zm114 Nr. 04, 16.02.2024, (242) 44 | TITEL zu kommen. Auch hier halfen Lonz und sein Team. Müller-Leißring: „Das hat alles seinen Preis, keine Frage. Und hier ist die Krux: Wir müssen unsere Praxen stemmen, immer mehr Aufgaben lösen und sicher auch an der einen oder anderen Stelle rechnen. Beim Thema E-Anwendungen und Datenschutz wird uns viel abverlangt. Dabei ist das nicht unser Metier, man unterschätzt das schnell. Ich habe den Eindruck, der Kreativität der Hacker sind keine Grenzen gesetzt.“ Auch deshalb gebe sie das Thema in die Hände von IT-Sicherheitsexperten. „Für die Rückendeckung investiere ich das Geld an der Stelle, um in Ruhe und effizient meiner Arbeit nachzukommen.“ Da Gesundheitsdaten dem höchstmöglichen Schutz unterliegen sollten, sind auch Hersteller und die gematik gefragt. Laut BSI wird der Gefährdungslage in der Telematikinfrastruktur (TI) in einem mehrstufigen Prinzip begegnet. In erster Linie liegt die Realisierung der IT-Sicherheit bei den Herstellern und Betreibern der jeweiligen Dienste und Komponenten: Sie müssen ihre Sicherheitsvorkehrungen gemäß den Vorgaben der gematik gestalten. Dienste und Komponenten unterliegen sowohl einem Zulassungsverfahren der gematik als auch einer sicherheitstechnischen Zertifizierung des BSI. Der laufende Betrieb wird durch das Cyber Emergency Response Team (CERT) der gematik überwacht, Sicherheitsvorfälle werden dem BSI gemeldet. Im Zweifel einfach den Stecker ziehen Kommt es zu einem Angriff auf die IT und sensible Daten sind in Gefahr, rät Lonz, direkt den IT-Dienstleister zu kontaktieren. Es sei übrigens kein gutes Zeichen, wenn dieser sich noch nicht selbst bei der Praxis gemeldet hat, denn dann habe die Überwachung versagt. „De facto zählt jede Sekunde, denn Rechner haben viel Leistung und die Verschlüsselung von Systemen geht rasant voran. Im Zweifel einfach die Sicherungen in der Praxis ziehen. Das sagen wir, wenn uns eine Praxis anruft, die gerade gehackt wird und kein Kunde ist“, erzählt Lonz. Den Angriff sofort zu beenden ist die effektivste Möglichkeit, Daten zu retten. Profis können dann forensisch die Daten retten, die noch nicht verschlüsselt wurden, was jedoch oft nur noch ein kleiner Teil ist. Dieser Prozess ist meist sehr schwierig, da täglich hunderttausende neue Trojaner auf den Markt kommen, die von Hackern gekauft und verwendet werden. Auch Lonz rät übrigens eindringlich davon ab, Lösegeld zu bezahlen. Er verweist auf Statistiken von Sophos, wonach nur etwa vier Prozent aller Lösegeldzahler ihre Daten zurückbekämen. Die meisten erhielten sie gar nicht oder nur sehr unvollständig zurück. Das sei auch der Grund, warum man mit Hackern nicht verhandelt. „Solange es Menschen gibt, die Lösegeld bezahlen, werden Hacker dies gegen Unternehmen anwenden. Sobald sich aber alle darauf verständigen, das nicht mehr zu tun, fehlt das Druckmittel und die Angriffe hören auf", meint Lonz. Daher sei aktuell auch immer wieder in der Diskussion, ob das Zahlen von Lösegeld unter Strafe gestellt wird. Auch, wenn das rechtlich schwierig erscheint, der Gedanke ist nachvollziehbar und zeigt, wie hilflos Opfer meist sind. „Der neueste Clou ist, dass die Hacker selbst drohen, den Vorfall der Datenschutzbehörde zu melden. Das macht Opfern Angst und sie bezahlen, dabei sind sie ohnehin verpflichtet, den Vorfall anzuzeigen“, erklärt Lonz. Lohnt sich denn eine CyberVersicherung? Ob sich der Abschluss einer CyberHaftpflichtversicherung lohnt, kann nicht pauschal beantwortet werden, sagen Experten. Notwendig ist in jedem Fall ein individueller Risikocheck, damit die Schäden abgedeckt werden, die tatsächlich entstehen können. Auch sollte überprüft werden, welche Risiken bereits durch bestehende Versicherungen (zum Beispiel eine PraxisHaftpflichtversicherung, eine Betriebsunterbrechungsversicherung oder eine Rechtsschutzversicherung) abgedeckt sind. Weitere Kriterien für eine Entscheidung sind unter anderem die Deckungssumme, Leistungsausschlüsse oder Selbstbehalte. Dennoch: Die meisten Versicherten bekommen nur einen Teil des Schadens ersetzt, weil sie nicht die entsprechenden Sicherheitsvorkehrungen getroffen haben, die laut Versicherungspolice hätten erfüllt sein müssen. In der Folge lehnt die Versicherung eine Regulierung des Schadens dann ab. Wichtig ist das Bewusstsein, dass eine Cyber-Haftpflichtversicherung ein IT-Sicherheitskonzept nicht ersetzen kann. Häufig ist die Umsetzung der Inhalte der IT-Sicherheitsrichtlinie Voraussetzung dafür, dass überhaupt so eine Versicherung abgeschlossen werden kann oder im Schadensfall eine Schadensregulierung übernommen wird. Diese kann insofern immer nur eine Ergänzung sein, um die verbleibenden Restrisiken abzusichern. LL Die Kassenzahnärztliche Bundesvereinigung (KZBV) und die Bundeszahnärztekammer (BZÄK) haben ihren Datenschutz- und Datensicherheits-Leitfaden für die Zahnarztpraxis-EDV aktualisiert. Dieser enthält auch Tipps, wie die Anforderungen an die IT-Sicherheit praxisnah und aufwandsarm umgesetzt werden können (siehe QR-Code). SO GEHEN SIE VOR n Einmal IT-Konzept aufstellen und einrichten. Dafür Schnittstellen und Datenströme definieren und das Konzept bei Änderungen immer wieder überprüfen. n Alle Mitarbeiter ins Boot holen und jährlich schulen zum Thema IT-Sicherheit. n Jedem Mitarbeiter eigene Zugangsdaten geben. n Komplexe und verschiedene Passwörter einrichten und mit einem Passwortsafe vor unbefugtem Zugriff sichern. n E-Mail-Server als Einfallstore entsprechend absichern, SpamFilter und generell sichere EMail-Server nutzen. n Regelmäßige Software-Updates einspielen, aber nicht ungetestet – falls es nicht anders geht, zunächst einen PC updaten, zwei Tage warten und dann den Rest. n Eine entsprechende Fehlerkultur zulassen und gemachte Fehler im Team besprechen.
RkJQdWJsaXNoZXIy MjMxMzg=