Cyber­si­cher­heit

In der digi­ta­len Welt von heu­te ist Cyber­si­cher­heit ein Muss für alle, die mit sen­si­blen Daten arbei­ten — ins­be­son­de­re im Gesund­heits­we­sen. Die zuneh­men­de Ver­net­zung und Digi­ta­li­sie­rung bringt vie­le Vor­tei­le mit sich, erhöht aber auch die Anfäl­lig­keit für Cyber-Angrif­fe.

Laut einer Stu­die des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) besteht in Arzt­pra­xen drin­gen­der Hand­lungs­be­darf in Sachen IT-Sicher­heit. Die Unter­su­chung ergab, dass vie­le Arzt­pra­xen ihre IT-Infra­struk­tur nicht aus­rei­chend gegen mög­li­che Bedro­hun­gen schüt­zen. Dies ist beson­ders alar­mie­rend, da medi­zi­ni­sche Ein­rich­tun­gen zuneh­mend Ziel von Hacker­an­grif­fen wer­den. Ein zen­tra­les Ele­ment des deut­schen Gesund­heits­we­sens ist die Tele­ma­tik­in­fra­struk­tur (TI), die als Kom­mu­ni­ka­ti­ons­netz dient und regel­mä­ßig über­prüft wird. Den­noch zeigt die Stu­die, dass die Sicher­heits­la­ge der IT-Infra­struk­tur in vie­len Arzt­pra­xen bis­her kaum Beach­tung fin­det, obwohl sie für die Ver­ar­bei­tung sen­si­bler Daten uner­läss­lich und direkt an die TI ange­schlos­sen sind.

Auch ande­re Unter­neh­men im Gesund­heits­sek­tor sind nicht vor Cyber-Bedro­hun­gen geschützt. IT-Exper­ten beto­nen die Not­wen­dig­keit, sich mit den aktu­el­len Sicher­heits­an­for­de­run­gen aus­ein­an­der­zu­set­zen und die­se kon­se­quent umzu­set­zen. Dabei stellt sich für vie­le Ver­ant­wort­li­che die Fra­ge: Wie wich­tig ist mir die IT-Sicher­heit in mei­nem Unter­neh­men? Eine Ver­nach­läs­si­gung kann schwer­wie­gen­de Fol­gen haben — von finan­zi­el­len Ver­lus­ten durch Aus­fäl­le bis hin zu hohen Buß­gel­dern bei Daten­schutz­ver­let­zun­gen.

Eine aktu­el­le Ana­ly­se des BSI zur Sicher­heits­la­ge in Arzt­pra­xen und Gesund­heits­ein­rich­tun­gen zeigt, dass vie­le Betrei­ber die Risi­ken unter­schät­zen. Die Stu­die “SiRi­Prax 2024” macht deut­lich, dass neben der tech­ni­schen Absi­che­rung auch orga­ni­sa­to­ri­sche Maß­nah­men uner­läss­lich sind. Oft feh­len Not­fall­plä­ne oder kla­re Zustän­dig­kei­ten für den Fall eines Cyber-Angriffs. Beson­ders häu­fig sind Phis­hing-Angrif­fe, Ran­som­wa­re-Infek­tio­nen und Daten­lecks, die durch unzu­rei­chend gesi­cher­te Netz­wer­ke oder man­geln­de Sen­si­bi­li­sie­rung des Per­so­nals begüns­tigt wer­den.

Beson­ders gefähr­det sind laut der Stu­die klei­ne­re Arzt­pra­xen und Apo­the­ken, die oft nicht über aus­rei­chen­de IT-Res­sour­cen oder Fach­per­so­nal für IT-Sicher­heit ver­fü­gen. Die Stu­die zeigt zudem, dass über 50 Pro­zent der befrag­ten Pra­xen und Apo­the­ken kei­ne pro­fes­sio­nel­le IT-Sicher­heits­be­ra­tung in Anspruch neh­men und häu­fig ver­al­te­te Soft­ware ein­set­zen. Dies erhöht das Risi­ko von Cyber­an­grif­fen erheb­lich.

Ein wei­te­res Pro­blem ist der unzu­rei­chen­de Schutz von mobi­len End­ge­rä­ten und draht­lo­ser Netz­wer­ke. Laut BSI sind vie­le Arzt­pra­xen nicht aus­rei­chend gegen Angrif­fe über unge­si­cher­te WLAN-Net­ze geschützt. Hacker kön­nen die­se Schwach­stel­len aus­nut­zen, um Schad­soft­ware zu ver­brei­ten oder sen­si­ble Pati­en­ten­da­ten abzu­grei­fen.

Um die Cyber-Sicher­heit in medi­zi­ni­schen und phar­ma­zeu­ti­schen Ein­rich­tun­gen zu gewähr­leis­ten, soll­ten fol­gen­de Maß­nah­men ergrif­fen wer­den:

• Sen­si­bi­li­sie­rung der Mit­ar­bei­ter: Regel­mä­ßi­ge Schu­lun­gen hel­fen, den siche­ren Umgang mit IT-Sys­te­men zu för­dern und poten­zi­el­le Gefah­ren früh­zei­tig zu erken­nen.

• Aktua­li­sie­rung der Sys­te­me: Soft- und Hard­ware soll­ten stets auf dem neu­es­ten Stand gehal­ten wer­den, um Sicher­heits­lü­cken zu schlie­ßen.

• Umset­zung von Sicher­heits­richt­li­ni­en: Kla­re Richt­li­ni­en für den Umgang mit sen­si­blen Daten und die Nut­zung von IT-Sys­te­men sind uner­läss­lich.

• Regel­mä­ßi­ge Sicher­heits­checks: Eine kon­ti­nu­ier­li­che Über­prü­fung der IT-Infra­struk­tur durch Exper­ten hilft, Schwach­stel­len früh­zei­tig zu erken­nen und zu behe­ben.

• Not­fall­plan erstel­len: Jede Ein­rich­tung soll­te über einen detail­lier­ten Plan ver­fü­gen, der Maß­nah­men für den Fall eines Cyber-Angriffs fest­legt.

• Mobi­le End­ge­rä­te und Netz­wer­ke absi­chern: Die Nut­zung von ver­schlüs­sel­ten Ver­bin­dun­gen und siche­ren WLAN-Netz­wer­ken soll­te in jeder Pra­xis und Apo­the­ke Stan­dard sein.

• Regel­mä­ßi­ge Siche­rung sen­si­bler Daten: Regel­mä­ßi­ge Back­ups wich­ti­ger Daten hel­fen, sich vor Ran­som­wa­re-Angrif­fen zu schüt­zen und im Ernst­fall die Betriebs­fä­hig­keit wie­der­her­zu­stel­len.

Inves­ti­tio­nen in die Cyber­si­cher­heit sind nicht nur eine recht­li­che Ver­pflich­tung, son­dern auch ein ent­schei­den­der Fak­tor für das Ver­trau­en von Pati­en­ten und Kun­den. Nur durch kon­se­quen­te Maß­nah­men kann der Schutz vor Cyber-Bedro­hun­gen lang­fris­tig gewähr­leis­tet wer­den.