02.05.2019: IT-Sicherheit in der Praxis

Die Digitalisierung schreitet weiter voran; auch vor der Arztpraxis macht sie nicht halt. Dieser Fortschritt ist für viele sehr erfreulich, birgt jedoch Risiken, wenn es um die digitale Sicherheit geht.

In diesem Blogbeitrag teilen wir Tipps, wie Sie die IT-Sicherheit in der Arztpraxis verbessern können und worauf Sie besonders achten sollten.

Sicherheit als Begriff

Um zu verstehen, welche Massnahmen ergriffen werden können, müssen wir den Begriff «Sicherheit» etwas umschreiben. Sicherheit steht für den Zustand des Sicherseins, also vor Gefahr oder Schaden geschützt zu sein. Konkret bedeutet das für eine medizinische Einrichtung, geeignete Massnahmen zu treffen, die …

  • Patientendaten vor Missbrauch bei Erhebung,Verarbeitung und Nutzung schützen.
    = Datenschutz
  • Patientendaten vor Verlust, Verfälschung, Beschädigung oder Löschung sichern.
    = Datensicherheit

Bewusstsein stärken 

Technische Möglichkeiten zur Absicherung von IT-Systemen gibt es viele. Doch dies ist nur eine Seite der Medaille „Sicherheit“. Der Anwender selbst trägt einen Grossteil zur Sicherheit oder eben auch zu Angriffen auf IT-Systeme bei. Cyber-Kriminelle nutzen oftmals die Hilfsbereitschaft, das Vertrauen, die Angst oder den Respekt von Angestellten schamlos aus. Dies ist selbstverständlich auch als Chance zu sehen, sich mit einfachen Mitteln gegen Angriffe von Dritten zu schützen. Ein Bewusstsein für Sicherheit bei sich selbst und bei den Arbeitskollegen zu schaffen, ist bereits ein wichtiger Schritt. Dazu gehört die Grundhaltung eines gesunden Misstrauens.

Stellen Sie sich in besonderen Situationen immer folgende Fragen:

  • Was tue ich gerade?
  • Ist es etwas Aussergewöhnliches, nicht Normales?
  • Könnte ich damit mir selbst oder Anderen schaden?

Social Engineering

Bei Social Engineering steht der Mensch im Vordergrund und wird gezielt zum Angriffspunkt für Cyber-Kriminelle. Autorität wird von den Tätern ausgenutzt, um einen Mitarbeitenden zu manipulieren. Das könnte z.B. eine vermeintliche E-Mail des Chefs sein, in welchem er Sie bittet, eine sofortige Zahlung auf das angegebene Bankkonto auszulösen.

Eine vermeintlich autorisierte Person oder ein Unternehmen fordert Sie beispielsweise zur Passworteingabe zu der in der E-Mail verlinkten Webseite auf. Nach erfolgter Eingabe kann es zu einem Schaden führen. Stellen Sie sich bei solchen E-Mails (auch von bekannten Absendern) immer die Frage, ob die darin enthaltenen Forderungen realistisch sind. Im Zweifelsfall reicht bereits die Kontaktaufnahme über einen anderen Kommunikationskanal (z.B. Telefon).

Passwort und Login

Ein gesunder Menschenverstand reicht für mehr IT-Sicherheit meist nicht ganz aus. Daher sind auch technische Vorkehrungen für die Sicherheit zu treffen. Jegliche Zugänge zu einem IT-System müssen zwingend mit einem Passwort geschützt werden. Dies gilt sowohl für das Gerät selbst (z.B. das Windows-Login), aber auch für die weiteren Software-Systeme, die auf diesem Gerät betrieben werden (z.B. vitomed).

  • Vermeiden Sie kurze und einfache Passwörter. Sie sollten möglichst komplex sein und mindestens 8 Zeichen mit Buchstaben (A-Z; a-z) enthalten; optimal sind 12 Zeichen sowie Zahlen (0-9) und Sonderzeichen (z.B. #@/!.).
  • Auch die Nutzung gemeinsamer Passwörter (z.B. unter den MPAs) ist zu vermeiden. Die Nachvollziehbarkeit von sensiblen System Eingaben wird schwierig (wer hat was zu welchem Zeitpunkt eingeben)

Sicherheits-Experten raten, Benutzerkonten bei Online-Diensten nach Möglichkeit mit einer 2-Faktor- Authentifizierung (2FA) zusätzlich abzusichern. Nach der Eingabe des 1. Faktors, dem Passwort, muss auf einem zusätzlichen Gerät (z.B. Smartphone) der 2. Faktor (z.B. temporärer Zugangscode) ausgelesen und eingegeben werden.

Passwort-Manager

Bei vielen Kennwörtern ist es schwierig, alle auswendig zu lernen. Unter der Tastatur das aufgeschriebene Passwort zu hinterlegen, ist wie den Hausschlüssel unter der Türmatte zu deponieren: ein leichtes Spiel für jeden Kriminellen!

Für solche Zwecke eignen sich sogenannte Passwort-Manager, die alle Zugangsdaten zu Ihren IT-Systemen (verschlüsselt) speichern können. Dies erlaubt Ihnen den Einsatz sehr komplexer Passwörter, für deren Entschlüsselung ein Angreifer technisch gesehen Jahre benötigt. Manche Softwareanbieter stellen neben der Verwaltung von Identitäten und Passwörtern auch die Ablage von Dokumenten besonderer Wichtigkeit zur Verfügung. Ein weiterer Vorteil ist die Möglichkeit, oftmals auch plattformübergreifend (Smartphone, Notebook und PC) auf Ihre Zugangsdaten zugreifen zu können.

Virenschutz

Viren sind Computerprogramme, die sich ungewollt in Ihr System einschleusen und entsprechenden Schaden anrichten können. Sie gehören zu den sogenannten Schadprogrammen (Malware) und tauchen neben den trojanischen Pferden (Trojaner) am häufigsten auf. Damit dies nicht passiert, gibt es diverse Schutzanwendungen, die Ihr System auf solche Programme überprüfen und diese entfernen. Ein wirksamer Virenschutz auf jedem System ist ein absolutes Muss.

Ferner sind an dieser Stelle auch das Datenbackup bzw. die Datensicherung zu nennen. Sollte Ihr System von einem Schädling infiziert sein, der z.B. Ihre Daten verschlüsselt, hilft meistens nur noch die komplette Wiederherstellung des Systems mithilfe einer Systemsicherung. Diese Sicherung muss aktuell sein, um den Schaden gering zu halten.

Firewall

Als Basis-Schutz in Ihrem Netzwerk eignen sich Firewalls. Dabei wird grundsätzlich zwischen zwei Firewall-Typen unterschieden.

  1. Zum einen ist das die netzwerkbasierte Firewall, welche das Praxis-Netzwerk vom Internet schützt. Diese Geräte kontrollieren den Datenverkehr und können je nach Konfigurationsumfang beispielsweise E-Mails mit Viren erkennen, die als Anhang getarnt (z.B. Rechnung.pdf) das Opfer hintergehen möchten.
  2. Die zweite Firewall ist die computerbasierte Firewall, welche Windows standardmässig installiert hat. Diese regelt die Netzwerkverbindungen im Praxis-Netzwerk, welche entweder den Zugriff auf den PC zulässt oder blockiert.

Datenentsorgung - auch die Datenlöschung sollte gut überlegt sein

Nicht mehr benötigte Daten können bei Unachtsamkeit in falsche Hände gelangen. Alte elektronische Daten, welche auf einem Datenträger gespeichert sind, müssen daher durch physische Zerstörung entsorgt werden. Die Logistik der Vitodata AG bietet eine entsprechend fachgerechte Entsorgung Ihrer digitalen Daten an. Für Daten auf Papier empfehlen wir den Einsatz eines Aktenvernichters.

Verwandte Artikel