Sind die Patientendaten sicher?

Versicherungstipp. Der Missbrauch von vertraulichen Daten durch Unbefugte ist eine Horrorvorstellung. Doch es gibt noch ein anderes Szenario, das nicht unbedingt weniger erschreckend ist: Wenn alle Patientendaten von einem Augenblick zum anderen nicht mehr verfügbar wären. Der Praxisbetrieb käme zum Erliegen. Weder das Risiko des Datenmissbrauchs noch ein Datenverlust lassen sich zu 100 Prozent ausschließen. Auch wenn alle IT-Systeme korrekt installiert, die Mitarbeiter geschult und die geltenden Sicherheitsanforderungen der Kassenzahnärztlichen Vereinigung erfüllt sind, kann es passieren, dass unbeabsichtigt oder durch technische Ausfälle die Praxis zum Erliegen kommt. Hier ein paar Fakten: - 70 Prozent der erfolgreichen Cyberangriffe erfolgen per E-Mail mit vermeintlichen Anhängen oder Links (GDV/2019) - Fünfmal so viele falsche Emails seit Beginn der Corona Krise (https://www.it-daily.net/it-sicherheit/cyber-defence/23792-fuenfmal-mehr-malware-zum-coronavirus) - Mehr als 50 Prozent aller Unternehmen weltweit haben schon Schäden durch digitale Angriffe erlitten - Hunderte Zahnarztpraxen in den USA lahmgelegt und Lösegelder erpresst (ZM online 03.09.2019) Doch ist es lohnenswert, eine Praxis zu infiltrieren und Patientendaten zu stehlen? Der Zahnarzt könnte denken: "Wir sind doch viel zu klein und unbekannt, um Hacker anzulocken." Das ist aber eine trügerische Annahme. Die meisten Angriffe sind nicht zielgerichtet und beschränken sich selten auf eine einzelne Praxis. Es werden häufig Sicherheitslücken ausgenutzt, die viele betreffen könnten, und man schickt die Schadsoftware an möglichst große Verteilergruppen (zum Beispiel per Mail). Arztpraxen stellen wegen der Patientendaten ein attraktives Ziel dar, da die Daten häufig nur mangelhaft geschützt sind. Nicht ohne Grund hat die Kassenärztliche Vereinigung Westfalen-Lippe eine Cyber-Versicherung als Schutz in ihre Ratgeber mit aufgenommen. Die Risiken sind vielseitig, und Praxen bieten ein einfaches Angriffsziel. Wie kann man sich vor digitalen Risiken schützen? Die hier entstehenden Risiken lassen sich für eine Praxis durch eine Versicherung absichern. Eine sogenannte Cyber-Versicherung kann im Schadensfall nicht nur den finanziellen Schaden kompensieren, sondern bietet häufig eine eigene Schadensabwicklung mit IT-Experten, sodass Ihre Praxis schnell wieder läuft. Dennoch setzt diese voraus, dass der Zustand der IT einschlägige Sicherheitsmaßstäbe berücksichtigt und auch die für eine Praxis geltenden Technischen und Organisatorischen Maßnahmen (TOM) ausreichend gut implementiert sind. Ansonsten kann sich der Versicherer in vielen Fällen von der Schadensabwicklung zurückziehen, da die Bedingungen nicht eingehalten wurden. Damit das nicht passiert, ist es wichtig, dass die IT einer neutralen Risikoanalyse unterzogen wird, bevor die risikorelevanten Fragen für eine Versicherung beantwortet werden. Ein kleiner Tipp aus der Praxis: Die meisten Unternehmen und Arztpraxen haben ihre IT-Experten, doch ist es hier interessant, einen externen Partner für die Kontrolle zu Rate zu ziehen, da dieser vielleicht auch etwas genauer hinschaut, weil es im Zweifel nicht die eigenen Fehler sind, die entdeckt werden. An wen kann man sich wenden? Zusammen mit dem Freien Verband Deutscher Zahnärzte hat auxmed, der Versicherungskooperationspartner des FVDZ, als Versicherungsmakler ein ganzheitliches Absicherungskonzept entwickelt. Von der Risikoprüfung via IT-Audit über eine Spezialversicherung mit exklusiven Vorteilen für FVDZ-Mitglieder bis hin zur Integration von bestehenden und auszuarbeitenden Datenschutzmaßnahmen. Schritt: Das IT-Audit wird im Rahmen einer Fernwartung von IT-Experten übernommen, die neben allgemeinen Risiken vor allem ein Augenmerk auf risikorelevante Fragestellungen werfen. Sofern das erste Audit zu viele Fragen unbeantwortet lässt, müssen IT-Spezialisten vor Ort eine zusätzliche Gefahrenpotenzialanalyse durchführen. Schritt: Sofern das IT-Audit positiv ausgefallen ist und so die Risikofragen für die Praxis beantwortet werden können, kann der Abschluss einer auf Zahnärzte zugeschnittenen Versicherung erfolgen. Hier wurde zusammen mit dem Assekuradeur Viktor ein Produkt entwickelt, dass sich vor allem an Zahnärzten orientiert und mit besonderen Leistungen erweitert wurde. Für Verbandsmitglieder wird der Selbstbehalt um 50 Prozent reduziert und eine dreijährige Prämiengarantie festgelegt. Zudem erhält jedes Mitglied Zugriff auf einen 24-Stunden-Support im Ernstfall, hinter dem direkt IT-Spezialisten bis hin zu IT-Forensikern sitzen, die sich um Ihre potenzielle Gefahrensituation kümmern. Schritt: Abschließend ist das erarbeitete Absicherungsmodell in das Qualitätsmanagement und Datenschutzkonzept der Praxis zu implementieren. Hier ist wichtig, dass bspw. die Überprüfung der technischen und organisatorischen Maßnahmen in die Ergebnisse des IT-Audits mit aufgenommen werden, um als Resultat ein ganzheitliches Präventionsmodell zu stricken. Wie gehen Kriminelle eigentlich genau vor? Jemand aus Ihrer Praxis erhält eine Mail mit einem vermeintlich harmlosen Anhang. Das perfide an dieser Stelle ist, dass auch vertrauenswürdige Absender unfreiwillig zum Wirt werden können. Schadsoftware verbreitet sich häufig über die Kontaktadressen bereits kompromittierter Rechner. Auch wenn nicht direkt etwas passieren muss, wenn der Anhang geöffnet wurde, wird ein Programm im Hintergrund geöffnet, das Ihre Daten und die der im Netzwerk befindlichen Rechner verschlüsselt. Häufig wird dieses Verfahren erst aufgedeckt oder entdeckt, wenn auch von Seiten der Kriminellen davon auszugehen ist, dass auch Back-ups durch die Ransomware unlesbar wurden. Andernfalls hätte man die Möglichkeit, ein Backup aufzuspielen und das System innerhalb weniger Stunden wieder komplett funktionstüchtig zu betreiben. Hacker lernen auch hier dazu und verstecken ihre Software manchmal monatelang im Hintergrund. Empfehlung für FVDZ-Mitglieder Optimieren Sie die Datensicherheit in Ihrer Praxis und sorgen Sie rechtzeitig für einen IT-Notfall vor. Gerne helfen Ihnen hierbei beratend die Experten unseres Kooperationspartners auxmed.