Cybersicherheit in Arztpraxen: BSI-Studien zeigen Handlungsbedarf
Heiko FeketeCyberangriffe werden zur wachsenden Bedrohung im Gesundheitswesen. Auch für Praxisinhaberinnen und -inhaber ist es wichtig, ihre digitale Infrastruktur zu schützen. Doch genau hier gibt es laut zwei aktueller Studien Handlungsbedarf.
Die Telematikinfrastruktur (TI) als Kommunikationsnetzwerk wird regelmäßig kontrolliert und orientiert sich an strengen Spezifikationen. Das ist auch für die IT in Praxen entscheidend, da sie an die TI angeschlossen ist.
Ob die besagte IT-Infrastruktur die hohen Sicherheitsanforderungen erfüllt, dieser Frage ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit zwei Studien nachgegangen.
Das sind die Ergebnisse der ersten Studie
Die Studie „SiRiPrax“ befragte rund 1.600 Arztpraxen deutschlandweit zur Umsetzung der IT-Sicherheitsrichtlinie nach § 75b Fünftes Sozialgesetzbuch.
Ein Drittel der Befragten gab an, die mit der Richtlinie vorgegebenen Schutzmaßnahmen vollständig umgesetzt zu haben. Zugleich haben knapp die Hälfte Schwierigkeiten, die IT-Sicherheitsrichtlinie in ihrer aktuellen Fassung vollumfassend zu verstehen und anzuwenden.
Hier sieht das BSI noch Optimierungsbedarf, zumal zehn Prozent der befragten Arztpraxen mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren. Von den rund 1.600 Teilnehmern hatte fast jede Praxis einen IT-Sicherheitsbeauftragten. Dessen Einsatz wirkt sich positiv auf die Gesamtsicherheit der Infrastruktur aus, so eine weitere Zusammenfassung der Studie.
Weitere Studie entdeckt verschiedene Sicherheitsrisiken
Dagegen stellt „CyberPraxMed“ eine qualitative Stichprobe dar: Das Projekt untersuchte 16 Arztpraxen aus unterschiedlichen Fachbereichen mit durchschnittlich 21,8 Mitarbeitern und 4,4 Ärztinnen und Ärzten – und hat dazu die Netzwerkstruktur, bereits getätigte Sicherheitsvorkehrungen sowie den „Faktor Mensch“ unter die Lupe genommen.
Der Faktor Mensch führt dabei zu vermeidbaren Fehlern. So waren laut CyberPraxMed PCs oft eingeschaltet und noch mit aktivem Benutzerkonto angemeldet, selbst wenn sie nicht in Gebrauch waren. Dadurch könnten Unbefugte mit physischem Zugang auf sensible Praxisdaten zugreifen.
Weitere festgestellte Sicherheitsmängel waren nicht richtig durchgeführte Backups oder ein unzureichender Virenschutz. Auffällig war auch, dass alle untersuchten Praxen den TI-Konnektor parallel zu einem gewöhnlichen Router betrieben haben, was seine Schutzwirkung minimiert.
13 der 16 Praxen arbeiten mit externen Dienstleistern, während bei den anderen Teilnehmern entweder Mitarbeiter oder Bekannte die IT eingerichtet haben. Insgesamt spricht das BSI von teils gravierenden Schwachstellen in Bezug auf die Cybersicherheit.
Zwar sind die Ergebnisse von CyberPraxMed aufgrund der niedrigen Teilnehmerzahl nicht repräsentativ. Dennoch zeigten die Resultate, dass Arztpraxen ihre digitale Infrastruktur besser schützen müssen, so das BSI.
So erhöhen Arztpraxen ihre IT-Sicherheit
Aus diesem Grund gibt die Sicherheitsbehörde Praxisinhabern auch Empfehlungen an die Hand, um die eigene IT-Sicherheit nachhaltig zu verbessern. So kann eine gemeinsame Checkliste von Praxen und Dienstleistern dabei helfen, mögliche Schwachstellen zu adressieren.
Die Liste sollte vor allem Benutzerkonten und Zugriffe, sowie Netzwerksicherheit und Datenschutz berücksichtigen. Auch Schulungen, um sich IT-Grundwissen anzueignen, empfehlen die Studienautoren.
Darüber hinaus können auch schon kleinere Maßnahmen die Sicherheit digitaler Anwendungen erhöhen. Kennwörter mit Sonderzeichen, die mindestens jährlich geändert werden und um die zwölf Zeichen lang sind, senken bereits das Risiko für Cyberangriffe. Das Gleiche gilt für die Nutzung einer Zwei-Faktor-Authentifizierung bei Accounts, oder für Bildschirmsperren bei unbeaufsichtigten Rechnern.