Infocenter: IT-Sicherheit in der Praxis

Die Digitalisierung schreitet weiter voran; auch vor der Arztpraxis macht sie nicht halt. Dieser Fortschritt ist für viele sehr erfreulich, birgt jedoch Risiken, wenn es um die digitale Sicherheit geht.

In diesem Blogbeitrag zeigen wir Ihnen praktische Tipps und Möglichkeiten, wie Sie die IT-Sicherheit in der eigenen Praxis und im Privatleben verbessern können und worauf Sie besonders achten sollten.

Sicherheit

Um zu verstehen, welche Massnahmen ergriffen werden können, müssen wir den Begriff «Sicherheit» etwas umschreiben. Sicherheit steht für den Zustand des Sicherseins, also vor Gefahr oder Schaden geschützt zu sein. Konkret bedeutet das für eine medizinische Einrichtung, geeignete Massnahmen zu treffen, die …

  • Patientendaten vor Missbrauch bei Erhebung,Verarbeitung und Nutzung schützen.
    = Datenschutz
  • Patientendaten vor Verlust, Verfälschung, Beschädigung oder Löschung sichern.
    = Datensicherheit

Faktor Mensch

Technische Möglichkeiten zur Absicherung von IT-Systemen gibt es viele. Doch dies ist nur eine Seite der Medaille „Sicherheit“. Der Anwender selbst trägt einen Grossteil zur Sicherheit oder eben auch zu Angriffen auf IT-Systeme bei. Cyber-Kriminelle nutzen oftmals die Hilfsbereitschaft, das Vertrauen, die Angst oder den Respekt von Angestellten schamlos aus.

Dies ist selbstverständlich auch als Chance zu sehen, sich mit einfachen Mitteln gegen Angriffe von Dritten zu schützen. Ein Bewusstsein für Sicherheit bei sich selbst und bei den Arbeitskollegen zu schaffen, ist bereits ein wichtiger Schritt. Dazu gehört die Grundhaltung eines gesunden Misstrauens.

Stellen Sie sich in besonderen Situationen immer folgende Fragen:

  • Was tue ich gerade?
  • Ist es etwas Aussergewöhnliches, nicht Normales?
  • Könnte ich damit mir selbst oder Anderen schaden?

Social Engineering

Bei Social Engineering steht der Mensch im Vordergrund und wird gezielt zum Angriffspunkt für Cyber-Kriminelle. Autorität wird von den Tätern ausgenutzt, um einen Mitarbeitenden zu manipulieren. Das könnte z.B. eine vermeintliche E-Mail des Chefs sein, in welchem er Sie bittet, eine sofortige Zahlung auf das angegebene Bankkonto auszulösen.

Bei Phishing-E-Mails erfolgt diese Manipulation schriftlich. Eine vermeintlich autorisierte Person oder ein Unternehmen fordert Sie beispielsweise zur Passworteingabe auf der in der E-Mail verlinkten Webseite auf. Diese ist meistens kaum von der echten Webseite zu unterscheiden. Nach erfolgter Eingabe verlieren Sie schliesslich die Kontrolle über Ihr entsprechendes Konto und es kommt zu einem ungewollten und unbekannten Schaden.

Stellen Sie sich bei solchen E-Mails (auch von bekannten Absendern) immer die Frage, ob die darin enthaltenen Forderungen realistisch sind. Im Zweifelsfall reicht bereits die Kontaktaufnahme über einen anderen Kommunikationskanal (z.B. Telefon) oder Sie warten ab, bis sich die Person über einen anderen Kanal bei Ihnen meldet.

Solche Vorfälle können durchaus geübt werden. Damit erreichen Sie einen Wissensvorsprung und können beim Eintreten eines solchen Falles richtig handeln. Teamsitzungen sind eine gute Möglichkeit, um die IT-Sicherheit in der Praxis zu thematisieren.

Passwort und Login

Ein gesunder Menschenverstand reicht für mehr IT-Sicherheit meist nicht ganz aus. Daher sind auch technische Vorkehrungen für die Sicherheit zu treffen. Jegliche Zugänge zu einem IT-System müssen zwingend mit einem Passwort geschützt werden. Dies gilt sowohl für das Gerät selbst (z.B. das Windows-Login), aber auch für die weiteren Software-Systeme, die auf diesem Gerät betrieben werden (z.B. vitomed).

Vermeiden Sie kurze und einfache Passwörter. Sie sollten möglichst komplex sein und mindestens 8 Zeichen mit Buchstaben (A-Z; a-z) enthalten; optimal sind 12 Zeichen sowie Zahlen (0-9) und Sonderzeichen (z.B. #@/!.).

Von einer automatischen Anmeldung an einem System raten wir ab – zumindest beim Gerät selbst (Windows). Andernfalls wäre der Passwortschutz obsolet.

Auch die Nutzung gemeinsamer Passwörter (z.B. unter den MPAs) ist zu vermeiden. Hier können Sie relativ leicht den Überblick verlieren und die Nachverfolgung wird schwierig (wer hat was zu welchem Zeitpunkt gemacht), da alle mit dem gleichen Benutzerkonto arbeiten.

Was Sie auf jeden Fall meiden sollten, ist die Bekanntgabe Ihres Passwortes via E-Mail oder Telefon.

Sicherheits-Experten raten, Benutzerkonten bei Online-Diensten nach Möglichkeit mit einer 2-Faktor- Authentifizierung (2FA) zusätzlich abzusichern. Nach der Eingabe des 1. Faktors, dem Passwort, muss auf einem zusätzlichen Gerät (z.B. Smartphone) der 2. Faktor (z.B. temporärer Zugangscode) ausgelesen und eingegeben werden. Dies bedeutet: Wenn der Täter Ihren 1. Faktor kennt, kann er keinen Zugriff auf Ihr Benutzerkonto erlangen, solange er nicht den 2. Faktor kennt.

Passwort-Manager

Bei so vielen Kennwörtern ist es selbstverständlich schwierig, alle auswendig zu lernen. Nun stellt sich die Frage, wo diese hinterlegt werden sollen und wie diese bei Änderungen nachgeführt werden. Vorab: Unter der Tastatur das aufgeschriebene Passwort zu hinterlegen, ist wie den Hausschlüssel unter der Türmatte zu deponieren: ein leichtes Spiel für jeden Kriminellen!

Für solche Zwecke eignen sich sogenannte Passwort-Manager, die alle Zugangsdaten zu Ihren IT-Systemen (verschlüsselt) speichern können. Dies erlaubt Ihnen den Einsatz sehr komplexer Passwörter, für deren Entschlüsselung ein Angreifer technisch gesehen Jahre benötigt. Manche Softwareanbieter stellen neben der Verwaltung von Identitäten und Passwörtern auch die Ablage von Dokumenten besonderer Wichtigkeit zur Verfügung.

Ein weiterer Vorteil ist die Möglichkeit, oftmals auch plattformübergreifend (Smartphone, Notebook und PC) auf Ihre Zugangsdaten zugreifen zu können.

Gerätezugang

Stellen Sie sicher, dass auch der physische Zugang zu Ihren Gerätschaften abgesichert ist. Besonders ein Empfangsbereich ist anfällig für Cyber-Kriminelle, da er beispielsweise kurzzeitig nicht besetzt sein könnte und so für Dritte sehr leicht zugänglich wäre.

Wichtige Infrastruktur-Systeme, wie etwa ein Server, werden aus diesem Grund in separaten Räumen abgestellt, die nur für einen engen Personenkreis begehbar sind.

Sperren Sie Ihren PC, sobald Sie Ihren Arbeitsplatz verlassen, sodass eine erneute Passworteingabe notwendig ist. Unter Windows erreichen Sie dies mit der Tastenkombination [Windows-Taste] + [L] und unter macOS mit [ctrl] + [shift] + [Eject].

Für den Fall, dass Sie vergessen, den PC beim Verlassen zu sperren, empfehlen wir Ihnen, den Sperrbildschirm zu aktivieren. Nach einer festgelegten kurzen Inaktivitätszeit sperrt dieser das System automatisch und Sie können sicher sein, dass keine unberechtigte Person Ihr Benutzerkonto für illegale Zwecke missbraucht.

Virenschutz

Eine weitere Gefahr lauert im Internet. Hier sind neben sicheren Passwörtern weitere technische Massnahmen für mehr Sicherheit zu treffen.

Viren sind Computerprogramme, die sich ungewollt in Ihr System einschleusen und entsprechenden Schaden anrichten können. Sie gehören zu den sogenannten Schadprogrammen (Malware) und tauchen neben den trojanischen Pferden (Trojaner) am häufigsten auf. Damit dies nicht passiert, gibt es diverse Schutzanwendungen, die Ihr System auf solche Programme überprüfen und diese entfernen. Ein wirksamer Virenschutz auf jedem System ist ein absolutes Muss.

Ferner sind an dieser Stelle auch das Datenbackup bzw. die Datensicherung zu nennen. Sollte Ihr System von einem Schädling infiziert sein, der z.B. Ihre Daten verschlüsselt, hilft meistens nur noch die komplette Wiederherstellung des Systems mithilfe einer Systemsicherung. Diese Sicherung muss aktuell sein, um den Schaden gering zu halten.

Firewall

Für zusätzlichen Schutz in Ihrem Netzwerk eignen sich Firewalls. Dabei wird grundsätzlich zwischen zwei Firewall-Typen unterschieden.

Zum einen ist das die netzwerkbasierte Firewall (z.B. Sonicwall), welche das Praxis-Netzwerk vom Internet schützt. Diese Geräte kontrollieren den Datenverkehr und können je nach Konfigurationsumfang beispielsweise E-Mails mit Viren erkennen, die als Anhang getarnt (z.B. Rechnung.pdf) das Opfer hintergehen möchten.

Die zweite Firewall ist die computerbasierte Firewall, welche Windows standardmässig installiert hat. Diese regelt die Netzwerkverbindungen im Praxis-Netzwerk, welche entweder den Zugriff auf den PC zulässt oder blockiert.

Datenentsorgung

Nicht mehr benötigte Daten können bei Unachtsamkeit immer noch in falsche Hände gelangen. Alte elektronische Daten, welche auf einem Datenträger gespeichert sind, müssen daher durch physische Zerstörung entsorgt werden. Meist reicht bereits ein Hammer oder eine starke Hydraulikpresse. Die Logistik der Vitodata AG bietet eine entsprechend fachgerechte Entsorgung Ihrer digitalen Daten an.

Für Daten auf Papier empfehlen wir den Einsatz eines Aktenvernichters.

Mit Updates zum verbesserten Schutz

Eine absolute Sicherheit kann nie erreicht werden. Nur wenn Sie Ihre Systeme durch Updates auf dem aktuellen Stand halten und sich an die aufgeführten Tipps halten, können Sie einen verbesserten Schutz erreichen. Seien Sie sich aber bewusst, dass diese Schutzmassnahmen nur darauf abzielen, einem potenziellen Cyber-Kriminellen so viele Steine in den Weg zu legen, dass es rein zeitlich zu aufwendig wird, Ihre Schutzmechanismen zu überwinden und an relevante Daten zu gelangen, ohne dass Sie es bemerken.

Sicherheitslösungen von Vitodata AG

Wünschen Sie weitere Auskünfte? Unsere Beraterinnen und Berater Ihrer Vitodata-Filiale verfügen über alle Informationen zu entsprechenden Lösungen und stehen Ihnen gerne zur Verfügung.

 
 
 

Verwandte Artikel