cybercheck – Branchen – Heilwesen
Cybersicherheit für Betriebe und Praxen im Heilwesen
Patienten sind Ihr Kapital – Wie Sie richtig mit
sensiblen Daten umgehen.
Welche Daten gilt es in Ihrem Unternehmen zu schützen?
Therapeuten, Apotheker, Ärzte – wer im Heilwesen tätig ist, hat täglich mit höchst sensiblen Patientendaten zu tun. Und auch das Abrechnungswesen ist in dieser Branche komplex. Ohne voll digitalisierte Prozesse ist das Tagesgeschäft nicht denkbar. Gut, so lange alles funktioniert, aber was, wenn die IT Fehler aufweist oder komplett lahm liegt? Über zahlreiche Cyber-Gefahren sind sich Anwender nicht bewusst. Wer sich schützen will, sollte jedoch den Überblick haben.
Patientendaten
Buchhaltung
Kunden- und
Mitarbeiterdaten
Bankdaten
Für diese Bereiche und Branchen aus dem Heilwesen ist Cybersicherheit besonders wichtig:
Apotheken, Hebammenpraxen, Sanitätshäuser, Zahn- und Hautarztpraxen, Naturheilkunde, Ergo- und Physiotherapiepraxen, Psychologie, Lebensberatung, Allgemeinmedizin, Logopädie, Fußpflege, Massagesalons, Orthopädie, Ernährungs- und Diätberatung etc.
Viren, Malware und Co. – mit diesen Gefahren müssen Sie rechnen
Cybergefahren im Heilwesen
Cyberattacken gehören für deutsche Unternehmen mittlerweile zum Alltag. Dabei sind die Einfallstore und Angriffsflächen vielfältig – vor allem wenn die digitalen Angriffe auf sensible Daten abzielen. Und wo werden mehr persönliche Daten gespeichert, genutzt und verschickt als im Heilwesen. Umso wichtiger ist es, sich über die möglichen Gefahrenquellen zu informieren.
Der Hackerangriff und das organisierte Verbrechen
Ihr Betrieb oder Ihre Praxis ist viel zu klein und zu „unbedeutend“ für einen Hackerangriff? Das kann ein teurer und gefährlicher Irrtum sein. Vor allem in Berufen des Heilwesens gehen Sie täglich mit sensiblen Daten um, die für Cyberattacken interessant sein könnten. Dabei kann die Motivation der Hackerangriffe unterschiedlich sein. Sowohl Wirtschaftsspionage, Datendiebstahl als auch Erpressung zählen zu den Online-Gefahren, die von den organisierten Attacken ausgehen.
Datenschutz- oder Sicherheitsverletzung
Ein Cyberverbrechen muss nicht zwangsläufig aus einer aktiven Tat resultieren. Werden beispielsweis Gesetze und Vorschriften umgangen, missachtet oder schlicht nicht umgesetzt, kann das zu Lücken in der IT-Sicherheit führen und strafrechtliche Konsequenzen haben. Ein aktuelles Beispiel ist der Umgang mit der neuen Datenschutzgrundverordnung. Viele Praxen und Betriebe aus dem Heilwesen scheitern am vorgeschriebenen Umgang mit personenbezogenen Daten und riskieren so unter anderem Schadensersatzansprüche nach einer Verletzung der Informationssicherheit.
Malware
Malware bezeichnet bösartige (englisch: malicious) Software, die Schaden an Computern, Tablets und Smartphones verursachen soll. Dazu gehören bspw. Viren, Würmer, Trojaner oder auch Spyware. Oftmals bemerken Nutzer die „Infektion“ nicht sofort und verstärken dadurch den Schaden zusätzlich. Das kann vor allem in Betrieben und Praxen aus dem Heilwesen schwerwiegende Folgen haben, da Malware sensible Patienten- und Kundeninformationen sammeln, zerstören oder durchsuchen kann.
Fehler oder Täuschung von Mitarbeitern
Viele Unternehmen aus dem Heilwesen versuchen, sich primär vor externen Cybergefahren zu schützen. Dabei belegen zahlreiche Studien (Bitkom, BSI u.a.), dass die größte Sicherheitslücke aus dem eigenen Haus stammt. Ob bewusst (Datendiebstahl, Spionage, u.a.) oder unbewusst (bspw. Phishing) – die eigenen Mitarbeiter und Kollegen öffnen Cyberkriminellen oftmals erst die digitale Tür.
Auf einen Blick
Hackerangriff/
organisiertes Verbrechen
- Cyber-Diebstahl
- Erpressung
Datenschutz- oder
Sicherheitsverletzung
- Verletzung der Datenschutzgesetze (bspw. DSGVO)
- Schadensersatzansprüche nach einer Verletzung der Informationssicherheit
Malware
- Komplexe Schadprogramme (z.B. Petya, WannaCry)
Fehler oder Täuschung durch Mitarbeiter
- Verletzung der Netzwerksicherheit
- Datenklau
- Datenweitergabe
- Sabotage
Unternehmen im Cyber-Check
5 Tipps für mehr Cybersicherheit
Cybergefahren sind allgegenwärtig. Ob beim Abrufen der täglichen Mails, Testen eines neuen Office-Programms oder Öffnen einer nicht bekannten Website – Die Einfallstore stehen meist gefährlich weit offen. Was Betriebe und Praxen im Heilwesen trotz kleiner Budgets direkt umsetzen können:
1 Cybersicherheit ist Chefsache
Alle Fragen, die die digitale Informationssicherheit betreffen, sollten zentral von der Praxenleitung oder dem zuständigen Arzt erfasst und behandelt werden. Das erleichtert die Entwicklung von ganzheitlichen Lösungsansätzen und Präventionsmaßnahmen.
2 Updates und Patches aktuell halten
Zunächst sollten Sie sich einen Überblick darüber verschaffen, welche Hard- und Software von Ihnen und Ihren Mitarbeitern genutzt wird. Sorgen Sie anschließend dafür, dass die Updates und Patches aller Rechner auf einem aktuellen Stand sind. Wichtig: Es sollten keinesfalls alte Betriebssysteme verwendet werden. Wenn Sie diese einfachen Maßnahmen umsetzen, verringern Sie die Erfolgsaussichten von Cyberangriffen bereits entscheidend.
3 Verwenden Sie sichere Passwörter
Mitarbeiter stellen eine der größten Gefahren für die IT-Sicherheit dar. Ob sie unvorsichtig surfen oder unbekannte Mailanhänge öffnen und weiterleiten: Der Fehler ist schnell passiert und dann ist es oftmals zu spät. Deswegen sollten Mitarbeiter regelmäßig geschult und mit Informationen zu aktuellen Sicherheitsthemen versorgt werden. Gute Präventionsarbeit ist hier unverzichtbar und leistet einen wichtigen Beitrag zur Cybersicherheit einer Praxis oder Klinik.
4 Mitarbeiter regelmäßig schulen
Mitarbeiter stellen eine der größten Gefahren für die IT-Sicherheit dar. Ob sie unvorsichtig surfen oder unbekannte Mailanhänge öffnen und weiterleiten: Der Fehler ist schnell passiert und dann ist es oftmals zu spät. Deswegen sollten Mitarbeiter regelmäßig geschult und mit Informationen zu aktuellen Sicherheitsthemen versorgt werden. Gute Präventionsarbeit ist hier unverzichtbar und leistet einen wichtigen Beitrag zur Cybersicherheit einer Praxis oder Klinik.
5 Datensicherung ist elementar
Sichern Sie Ihre Daten unbedingt regelmäßig und an unterschiedlichen Orten. Das schützt Sie und Ihre Praxis nicht nur vor dem Verlust wichtiger Patientendaten, sondern auch vor sogenannter „Ransomware“. Letztere wird von Cyberkriminellen verwendet, um die Inhalte auf Computern zu verschlüsseln und eine Lösegeldforderung zu stellen. Wird dieser nicht nachgekommen, droht der Datenverlust.
Jetzt ihre Website prüfen.
Mit dieser Checkliste können Sie einen Quick-Check durchführen:
Cybergefahren sind allgegenwärtig. Ob beim Abrufen der täglichen Mails, Testen eines neuen Office-Programms oder Öffnen einer nicht bekannten Website – Die Einfallstore stehen meist gefährlich weit offen. Was Betriebe und Praxen im Heilwesen trotz kleiner Budgets direkt umsetzen können:
Die Folgeschäden einer Cyberattacke
Cyberschäden im Heilwesen
Cyberattacken, die auf unzureichend geschützte IT-System treffen, können verheerende Schäden anrichten und Kosten verursachen. Dabei kann es zu kurz- und langfristigen Beeinträchtigungen im Betrieb kommen. Das kann vor allem für Praxen und Unternehmen aus dem Heilwesen ernsthafte Folgen haben. Das Patientenvertrauen leidet, die Lieferkette für Medikamente kann unterbrochen und andere Abläufe im Praxisalltag gestört werden.
Folgeschäden
- Datenwiederbeschaffung
- Neueingabe von Daten
- Neuinstallationen
- Aufwendungen für Verschlüsselungen
- Kosten aufgrund fehlerhaftem Versands
- Schäden durch elektronischen Zahlungsverkehr
- Telefonmehrkosten
- Ertragsausfall und Mehrkosten
- Aufwendungen für eine Ursachenermittlung
- Notwendige Krisenkommunikation
- Auftretende Informationskosten
- Ersatz der Hardware
- Anwaltskosten
- Ansprüche nach der Weitergabe von Schadsoftware an Dritte
3 Dinge für die Sie externe Hilfe holen müssen
Dienstleister für Cybersicherheit im Heilwesen
Online-Training
- Nachhaltiges Training
- Aktuelle Trainingsvideos über Sicherheitsrisiken
- Konkrete Handlungsempfehlungen
Mitarbeiterschulung
- Gefahrenüberlick
- Präventionsschulungen
Penetrations-Test
- Angriffssimulation
- Proaktives Erkennen von Sicherheitslücken
- Detailierter Sicherheitsreport
Cyberattacke:
Das müssen Sie jetzt tun
Sofort-Maßnahmen nach einem Cyberangriff
Es kann trotz aller Vorsichts- und Präventivmaßnahmen dazu kommen, dass IT-Systeme gehackt, infiziert oder geschädigt werden. Daher sollte in allen Praxen und Betrieben des Heilwesens bereits ein Notfallplan für den Fall eines Cyberangriffs existieren. Dabei sollten Abläufe, Zuständigkeiten und Maßnahmen ganz klar definiert werden.
Was im Schadensfall konkret zu tun ist, zeigt diese Checkliste:
- Interne Aufklärungsarbeit (Schwachstellen analysieren und Einfallstor schließen)
- Kontinuierliche Überwachung der Systeme auf erneuten
- Schaden (d.h. Datenabfluss/-verlust) ermitteln
- Juristisch gebotene Schritte einleiten (zum Beispiel Meldepflichten gegenüber Aufsichtsbehörden)
- Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln
- Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln
Um Haftungsrisiken und Bußgelder zu vermeiden, ist bei einem Cyberangriff unbedingt zu prüfen, inwieweit der Vorfall im In- und Ausland Meldepflichten gegenüber Aufsichtsbehörden und den betroffenen Stakeholdern auslöst.
Davor schützt eine Standard-Cyberversicherung
Cyberversicherung für das Heilwesen
Falls es zu einer erfolgreichen Cyberattacke auf das IT-System gekommen ist, sind die Konsequenzen oft teuer, zeitintensiv und mit viel Aufwand verbunden. Um den finanziellen und rechtlichen Schaden abzumildern, ist der Abschluss einer Cyberversicherung durchaus sinnvoll. Dabei unterscheiden sich die einzelnen Policen zum Teil stark voneinander. Vor allem im täglichen Umgang mit sensiblen Informationen, wie bspw. Patientendaten oder Medikamentenbestellungen müssen bestimmte Gefahren vertraglich abgesichert sein.
Ist eine Cyberversicherung sinnvoll?
Brauchen Praxen und Betriebe im Heilwesen eine Cyberversicherung?
Nach Cyberattacken durch Petya und WannaCry sind die Konsequenzen und Gefahren für Unternehmen nochmal deutlich geworden. Dabei müssen es noch nicht einmal organisierte Angriffe sein, die eine gesamte IT-Unternehmensstruktur lahmlegen. Ein unachtsamer Mitarbeiter kann schon reichen, um dem Betrieb bzw. der Praxis zu schaden. Cyberversicherer deckeln den finanziellen Verlust und können Hilfe bei der Datenwiederherstellung leisten. Zudem umfassen einige Verträge auch die telefonische Beratung, falls es zu einem Angriff kommt oder rechtliche Fragen zu klären sind.