IT‑Security in Arztpraxen – wie schlimm ist es, Herr Doktor?

Die Digitalisierung macht auch nicht vor dem Hausarzt Halt. Nicht alle niedergelassenen Arztpraxen sind dabei auf dem Stand der Technik, um Patienten und deren Daten ausreichend zu schützen. Woran liegt das und was kann getan werden?

Die Digitalisierung macht auch nicht vor dem Hausarzt Halt. Nicht alle niedergelassenen Arztpraxen sind dabei auf dem Stand der Technik, um Patienten und deren Daten ausreichend zu schützen. Woran liegt das und was kann getan werden?

Die Digitalisierung macht auch nicht vor dem Hausarzt Halt. Nicht alle niedergelassenen Arztpraxen sind dabei auf dem Stand der Technik, um Patienten und deren Daten ausreichend zu schützen. Woran liegt das und was kann getan werden?

Im gesamten DACH Raum arbeiten täglich mehr als 200.000 niedergelassene Ärzte. Allein in Deutschland sind das nach Angaben der Bundesärztekammer circa 162.000 Mediziner, die durchschnittlich 2-5 Computersysteme in ihren jeweiligen Praxen nutzen. Oft ist dabei die Sorgfalt für den Betrieb der Geräte nicht die oberste Priorität. Das äußert sich in unterschiedlich alter Hard- und Software, die jeweils oft noch frei zugänglich sind.

Anamnese

Die Ärztinnen und Ärzte befinden sich in einem Spannungsfeld zwischen der eigentlichen Aufgabe, Patienten möglichst effizient und umfassend zu versorgen und mit den gewachsenen, digitalen Anforderungen Schritt zu halten. So gibt es einerseits gesetzliche Rahmenbedingungen zum „Anschluss an die Telematikinfrastruktur“.

Seit Mitte 2020 sind weitere, auch medizinische Anwendungen in der Telematikinfrastruktur (TI) möglich. Dazu gehören das Notfalldatenmanagement (NFDM), der elektronische Medikationsplan (eMP) und der Kommunikationsdienst (KIM), über den Praxen etwa eArztbriefe versenden und empfangen können. Seit letztem Jahr kamen die elektronische Patientenakte (ePA), das elektronische Rezept (eRezept) und die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) hinzu. Nicht alle Praxen können oder wollen diese Möglichkeiten nutzen.

Ein anderer Aspekt sind die Wünsche der Patienten. Nicht selten liest man online in Praxisbewertungen, dass während der Wartezeit ein kostenloser WLAN-Zugang vermisst wurde. Oft wird dann als Reaktion einfach das Praxis-WLAN freigegeben, ohne dabei zu beachten, dass der Computer des Arztes und der Rezeption, sowie Netzwerkdrucker oder Diagnosemaschinen ebenfalls für jedermann zugänglich sind.

Dr. Felix Weiß kennt sich mit dem Spannungsfeld bestens aus. Er hat die Geschäftsleitung bei der Zollsoft GmbH inne, die seit über 10 Jahren mit unter anderem mit „Tomedo“ zielgerichtete Software- und Beratungslösungen für Ärzte im DACH-Raum anbieten. Er teilt meine Einschätzung, was den Stand der IT in Arztpraxen angeht und meint: „Meist ist Unwissenheit der entscheidende Grund für fehlendes oder zu geringes Sicherheitsbewusstsein.“

Ein weiterer Punkt gleicht familiär geführten, mittelständischen Unternehmen. Die IT-Betreuung wird nicht von Fachpersonal sondern „…vom Schwiegersohn gemacht, der kennt sich mit IT aus! Und dann steht da eine Fritz!Box mit allen Ports nach außen offen.“, so Weiß weiter.

Diagnose

Viele Praxen setzen auf Apple Rechner, da diese wartungsärmer erscheinen und die höhere Investition sich durch vermeintlich längere und störungsfreiere Laufzeiten rentiert. Treffen diese Realitäten beispielsweise auf Abrechnungssoftwares von Krankenkassen, die nur für Windows-Plattformen existieren, wird die Not schnell groß. In meiner eigenen Erfahrung griff ein Facharzt kurzerhand auf ein Ultraschallgerät zurück, dass mit Windows 7 läuft, um es für die Abrechnungen so dauerhaft mit dem Internet zu verbinden.

Andererseits gibt es viele gute Spezialsoftwares für Ärzte, die exklusiv für Apple Betriebssysteme existieren, welche also nur genutzt werden können, wenn entsprechende Geräte vorhanden sind. Dies bedeutet also auch, dass die Mediziner ganz schnell vor einem „Henne-Ei-Problem“ stehen können.

Fehlendes oder mangelndes IT-Security Bewusstsein führt darüber hinaus dazu, dass auf viele Systeme physisch zugegriffen werden kann. In vielen Praxen werden Patienten bereits ins Behandlungszimmer geführt, bevor der Facharzt hinzukommt. Im Schnitt beträgt die Wartezeit dort 5-10 Minuten. Genügend Zeit, um Hardware-Keylogger zwischen Tastatur und PC zu platzieren. Diese können Funksender enthalten, die – bei entsprechender Reichweite – Kriminellen auch außerhalb der Praxisräume sämtliche Tastatureingaben, inklusive möglicher Login-Daten, senden. Doch auch Behandlungsberichte und Befunde werden so übertragen und Verstößen gegen die DSGVO sind Tür und Tor geöffnet.

 

Blick ins Behandlungszimmer mit entsperrtem PC und Smartphone zugänglich.

Gelangen Cybergangster über offene Ports des Routers oder Schwachstellen der eingesetzten Betriebssysteme und Softwares in das Netzwerk eines Arztes gleicht das dem berühmten „Jackpot“. Für die Angreifer stehen dabei eine ganze Reihe an Dingen im Fokus:

  • Zugänge zu (Impf-)Portalen, Abrechnungssystemen u.a.
  • Zertifikate zur digitalen Identifikation des Arztes
  • Patientendaten aller Art
  • Onlinebanking & Co.
  • Platzierung von Ransomware

Behandlung

Was kann man also tun? Gibt es eine „digitale Behandlungsmethode“, um den „Patienten IT-Sicherheit in Arztpraxen“ wieder gesunden zu lassen? Statistisch gesehen steigt die Zahl der zugelassenen Ärzte seit ein paar Jahren wieder an. Gleichzeitig sinkt die Anzahl der Ärzte mit eigener Praxis.
Dr. Weiß kennt die Gründe und sieht das als Chance: „Immer weniger wollen das finanzielle Risiko einer eigenen Praxis eingehen. Das machen sich große Healthcare-Ketten zu Nutze und kaufen die auch aus Altersgründen freiwerdenden Praxen auf. Anschließend werden diese renoviert, auf den modernsten Stand gebracht und Ärzte eingestellt.“ Für die Mediziner hat das den Vorteil, gleich Geld verdienen zu können, aber örtlich unabhängig zu bleiben. Eine Praxis würde einen ans Ländliche binden, nicht jeder Studienabsolvent möchte das für sich. Mittlerweile sind 20% der Ärzte in Deutschland unter 35 Jahre alt. Man kann also davon ausgehen, dass diese auch wesentlich IT-affiner sind als ihre älteren Kollegen.

Anteil der unter 35-jährigen Ärzte an allen berufstätigen Ärzten
(Quelle: Bundesärztekammer)

Darüber hinaus entwickelt sich gerade ein MSP-Markt für diesen Bereich. Ein Feld, dass auch Zollsoft für sich erschließt – der Bedarf ist riesig. Zu den eigenen Lösungen werden IT-Security Produkte, wie Endpoint Security, sowie Backup- und Authentifizierungstools – zentral gemanagt – immer wichtiger fürs Portfolio der Anbieter.

Für die Patienten hat die sichere Digitalisierung ebenfalls Vorteile. Nicht nur, dass Praxisausfälle durch Ransomware & Co. vermieden werden können, auch lassen sich digitale Patientenservices sicher realisieren. Laut Schätzungen bestehen Nachsorgetermine, etwa nach Operationen, zu 80-90% daraus, dass der Patient dem Arzt sagt, dass es ihm „soweit ganz gut“ geht. Mit Online-Sprechstunden lassen sich bequem unnötige Anreisen zur Praxis vermeiden. Damit die Vertraulichkeit bei diesen Gesprächen gewährleistet bleibt, ist es umso wichtiger, dass entsprechend professionell abgesicherte Konferenztools zum Einsatz kommen, diese kann ein Dienstleister empfehlen, installieren und warten.

Trifft dann die moderne Hard- und Software- Ausstattung auf regelmäßige Schulungen von Personal und Chef, steht dem sicheren Betrieb zeitgemäßer IT in den Arztpraxen kaum noch etwas im Wege.

Erhalten Sie E-Mails zu neuen Artikeln zur Cyber-Sicherheitslage in der Ukraine. Jetzt anmelden!

Newsletter-Anmeldung

Hier können Sie mitdiskutieren