Die zunehmende Digitalisierung und Vernetzung im Gesundheitswesen ermöglichen optimierte Behandlungsabläufe und einen professionellen Austausch der Beteiligten. Die dafür erforderliche Datenspeicherung und -übertragung birgt jedoch auch Herausforderungen und Risiken hinsichtlich Datenschutz und Cyberangriffen. Wir möchten Ihnen zeigen, welche Gefahren drohen und was Sie unternehmen können, um die Daten Ihrer Patienten optimal zu schützen.
Die Gesetzgebung besagt, dass Ärzt*Innen für die Gewährleistung der Datenschutzbestimmungen und den Schutz der sensiblen Gesundheitsdaten verantwortlich sind und stellen diese damit vor grosse Herausforderungen. Zur Unterstützung der Ärzteschaft sind Softwareanbieter wie IT-Dienstleister gefragt, entsprechende Sicherheitskonzepte anzubieten, um Daten und Systeme ihrer Kunden optimal zu schützen.
Hand in Hand für die Sicherheit Ihrer Patientendaten
In diesem Artikel zeigen wir Ihnen auf, wie sie mit amétiq und den Gold IT-Partnern DQ Solutions und Cross-IT einen umfangreichen Schutz vor Cyberangriffen erreichen können.
Denn amétiq und ihre Gold IT-Partner Cross-IT und DQ Solutions arbeiten hierfür Hand in Hand und bieten ein Gesamtkonzept bestehend aus Soft- und Hardware: der cloudbasierten Praxissoftware amétiq siMed mit der hochsicheren amétiq cloud sowie der erforderlichen, sicheren lokalen IT-Infrastruktur für die Praxen.
Alle drei Unternehmen orientieren sich an den 11 Grundsätzen für den IT-Grundschutz für Arztpraxen der FMH, die als Empfehlung für die Ärtze*Innen von der FMH erarbeitet wurden. Im Ergebnis unterstützt die Praxissoftware amétiq siMed effiziente Praxisprozesse sowie die hochsichere Datenspeicherung und -übertragung in der amétiq cloud. Gleichzeitig sorgen die Gold IT-Partner Cross-IT und DQ Solutions für eine sichere IT-Infrastruktur vor Ort in der Praxis und schützen die lokalen Systeme vor unberechtigten Zugriffen.
Welche Gefahren drohen?
Des Öfteren liest man von Erpressungsversuchen, nachdem Hacker oder sogenannte Cyberkriminelle sich unerlaubten Zugriff auf Systeme verschafft und dort Daten erbeutet haben. So geschehen vor einigen Tagen in der Romandie, wo Unbekannte Patientendaten aus Arztpraxen entwendeten und im Internet (Darknet) veröffentlichten, nachdem die Zahlungsfrist ungenutzt verstrichen war.
Solche Angriffe – gezielte und ungezielte – geschehen tagtäglich und können jeden treffen. Eine 100%ige Sicherheit kann nie geboten werden. Deshalb gilt es, das Risiko vor ungewolltem Datenzugriff mit geeigneten Massnahmen auf ein absolutes Minimum zu reduzieren.
Die häufigsten Cyberangriffe und was passiert bei einer Attacke?
Malware (Schadsoftware)
Malware ist ein Begriff, mit dem schädliche Software wie Spyware, Ransomware, Viren und Würmer, beschrieben wird. Malware dringt über eine Schwachstelle in ein Netzwerk ein. In der Regel, wenn ein Benutzer auf einen gefährlichen Link oder eine E-Mail-Anlage klickt und dadurch die Malware installiert wird. Sobald sie in das System gelangt ist, kann Malware je nach Programmierung folgendes tun:
- Ruft heimlich Informationen ab (Spyware)
- Blockiert den Zugriff auf wichtige Komponenten des Netzwerks und/oder lokale Festplatten, um Lösegeld zu erpressen (Ransomeware)
Phishing
Beim Phishing werden betrügerische Mitteilungen gesendet, die von einer seriösen Quelle zu stammen scheinen. Für gewöhnlich per E-Mail aber auch immer häufiger per SMS. Ziel ist es, vertrauliche Daten wie Kreditkarten- und Anmeldeinformationen zu stehlen oder Malware auf dem Computer des Opfers zu installieren.
Man-in-the-Middle-Angriff (MitM)
MitM-Angriffe, auch Abhörangriffe genannt, treten auf, wenn Angreifer sich in eine Transaktion zwischen zwei Parteien einschleusen. Sobald die Angreifer den Datenverkehr unterbrechen, können sie Daten filtern und stehlen. Häufige Einstiegspunkte für MitM-Angriffe sind:
- In unsicheren öffentlichen Wi-Fi-Netzwerken (WLAN) können Angreifer sich zwischen dem Gerät eines Besuchers und dem Netzwerk einschleusen. Der Besucher übermittelt unwissentlich alle Informationen über den Angreifer.
- Sobald Malware auf ein Gerät gelangt ist, kann ein Angreifer Software installieren, mit der alle Informationen des Opfers verarbeitet werden.
Was Sie tun können
Die 11 FMH-Empfehlungen und wie wir sie unterstützen können:
1. Verantwortlichkeiten bestimmen und Vorgaben erlassen
Verantwortlichkeiten müssen klar definiert werden (Aufgaben, Kompetenzen, Verantwortungen). Allenfalls müssen diese von der Praxisinhaber*In an Praxismitarbeiter*Innen übertragen werden (an so viele wie nötig und so wenig wie möglich) damit diese sich um IT-Fragen kümmern und mit dem ICT-Dienstleister kommunizieren. Ihre IT-Partner können sie diesbezüglich beraten.
2. ICT-Mittel in ein Inventar aufnehmen
Sie können nur gezielt schützen, was sie kennen. Eine Liste von ICT-Mitteln nützt aber nur, wenn sie gepflegt wird und daraus Aktionen z.B. Updates mit einem Zeitplan abgeleitet werden. Ihre IT-Partner können Sie unterstützen bei der Dokumentation der Infrastruktur, dem Life-Cycle-Management, der Beschaffung von Hard- und Software und deren Updates (Firmware, Betriebssystem, Applikationen).
3. Zugriffsschutz regulieren und Benutzerrechte verwalten
Es sollten nur so viele Benutzerrechte vergeben werden, wie nötig und so wenig wie möglich. In amétiq siMed haben sie die Möglichkeit einzelne Berechtigungen pro Rolle z.B. Arzt, MPA, Abrechnung etc. zu vergeben und sie den Usern zuzuordnen.
Passwörter, insbesondere für Administratorenrechte, dürfen nur die Inhaber*innen kennen und sollten regelmässig geändert werden. Damit sie nicht einfach erraten oder computerunterstützt durch Ausprobieren (brut-force) herausgefunden werden, müssen sie eine gewisse Länge und Komplexität haben. amétiq siMed stellt dies durch die Passwortpolicy sicher.
4. Praxismitarbeitende für Datensicherheit sensibilisieren
Praxismitarbeitende müssen für das Thema Datensicherheit sensibilisiert werden. Das kann bspw. mittels Workshops durch die IT-Partner erfolgen und/oder auch mit einem Online-Awarenessprogramm z.B. von HIN.
5. Endgeräte vor Schadsoftware schützen
Cyperkriminelle sind Profis. Sie sollten daher auch Ihre Firewall und Antivirusprogramme von Spezialisten einrichten lassen. Ihr IT-Partner berät und unterstützt sie dabei gerne.
6. Netzwerk schützen
Das Netzwerk ist das zentrale Element der kompletten Infrastruktur vor Ort. Bei einem Ausfall wird der Praxisbetrieb grösstenteils lahmgelegt. Dementsprechend müssen Sie das Netzwerk schützen und vor Ausfällen bewahren. Manchmal ist es sinnvoll Subnetze aufzubauen z.B., um den wartenden Patienten ein WLAN anzubieten. Ihr IT-Partner kann Ihnen die sichersten Varianten aufbauen.
7. ICT-Umgebung konfigurieren und warten
Mit amétiq siMed erhalten sie die neuesten Features und allfällige Fehlerkorrekturen automatisch.
Die komplette lokale ICT-Infrastruktur muss nach der Einrichtung auch regelmässig kontrolliert, gewartet und aktualisiert werden. Das kann Ihr IT-Partner für Sie übernehmen.
8. Digitale Daten sicher ablegen
Ihre Patientendaten werden mit amétiq siMed in Swisscom Datencenter in der Schweiz gespeichert. Diese sind technisch mit der höchsten zertifizierbaren Tier IV-Architektur aufgebaut.
Für lokal in Ihrer Praxis gespeicherten Daten sind Sie aber selbst verantwortlich und müssen für diese auch selbst Backups erstellen und diese geschützt vor unbefugtem Zugriff lagern. Ihr IT-Partner kann Sie dabei konzeptionell und technisch unterstützten.
9. Digitale Daten sicher austauschen
Ihre Patientendaten werden im gesicherten amétiq siMed-Browser erfasst bzw. gelesen und verschlüsselt in die und von der Cloud (Datacenter) übertragen.
Achten Sie auch bei anderen Datenübertragungen z.B. per E-Mail darauf, dass sie besonders schützenswerte Daten, wie Gesundheitsdaten, nur über verschlüsselte Kanäle versenden. Dies können Sie z.B. über das geschützte HIN-Mail oder über das kostenpflichtige amétiq Collaboration Package direkt aus siMed heraus machen.
10. Vorkehrungen für die Behandlung von Sicherheitsvorfällen treffen
Für amétiq siMed brauchen Sie sich keine Gedanken zu machen. Das übernimmt amétiq zusammen mit den Datencenterprovidern.
Für Ihre lokale Infrastruktur sollten Sie aber einen Plan ausarbeiten, wie Sie bei Ausfällen möglichst schnell Ihre Systeme wieder verfügbar haben. Ihre IT-Partner können Sie dabei unterstützen.
11. Externe Dienstleister beauftragen und überwachen
Meistens lohnt es sich nicht, in einer Arztpraxis eine interne IT-Fachperson einzustellen, wie das bspw. bei einem Spital, grösseren KMUs oder Grossunternehmen üblicherweise der Fall ist. Daher ist es wichtig mit einem IT-Partner zusammenzuarbeiten, der Sie unterstützt.
Die zentrale Praxissoftware hat sicherlich bei der Wahl des IT-Partners einen entscheidenden Einfluss. Mit einem amétiq Gold-Partner können Sie von handverlesenen ICT-Spezialisten ausgehen, die sich im Gesundheitswesen (Labortechnik, Sicherheit, gängige Arbeitsweise etc.), wie auch der Praxissoftware auskennt und in regelmässigem Austausch mit amétiq steht.
Viele Wartungsarbeiten oder technischer Support kann online z.B. über TeamViewer erfolgen. Stellen Sie aber sicher, dass die anfragende Drittperson berechtigt ist auf Ihre Systeme zuzugreifen. amétiq Mitarbeitende z.B. können Sie relativ einfach über die Ticket-ID resp. dem Ticketinhalt überprüfen.
Handeln Sie
Dafür, dass Ihre Praxis-Software auf dem aktuellen Stand ist, sorgt amétiq mit regelmässigen und automatischen Updates Ihrer Software. Es ist aber auch enorm wichtig, dass die IT-Infrastruktur nicht vernachlässigt, sondern gepflegt und gewartet wird. Vertrauen Sie nicht darauf, dass einmal gekaufte und eingerichtete lokale IT-Infrastruktur läuft, bis sie irgendwann wegen «Altersschwäche» ersetzt werden muss. Sprechen Sie stattdessen rechtzeitig mit Ihrem IT-Partner. Er berät Sie umfassend hinsichtlich organisatorischer und technischer Frage zum Grundschutz und den implementierten Produkten und Prozessen und verbessert bestehende Sicherheitsmassnahmen.
Doch auch wenn eine IT-Infrastruktur regelmässig kontrolliert und gewartet wird, kann es zu Ausfällen kommen. Sei es durch einen Cyberangriff, einen Hardware-Ausfall oder Software-Probleme. In diesen Fällen ist es wichtig schnelle Hilfe durch den IT-Partner zu erhalten. Planen Sie entsprechend und schliessen Sie ein Service-Level-Agreement oder Service-Vertrag ab, um sich abzusichern.
Mit amétiq siMed haben Sie ein modernes, intuitives und sicheres Praxisinformationssystem. Damit Sie für die lokale Infrastruktur ebenfalls ein Höchstmass an Sicherheit gewährleisten können, nehmen Sie mit einem amétiq Gold-Partner (DQ Solutions und Cross-IT) Kontakt auf und lassen Sie sich beraten. Das Erstgespräch bieten wir Ihnen gerne kostenlos und unverbindlich an.
Ihre Teams von amétiq, DQ Solutions und Cross-IT