenintensive Schadensbewältigung nach sich ziehen. Gerade Ärzte und Praxen können dabei in eine existenzbedrohliche Lage kommen, zum Beispiel wenn wichtige Patientendaten nicht wiederhergestellt werden können. Dadurch wird das Vertrauen der Patienten beschädigt und der Arbeitsalltag stark beeinträchtigt.

Folgeschäden
  • Datenwiederbeschaffung
  • Neueingabe von Daten
  • Neuinstallationen
  • Aufwendungen für Verschlüsselungen
  • Kosten aufgrund fehlerhaftem Versands
  • Schäden durch elektronischen Zahlungsverkehr
  • Telefonmehrkosten
  • Ertragsausfall und Mehrkosten
  • Aufwendungen für eine Ursachenermittlung
  • Notwendige Krisenkommunikation
  • Auftretende Informationskosten
  • Ersatz der Hardware
  • Anwaltskosten
  • Ansprüche nach der Weitergabe von Schadsoftware an Dritte

3 Leistungen für die Sie externe Hilfe holen müssen

Dienstleister für die Cybersicherheit von Ärzten

Online-Training

  • Nachhaltiges Training
  • Aktuelle Trainingsvideos über Sicherheitsrisiken
  • Konkrete Handlungsempfehlungen
Zum Online-Training

Mitarbeiterschulung

  • Gefahrenüberlick
  • Präventionsschulungen
Mitarbeiter schulen

Penetrations-Test

  • Angriffssimulation
  • Proaktives Erkennen von Sicherheitslücken
  • Detailierter Sicherheitsreport
Zum Pen-Test anmelden

Sie sind Opfer einer Cyberattacke geworden?
Das müssen Sie jetzt tun

Sofort-Maßnahmen nach einem Cyberangriff

Auch wenn alle denkbaren Vorsichts- und Präventivmaßnahmen ergriffen wurden, kann es immer noch vorkommen, dass die besten Sicherheitssysteme von versierten Hackern ausgehebelt werden. Deswegen sollte in jeder Praxis oder Klinik ein Notfallplan vorliegen, in dem die Zuständigkeiten und zu ergreifenden Schritte genau festgelegt sind.

Die folgende Checkliste zeigt, was im Schadensfall zu tun ist Checkliste:

  • Interne Aufklärungsarbeit (Schwachstellen analysieren und Einfallstor schließen)
  • Kontinuierliche Überwachung der Systeme auf erneuten Angriff
  • Schaden (d.h. Datenabfluss/-verlust) ermitteln
  • Juristisch gebotene Schritte einleiten (zum Beispiel Meldepflichten gegenüber Aufsichtsbehörden)
  • Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln

Sollten Sie oder Ihre Praxis Opfer einer Cyberattacke werden, muss unbedingt geprüft werden, inwieweit der Vorfall Meldepflichten gegenüber Aufsichtsbehörden im In- und Ausland unterliegt. So können unter Umständen Haftungsrisiken und Bußgelder vermieden werden.

Jetzt Schaden melden

Cyberversicherung für Ärzte

Davor schützt eine Standard-Cyberversicherung

Sollte es zu einer erfolgreichen Cyberattacke auf die hauseigene IT kommen, können die daraus resultierenden Schäden sehr teuer werden – nicht zu sprechen von dem enormen zeitlichen Aufwand, der damit einhergeht. Damit die finanziellen und rechtlichen Schäden gering ausfallen, ist der Abschluss einer Cyberversicherung sinnvoll. Dabei sollte man die teilweise sehr unterschiedlichen Policen genauestens studieren: Es muss geprüft werden, welche Schadensfälle konkret abgesichert sind und unter welchen Voraussetzungen der volle Versicherungsschutz besteht.

Zu den Versicherungsprodukten

Ist eine Cyberversicherung sinnvoll?

Brauchen Ärzte eine Cyberversicherung?

„Petra“ und „WannaCry“ sind zwei Malwares, die bei den größten Cyberattacken der jüngsten Vergangenheit zum Einsatz kamen. Die rasante Verbreitung dieser Schadsoftwares hat deutlich gemacht, wie real und allgegenwärtig die Gefahren aus dem Netz sind. Hinter den Angriffen muss nicht einmal eine organisierte Struktur von Kriminellen stehen: Bereits ein unvorsichtiger Mitarbeiter reicht aus, um die Praxis oder Klinik in ernsthafte Schwierigkeiten zu bringen. Cyberversicherer sind auf solche Fälle spezialisiert, mildern im Schadensfall die finanzielle Belastung ab und können bei der Datenrettung behilflich sein. Einige Policen beinhalten auch eine telefonische Rechtsberatung, falls entsprechende Fragen zu klären sind.