+49 (0)89 32 49 33 97 | magazin@digitales-gesundheitswesen.de

„Auf jeden Fall müssen Ärzte in Cybersecurity investieren!“

Gisa Kimmerle, Head of Cyber beim Spezialversicherer Hiscox Deutschland, über die Gefahren für die IT-Infrastruktur in Arztpraxen und die Anforderungen an die Praxisinhaber im Kampf gegen Datenräuber.

Autor:

Wie sicher bzw. unsicher ist die Telemedizin angesichts der aktuellen weltweiten Cyberbedrohungslage?

Grundsätzlich unterliegt alles, was digital ist, auch Risiken der digitalen Welt. Dazu zählen vor allem Cyber-Gefahren. „Sicher“ oder „unsicher“ hängt allerdings vor allem vom Schutz dieser sensiblen Daten ab. Sprich: Von der IT-Sicherheit der verwendeten Systeme, von der Sicherheit der Datenübertragung, also der Verschlüsselung von Daten „in transit“ sowie von sensiblen Daten „at rest“, also auf Systemen.

Wie gefährdet ist speziell die ePA?

Hier sehen wir hochsensible Daten gepaart mit einer neu aufgebauten IT-Infrastruktur zum Übertragen bzw. Speichern dieser Daten – das ist natürlich fehleranfällig und die Daten sind exponiert. Sicherheitslücken bei der Elektronischen Patientenakte sind bekannt, wie das BSI berichtete. Durch Konfigurationsfehler seien die TI-Konnektoren in etwa 200 Fällen offen über das Internet erreichbar gewesen. Die für die TI zuständige Betreibergesellschaft Gematik weiß um die Schwachstellen und mahnt Praxen und Pflegeeinrichtungen eindringlich, sich um eine Verbesserung der IT-Sicherheit zu kümmern.

Macht es bei der Sicherheit einen Unterschied in der Kommunikation zwischen Arzt-Arzt und Arzt-Patient?

Nein, denn grundsätzlich ist aufgrund der sensiblen Natur der übertragenen Daten immer höchste Sicherheit geboten. Genauso wie auch bei analogen Gesundheitsdaten, die zwischen Ärzten sowie zwischen Arzt und Patient unter den Ansprüchen der Datensicherheit übertragen werden sollten.

Wo liegen die Einfallstore für Cyberkriminelle im Wesentlichen?

Diese liegen zum einen bei einem Angriff der gespeicherten Daten auf lokalen Systemen „at rest“ von Ärzten, Krankenhäusern etc., zum anderen im Eingriff in den Prozess der Übertragung von Daten „in transit“. Außerdem haben wir im Rahmen unseres aktuellen Cyber Readiness Reports (hiscox.de/crr2022) festgestellt, dass Hacker insbesondere Schwachstellen in Cloud-Servern, unternehmenseigenen Servern sowie über eine Kompromittierung von Geschäfts-E-Mails ausnutzen – das sind die drei wichtigsten Einfallstore derzeit.

Gibt es überhaupt eine Cybersicherheit in Bezug auf persönliche Gesundheitsinformationen?

Kein System ist zu 100 Prozent sicher, keine IT-Sicherheit kann einen Angriff zu 100 Prozent verhindern. Von einer vollständigen Cyber-Sicherheit zu sprechen, ist daher nicht möglich. Ein Restrisiko verbleibt immer, dieses kann jedoch minimiert werden durch umfassende Sicherheitsmaßnahmen, um es Angreifern möglichst schwer zu machen und kein attraktives Ziel darzustellen. Und um das Restrisiko abzusichern, ist der Abschluss einer Cyber-Versicherung sehr ratsam. Wie gesagt, bergen digitale Strukturen auch immer digitale Risiken – aber auch analoge Daten waren bisher nie 100%ig sicher, wenn z.B. eine falsche Krankenakte versandt wurde.

Wer könnte einen Vorteil vom Datenklau haben?

Grundsätzlich ist der Verkauf von Daten, insbesondere von sensiblen Gesundheitsdaten, im Darknet ein Geschäftsmodell. Dazu sind auch eine Daten-Exfiltrierung und darauf folgende Erpressung einer Arztpraxis, dass bei Nichtzahlung diese Daten veröffentlicht werden, für Angreifer sehr oft lukrativ.

Wie kann und sollte sich ein niedergelassener Arzt gegen Hackerangriffe schützen?

Es ist essenziell, bei der IT-Sicherheit Mindestanforderungen zu erfüllen – also etwa die Verschlüsselung von Daten und deren ransomware-sichere Speicherung beispielsweise durch ein Offline-Backup. Aber auch, dass bei allen Mitarbeiterinnen und Mitarbeitern Awareness geschaffen wird, was eine Phishing- oder eine Social-Engineering-Attacke ist, und dass sie im Umgang mit sensiblen Daten geschult werden. Für den Fall der Fälle ist es wichtig, Experten an seiner Seite haben, also IT-Forensiker, Datenschutzfachleute und Krisen-PR-Spezialisten. Gute Cyber-Versicherer verfügen über ein entsprechendes Expertennetzwerk, dass im Krisenfall zeitnah bereitsteht.

Gibt es Versicherungen gegen Hackerattacken? Und warum brauchen Ärzte so etwas möglicherweise?

Ja, die gibt es – Hiscox war übrigens vor mehr als elf Jahren der erste Versicherer, der sie im deutschsprachigen Raum eingeführt hat. So gut ein Arzt möglicherweise auch hinsichtlich der IT-Sicherheit aufgestellt ist, verbleibt doch immer ein Restrisiko. Dank einer Cyber-Versicherung gibt es einen monetären Risikotransfer, sprich: Die Arztpraxis bleibt nicht auf den teils immensen Kosten sitzen, die bis hin zu existenzbedrohenden Summen gehen können. Aber auch bei der Prävention unterstützen Versicherer. Wir bieten etwa Mitarbeiterschulungen und Hilfe beim Erstellen von präventiven Krisenplänen an. Und nicht zuletzt umfasst eine gute Cyber-Versicherung Soforthilfe im Notfall, denn ohne ein bestehendes und jederzeit erreichbares Expertennetzwerk ist es sehr schwer, zeitnah Unterstützung zu bekommen.

Müssen Ärzte in Cybersecurity investieren und welche Bereiche sind da zentral?

Auf jeden Fall müssen Ärzte in Cybersecurity investieren! Mindestens müssen sie regelmäßige und sichere Back-Ups sowie ein professionelles Patch-Management realisieren, also das zeitnahe Einspielen von Updates, um Sicherheitslücken zu schließen. Verwendete Altsysteme müssen abgesichert werden. Das im medizinischen Bereich besonders wichtige Thema Datenschutz muss beachtet und die entsprechenden Richtlinien sollten implementiert werden. Und nicht zuletzt sind Schulungen wichtig, so dass Mitarbeiter beispielsweise beim Öffnen von Anhängen sehr vorsichtig sind und auch bei Anrufen von vermeintlichen IT-Angestellten oder angeblichen Polizisten. Die Cyber-Risiken wachsen sehr dynamisch, wie etwa folgende Zahlen zeigen: Im Vergleich zu 2020 hat sich die Anzahl der bei Hiscox in Deutschland gemeldeten Cyber-Schäden im Jahr 2021 fast verdoppelt. Beim Blick auf das Zeitfenster zwischen 2018 und 2021 kann sogar eine Steigerung von über 400 Prozent verzeichnet werden. Dabei hat sich nicht nur die absolute Zahl der Schäden, sondern auch die Schadenquote pro Versicherungspolice enorm gesteigert: Im Vergleich zu 2020 lag diese 2021 um 55 Prozent höher.

Weitere Beiträge

230505_chronik
Chronik der Telematik­infrastruktur – 2001 bis 2024
230606_DG_Motivaufnahmen-49_web
Digitalisierung im Gesundheitswesen: Wer, wie, was – und warum?
Symbolbild - Digitalwissen für alle
Es ist angerichtet: Digitalisierungswissen für alle
Grafik/Organigramm Qualifizierte Elektronische Signatur (QES)
Die qualifizierte elektronische Signatur (QES)
Kommunikation im Medizinwesen (KIM)
KIM-Adressen im zentralen Verzeichnis finden

Weitere Themengebiete

Wir freuen uns über Ihre Beteiligung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert