Praxis Vosteen – IT-Sicherheit durch Datensicherung und Notfallanweisung
Wie können kleine Arztpraxen ihre Daten-Sicherheit mit einfachen Mitteln erhöhen? Das Mittelstand 4.0-Kompetenzzentrum Kiel unterstützte die Praxis für Allgemeinmedizin Vosteen bei der Umsetzung von IT-Sicherheitsmaßnahmen.
Patientendaten gehören zu den sensibelsten Daten überhaupt und bedürfen daher eines besonderen Schutzes. Nicht nur vor dem Zugriff unbefugter Dritter, sondern auch vor Verlust zum Beispiel durch einen Brand oder einen Rechner-Ausfall. Doch in der Regel gehören IT-Expert:innen nicht zu den Mitarbeitenden der Arztpraxen. Spätestens seit Einführung der elektronischen Patientenakte (ePA) stellt das viele Unternehmen im medizinischen Bereich vor große Herausforderungen, denn die Ansprüche an die IT-Sicherheit sind massiv gestiegen. Allein die Richtlinien zum Grundschutz, die vom Bundesamt für Sicherheit und Informationstechnologie (BSI) herausgegeben wurden, umfassen mehrere hundert Seiten. Für eine:n IT-Expert:in eine Sache von mehreren Wochen Arbeit. Für medizinisches Personal, das sich in der Regel während der alltäglichen Arbeit weniger mit dem Computer beschäftigt, eine große Herausforderung.
IT-Sicherheit ist unsexy
„Die IT-Sicherheit ist kein Thema, das Spaß macht. Alle wissen, dass es notwendig ist, genauso wie Hygiene oder Brandschutz, doch sie trägt nicht unmittelbar zum Unternehmenserfolg bei“, erklärt M4KK-Experte Lars Vosteen, „darum wird es gern stiefmütterlich behandelt.“ Dennoch herrscht in den meisten Arztpraxen eine hohe Sensibilität, wenn es um die Daten der Patient*innen geht. „Wenn Gesundheitsdaten in der Welt sind, dann bekommt man sie auch nicht wieder weg“, erklärt Vosteen, „das kann sogar Folgen für die Kinder und Enkel haben, z.B. bei Erbkrankheiten.“ Und das wissen auch die Ärzt*innen und Mitarbeitende.
Um die Mitarbeitenden der Arztpraxis Vosteen zu sensibilisieren, hatte Vosteen vor etwa 10 Jahren einen Ernstfall simuliert. „Ich habe einen USB-Stick herumliegen lassen und als dieser an einen Rechner angeschlossen wurde, hat ein Programm einen Totenkopf gemalt. Das war ein bisschen gemein, aber es wirkt bis heute nach“, erklärt er. Die Sensibilisierung der Mitarbeitenden für den Datenschutz sollte daher immer wieder aktiv initiiert werden. Dazu reichen bereits regelmäßige Schulungen.
Die elektronische Patientenakte (ePA)
Ein Problem bei der neuen elektronischen Patientenakte sieht Vosteen in der Internetverbindung, die für die Übertragung der Daten genutzt werden muss. Das birgt grundsätzlich immer höhere Risiken vor Angriffen, als autarke Systeme. Die Daten für die ePA werden über sogenannte Konnektoren verschlüsselt, die von der Gematik GmbH betrieben werden. Seit 2020 wird die als überhastet wahrgenommene Einführung der elektronischen Patientenakte von vielen Verbänden kritisiert. „Das Sicherheitskonzept der ePA ist gut, doch am Ende muss die IT-Sicherheit in den Arztpraxen erhöht werden. Das ist wie gesagt nicht einfach, wenn das Personal nicht computeraffin ist. Zudem halten Verschlüsselungen immer nur über einen bestimmten Zeitraum. In wenigen Jahrzenten werden Verschlüsselungsprotokolle unsicher sein. Alle Daten die heute verschlüsselt über das Internet übertragen werden, werden dann einsehbar sein“, erläutert Vosteen.
Datensicherheit erhöhen
Zumindest beim Thema Datenverlust kann aber mit kleinen Mitteln viel getan werden. Szenarien, in denen Daten geklaut oder verloren gehen, sind nicht unrealistisch. Schon ein einfacher Serverausfall kann eine Praxis über Tage lahmlegen. Aber auch Angriffe von außen können schnell teuer werden. Daher hat das M4KK drei Szenarien betrachtet und Vorschläge für die Absicherung der Daten erarbeitet.
Serverausfall
In der Praxis Vosteen sind alle Rechner über ein internes Netzwerk mit einem Hauptrechner verbunden, der mittels Dateifreigabe als Server agiert. Um im Falle eines Ausfalls dieses Rechners möglichst schnell wieder arbeitsfähig zu sein, wurde ein zweiter Rechner eingerichtet, der jeden Abend eine Kopie aller Daten erhält. Somit können innerhalb von etwa 15 Minuten alle Dienste wiederhergestellt und ein wirtschaftlicher Schaden für die Praxis abgewendet werden, sollte der Hauptrechner ausfallen. Zudem kann damit ein totaler Datenverlust vermieden werden.
Datensicherung
Um alle Daten auch vor dem Verlust, zum Beispiel einen Brand, zu schützen, wurden zudem fünf externe Festplatten eingeführt, auf denen täglich eine Sicherung der Daten ausgeführt wird. Die Platten sind verschlüsselt, so dass Unbefugte bei Verlust der Festplatte diese nicht auslesen können. Nach Feierabend werden sie an einen Ort außerhalb der Praxisräume transportiert und gelagert. Auch eine Sicherung in einer Cloud wäre möglich, die Arztpraxis hat sich jedoch für die Hardware-Variante entschieden.
Die handelsüblichen Festplatten werden morgens an den Hauptrechner angeschlossen. Während des Tages wird der Datenbestand automatisch aktualisiert. Am Abend wird sie dann an ihren Verwahrungsort gebracht. Für sogenannte Backups sollten immer mehrere Festplatten genutzt werden, um auch hier das Risiko von Datenverlusten zu minimieren. Geht eine Platte kaputt, dann hat man im Ernstfall immer noch den Datenstand des Vortages. Daher gibt es in der Arztpraxis für jeden Werktag eine eigene Platte.
Ebenfalls ein Problem sind Schadprogramme, die durch das Internet oder den unsachgemäßen Gebrauch von externen Speichermedien in das interne Netzwerk gelangen. Vor allem die sogenannten Krypto-Trojaner sind ein Problem. Bei diesem Angriff werden alle Geschäftsdaten verschlüsselt, um dann vom Daten-Inhabern Geld zu erpressen. Aus diesem Grund sollten auch Backups vorliegen, die ein bis zwei Monate zurückreichen. Denn bevor Krypto-Trojaner aktiv werden, können sie sich schon mehrere Tage zuvor eingenistet haben und so auch die Backups befallen. Daher können ältere Datenstände hier Gold wert sein. Auf den Datenträgern werden mehrere wöchentliche und monatliche Stände aufbewahrt.
Notfallkarte
Die größte Schwäche jedes Sicherheitssystem ist und bleibt der Mensch. Gerade bei Mitarbeitenden, die wenig Erfahrung mit IT haben, gilt es klare Handlungsanweisungen zu geben, damit im Fall des Falles richtig reagiert wird. Für diesen Zweck hat das M4KK eine Notfall-Karte erstellt, die ähnlich wie eine Brandschutz-Anweisung funktioniert. Wichtig ist vor allem, den Rechner vom Netz zu nehmen, um den unbefugten Datentransfer zu verhindern.