Sicherheit und Datenschutz in der TI

Schutz vor Ransomware

Erst kürzlich hat BKA-Chef Holger Münch explizit vor Cyberangriffen auf Arztpraxen gewarnt – Cyberkriminelle nehmen vermehrt diejenigen Opfer in ihr Fadenkreuz, welche auf Grund geringer technischer Schutzmaßnahmen und potenziell hoher Schäden ein lohnendes Ziel darstellen.

Dabei wird zumeist sogenannte Ransomware – also eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme durch eine Verschlüsselung einschränkt oder unterbindet – eingesetzt; wenn nun die Praxis auf die Systeme wieder zugreifen will, so verlangen die Erpresser (engl. „ransom“ = Erpressung) ein hohes Lösegeld (meistens in „virtueller“ und nicht nachverfolgbarer Währung wie Bitcoins) oder drohen bei Nichtzahlung damit, die Daten endgültig zu löschen oder zu veröffentlichen.

Dabei betrifft dieses Problem alle Branchen von Finanzinstitutionen über Landratsämter bis hin zu Krankenhäusern, MVZs und Arztpraxen. Eine Infektion mit Ransomware erfolgt zumeist über präparierte E-Mails, als „Schmierinfektion“ beim Besuch von Webseiten oder gelegentlich auch über andere Wege wie infizierte USB-Sticks – wenn dieses Schadprogramm einmal auf einem Rechner im Netzwerk aktiv ist, dann kann es sich auch auf andere PCs, Mobilgeräte wie Smartphones oder Netzlaufwerke verbreiten und diese ebenfalls infizieren. Ransomware wird mittlerweile wie eine marktreife Software entwickelt: sie wird häufig angepasst, um alle Aktualisierungen zu berücksichtigen, die Anwender an der Systemsicherheit vornehmen.

Nachfolgend wollen wir Ihnen Hinweise dafür geben, nicht zu einem Opfer dieser Kriminellen zu werden oder den Schaden so gering wie möglich zu halten.

Vorsorge

• Schaffen Sie ein ausreichendes Problembewusstsein bei Ihren Mitarbeitenden, schulen Sie Ihr Team im sicheren Surfen und weisen Sie es an, keine unbekannten Anhänge oder verdächtig aussehenden E-Mails zu öffnen. Unbekannte Anhänge von E-Mails sollten nicht geöffnet werden, ggf. sollte bei dem Absender nachgefragt werden – Ransomware kann auch von bekannten Absendern versendet werden. Nicht-freigegebene Software sollte nicht heruntergeladen oder installiert werden. Vorsicht sollte auch beim Surfen im Internet gewaltet werden – selbst seriöse Internetseiten können z.B. durch Werbebanner von Drittseiten infektiös sein. Dabei sollte auch eine ausreichende Fehlerkultur etabliert werden, denn nur wenn etwaige Angriffe frühzeitig und ohne Angst vor Konsequenzen gemeldet werden, kann der entstandene Schaden reduziert werden.
• Halten Sie Ihre Systeme stets aktuell – installieren Sie möglichst zeitnah die angebotenen Aktualisierungen für Betriebssysteme, Praxisinformationssysteme, E-Mail-Programme, Webbrowser etc. Auch für die eingesetzte Hardware wie z.B. Netzwerkfestplatten oder Router sollte die Firmware immer auf dem neuesten Stand sein. Die Aktivierung der automatischen Installation von Updates ist empfehlenswert.
•  Sorgen Sie für eine sichere Konfiguration Ihrer Systeme – dabei geben Organisationen wie das Bundesamt für Sicherheit in der Informationstechnik im Internet Hilfestellungen. Dazu gehört auch, dass Mitarbeitende nicht mit Administratorrechten die Systeme nutzen. Auch sollten keine USB-Sticks an die Systeme angeschlossen werden können.
• Nutzen Sie eine Firewall und einen umfassenden Virenschutz, welcher insbesondere E-Mails, den Webbrowser und auch Dateien auf Netzlaufwerken abdeckt.
• Sichern Sie regelmäßig (mindestens täglich) und automatisch Ihre Daten auf verschiedenen Medien und lagern Sie diese gesondert und ohne Verbindung zu Ihrem Netzwerk. Prüfen Sie auch, ob Sie die Sicherungen wieder zurückspielen können. Backups können einen Angriff nicht verhindern, aber sie können Ihnen dabei helfen, sich schneller von einem Angriff zu erholen. Dabei gilt es jedoch auch zu berücksichtigen, dass Ransomware auch zeitversetzt – also quasi nach einer Inkubationszeit – aktiv werden kann und so auch schon in einem Backup „stecken“ kann.
• Setzen Sie die Maßnahmen der (gesetzlich verpflichtenden) Richtlinie zur Datensicherheit der Praxis-IT nach § 75b SGB V der KBV um (https://hub.kbv.de/site/its).
• Wenn Sie die vorgenannten Maßnahmen nicht selbst umsetzen können, sollten Sie einen vertrauenswürdigen IT-Dienstleister – im besten Fall mit umfassenden Kenntnissen über die IT im Gesundheitssektor – beauftragen und diese Leistungen vertraglich vereinbaren.
• Ein Abschluss einer sog. „Cyberversicherung“ kann im jeweiligen Einzelfall sinnvoll sein – dabei sollten auch die angebotenen Leistungen der Versicherung und die Voraussetzungen für einen Versicherungsfall kritisch geprüft werden.
• Halten Sie sich über aktuelle Entwicklungen und Bedrohungen auf dem Laufenden und setzen Sie die Hinweise der Hersteller und Behörden zur Vermeidung und Reduktion dieser Risiken um.

Im Akutfall

• Beim ersten Anzeichen eines Angriffs sollte das betroffene Gerät isoliert werden, um zu verhindern, dass der infizierte Computer weitere Malware verbreitet. Trennen Sie es vom Netz und entfernen Sie alle angeschlossenen Laufwerke.
•  Informieren Sie Ihren IT-Dienstleister (und ggf. Ihre Versicherung) oder beauftragen Sie ein auf die Reaktion auf Sicherheitsvorfälle spezialisiertes Unternehmen.
• Suchen Sie im Netzwerk nach anderen Geräten, die sich verdächtig verhalten und isolieren Sie diese ebenfalls.
• Schalten Sie die drahtlosen Verbindungen (WLAN, Bluetooth) aus.
• Suchen Sie im Netzwerk nach verschlüsselten Dateien, welche sich nicht öffnen lassen oder verdächtige Namen oder Dateiendungen haben.
• Prüfen Sie weiterhin, ob Ihr Antivirenprogramm Warnmeldungen ausgegeben hat. Befragen Sie dann Ihr Team zu seinen Internetaktivitäten. Hat jemand in letzter Zeit eine seltsame E-Mail geöffnet? Oder auf ein Pop-up geklickt, das keinen Sinn ergab?
• Sobald Sie die Quelle kennen, können Sie den Ransomware-Typ mit Hilfe von Angeboten der Behörden und Unternehmen im Internet identifizieren und ggf. entsprechende Abhilfemaßnahmen wie Entschlüsselungsprogramme umsetzen.
• Verschaffen Sie sich einen Überblick über den entstandenen Schaden – welche Daten von welchen Patienten und Patientinnen sind betroffen, sind Daten abgeflossen etc.
• Prüfen Sie auch, ob im Zeitraum zwischen Infektion und Angriff E-Mails mit infizierten Anhängen von Ihren E-Mail-Adressen versendet wurden und informieren Sie die Empfänger.

 

Nachsorge

• Informieren Sie die Polizei und erstatten Sie Anzeige. Sie sollten kein Lösegeld zahlen, da dies ggf. selbst eine Straftat darstellen kann und zugleich die Erpresser weiter animiert.
• Ein Ransomwareangriff stellt zumeist auch einen meldepflichtigen Verstoß gegen die Datenschutz-Grundverordnung dar und dieser ist bei der zuständigen Datenschutzaufsicht zu melden – möglicherweise sind auch die Patientinnen und Patienten zu informieren.
• Prüfen Sie die Backups auf die Ransomware und stellen Sie ihre Systeme wieder her.

Reihen-  oder Serienbetrieb? 

Es gibt verschiedene Betriebsarten zur Integration des Konnektors wie Reihenbetrieb (auch als seriell bezeichnet) und Parallelbetrieb:

• Reihenbetrieb: Der Reihenbetrieb bietet größte Sicherheit. Er zeichnet sich dadurch aus, dass der Konnektor alle Verbindungen zwischen Internet (Secure Internet Service, SIS) und TI vom Praxisnetzwerk kapselt und dadurch die Praxis schützen kann. Durch die integrierte Firewall wird dabei nicht nur die TI vor Angriffen von außen geschützt, sondern auch das gesamte Netzwerk der Praxis.
• Parallelbetrieb: Der Parallelbetrieb ist sinnvoll bei größeren Praxen oder Medizinischen Versorgungszentren (MVZ) mit komplexer Netzwerkstruktur, die bereits über ausreichend Sicherheitsmaßnahmen verfügen. Bei der Parallelinstallation fungiert der Konnektor nicht als Firewall im Netzwerk, und die Praxis muss entsprechende Sicherheitsmaßnahmen treffen.

 

Hardware-Firewall: Übergang zu anderen Netzen sichern!

Besonderes Augenmerk auf die Sicherheit ihres Systems sollten Arztpraxen richten, die im sogenannten Parallelbetrieb an die TI angebunden sind – was bei der  überwiegenden Anzahl der Praxen der Fall ist. Der TI-Konnektor ist in diesen Fällen „parallel“ zum restlichen Netzwerk angeschlossen und kann deshalb keine Schutzfunktion für die Praxis übernehmen. Um diese Praxen optimal vor Gefahren abzuschotten, raten Experten dringend zu einer Hardware-Firewall. Die in handelsüblichen Routern eingebaute Firewall reicht nicht aus. Eine gute Hardware-Firewall ist nicht billig und kostet obendrein noch regelmäßige Update-Gebühren. Der mit der Sicherheit in Ihrer Praxis beauftragte IT-Dienstleister erstellt aus Ihrer Liste der benötigten Dienste eine Konfiguration der erlaubten Protokolle, IP-Adressen und Ports für die Firewall. Der Sicherheitsgewinn der Firewall entsteht aus dem Umstand, dass alle nicht definierten Dienste und Anwendungen ausgeschlossen werden. Da immer mal wieder Dienste und Anwendungen wegfallen oder dazu kommen, muss die Konfiguration der Firewall regelmäßig angepasst bzw. gewartet werden.
In Praxen, bei denen die TI im Reihenbetrieb läuft - auch „serieller Anschluss“ genannt -, ist dank der im Konnektor eingebauten Firewall das gesamte Praxisnetz vor Angriffen von außen geschützt. In diesem Fall ist der Konnektor der einzige Zugang der Praxis zum Internet. Eine zusätzliche Firewall ist nicht nötig.

Transparente Fehlerkultur - Fehler sofort eingestehen! 

Hacker bekommen oft ungewollt Unterstützung durch eine aktive "Mitarbeit" der Betroffenen selbst – zum Beispiel durch Anklicken eines Links in einer E-​Mail. Eine der wirkungsvollsten Maßnahmen, die Praxen eigenständig in Sachen IT-Sicherheit durchführen können, ist deshalb die Etablierung einer transparenten und vertrauensvollen Fehlerkultur im Team. Hierdurch lässt sich wichtige Präventionsarbeit leisten und potenzieller Schaden begrenzen. Denn Vertuschen oder Verschweigen von Fehlern kann zu einer weiteren Verbreitung von Schadsoftware - Fachjargon: Malware - führen. Es ist daher wichtig, dass Fehler, wie zum Beispiel unbedachte Klicks, sofort eingestanden werden.

Was muss ich tun, um eine hohe Datensicherheit zu gewährleisten?

Die TI kann Ihre Praxis nicht vollständig schützen. Um die Sicherheit in der Arztpraxis zu erhöhen, ist es ratsam, regelmäßige Updates durchzuführen und eine Firewall (im Parallelbetrieb) zu installieren, sowie das Internet kontrolliert zu nutzen. Bei eingehenden E-Mails sollte außerdem immer auf den Absender geachtet werden. Des Weiteren ist ein Back-up-Konzept sinnvoll, um im Ernstfall verlorene Daten wiederherstellen zu können.

Sind Praxen für die Sicherheit in der TI verantwortlich?

Ärzte und Psychotherapeuten sind nicht für die Sicherheit in der TI verantwortlich, wohl aber für den Datenschutz in ihrer Praxis. Für eine sichere Firewall beim Parallelbetrieb des Konnektors haftet also letztlich der Praxisinhaber. Sollte es auf Grund fehlender Datenschutzmaßnahmen innerhalb des Praxisnetzwerks zu einem Missbrauch kommen, ist hier die Praxis bzw. der betreffende Arzt/Psychotherapeut verantwortlich. Diese Verantwortlichkeit bestand auch schon vor der Einführung der TI.  Die KBV rät, ein gesamthaftes Sicherheitskonzept für die Praxis zu haben. Dies gilt unabhängig davon, ob die Installation im Reihen- oder Parallelbetrieb vorgenommen wird. Die Beauftragung eines professionellen Dienstleisters wird empfohlen.

IT-Sicherheitsrichtlinie in Kraft 

Für Arzt- und Psychotherapeutenpraxen gelten verbindliche Anforderungen an die IT-Sicherheit. Die Vertreterversammlung der KBV hatte dazu im Dezember 2020 die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie verabschiedet. Sie ist am 23. Januar 2021 offiziell in Kraft  getreten. Die klaren Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Praxen noch besser zu schützen. Die IT-Sicherheitsrichtlinie beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die IT-Sicherheit in den Praxen zu gewährleisten. Dabei geht es um Punkte wie Sicherheitsmanagement, IT-Systeme, Rechnerprogramme, mobile Apps und Internetanwendungen oder das Aufspüren von Sicherheitsvorfällen. Verantwortlich für die Umsetzung der Sicherheitsanforderungen ist der Inhaber der Praxis. Dabei können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen.

• Anforderungen an die IT-Sicherheit: Erste Schritte  zur IT-Sicherheit – zum Beispiel der Einsatz aktueller Virenschutzprogramme oder in puncto Netzwerksicherheit die Dokumentation des internen Netzes anhand eines Netzplanes – sollten Praxen bis 1. April 2021 realisieren. Alle anderen Anforderungen gelten ab Januar beziehungsweise Juli 2022. Die einzelnen Punkte werden in der 16 Seiten umfassenden Richtlinie jeweils kurz erläutert. Wer kein Risiko eingehen möchte, sollte seine Praxis auf diese Anforderungen hin von einem IT-Dienstleister prüfen lassen.
• Richtlinie nach § 75 b Absatz 1 und Absatz 5 SGB V: Die Richtlinien und auch die Antragsformulare für Dienstleister stehen auf einer KBV-Themenseite zur Sicherheitsrichtlinie zur Verfügung: https://www.kbv.de/html/it-sicherheit.php
• Unterstützende Materialien und Online-Schulungen für Ärzte und Psychotherapeuten: Die KBV stellt für Praxen sowie Dienstleister auf einer Online-Plattform Begleitinformationen und Umsetzungshinweise zu den Richtlinien bereit, die kontinuierlich aktualisiert werden: https://hub.kbv.de/display/itsrl. Zudem stehen auf dieser Internetseite Musterdokumente zu bestimmten Aspekten der IT-Sicherheitsrichtlinie zum Download zur Verfügung, beispielsweise ein Muster-Netzplan oder eine Muster-Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten.

Noch Fragen? Hotline der KBV zu "IT-Sicherheit in der Praxis"

Praxen könnten unter der Telefonnummer 030 - 400 520 00 montags bis donnerstags von 8 bis 18 Uhr und freitags bis 17 Uhr sowie per E-Mail (it-security@kbv.de) ihre Fragen stellen.

KBV-Information