28 | PRAXIS zm113 Nr. 06, 16.03.2023, (426) Preisen gehandelt als Kreditkarteninformationen“, erklärt Arfwedson. Kommt es dazu, dass die Daten von Cyberkriminellen kopiert und im Darknet zum Verkauf angeboten werden, muss der Praxisinhaber alle betroffenen Patienten von Gesetzes wegen informieren. „Das führt zu einem enormen Rufverlust und kann aufgrund der damit einhergehenden Bußgelder existenzgefährdend sein“, gibt Arfwedson zu bedenken. Die Einfallstore sind häufig Phishing Mails. „Wenn die Arbeitsplatzrechner in einer Praxis über Administrationsrechte verfügen, was wir leider regelmäßig feststellen, steigt das Risiko exorbitant an, denn dabei handelt es sich schon um privilegierte Rechte, die die Ausführung von beispielsweise nachträglich nachgeladenem Schadcode ermöglichen.“ Keiner ist zu klein, um für Cyberkriminelle interessant zu sein Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) wies bereits 2019 in seinem Branchenreport „Cyberrisiken bei Ärzten und Apothekern“ darauf hin, dass jeder zweite Arzt, Zahnarzt oder Apotheker seine Niederlassung für zu klein hält, um für Cyberkriminelle interessant zu sein. 80 Prozent gehen zudem davon aus, dass sie ausreichend gegen Cyberkriminalität geschützt seien. Und ein Drittel plant deshalb keine weiteren Investitionen in die IT-Sicherheit. Zehn von 25 getesteten Arztpraxen sind nicht auf einen Systemausfall vorbereitet. Alles Fehlannahmen: „Das eigene Sicherheitsniveau und die Attraktivität für Cyberkriminelle werden leider deutlich über- beziehungsweise unterschätzt“, warnt Arfwedson. Zu den fünf größten Risikofaktoren zählen laut GDV zu einfache Passwörter und mehrfach unter den Mitarbeitenden geteilte Zugangserkennungen oder unter allen geteilte Administrationsrechte. Sind die Angestellten zu arglos und öffnen zum Beispiel den Link in einer Phishing-Mail und aktivieren den Download, ist das ebenfalls ein großes Risiko. Weiter erfolgt die Datensicherung oft nur oberflächlich und zumeist nicht ausreichend. Zu wenig wird geprüft, ob Daten wirklich verschlüsselt sind und sich wiederherstellen lassen, berichtet der GDV nach seiner Stichprobenprüfung in Arzt- und Zahnarztpraxen. Fehlende Sicherheitsupdates und letztendlich eine fehlende Vorbereitung für den Notfall sind ebenso Risikofaktoren, auf die man achten sollte. Die gesetzlich festgelegten Mindeststandards der IT-Sicherheitsrichtlinie der KZBV und der KBV (siehe QR-Code) geben klare Handlungsanweisungen für die Gewährleistung von IT-Sicherheit in Zahnarztpraxen. Die Sicherheitsrichtlinie sieht Unterschiede hinsichtlich der Größe der Praxis vor, womit eine Praktikabilität gewährleistet werden soll. Diese Standards umzusetzen, ist Teil der IT-Compliance. Kommt es zu einem Hackerangriff, werden Aufsichts- und Ermittlungsbehörden in jedem Fall prüfen, ob und inwieweit die Sicherheitsstandards umgesetzt und eingehalten wurden. „Zahnarztpraxen sollten sich daher unbedingt mit der Richtlinie vertraut machen und die Vorgaben auch umsetzen. Tun sie dies, so werden damit die Eintrittswahrscheinlichkeit und das Schadenausmaß etwaiger Cyber-Attacken schon einmal deutlich reduziert“, betont der Experte. Weitere Maßnahmen technischer und organisatorischer Natur könnten sinnvoll sein, fügt er hinzu, müssten aber im Einzelfall, auch hinsichtlich des Risikos und der damit einhergehenden Kosten, beurteilt werden. Zudem müssen die getroffenen technischen Maßnahmen immer wieder hinsichtlich ihrer Aktualität überprüft und nachgebessert, also an den aktuellen Stand der Technik angepasst werden. „Das Zu den fünf größten Risikofaktoren zählen laut GDV zu einfache Passwörter, mehrfach unter den Mitarbeitenden geteilte Zugangserkennungen und unter allen geteilte Administratorrechte. Foto:GDV
RkJQdWJsaXNoZXIy MjMxMzg=