HB Magazin 2 2022

TITEL

Risikofaktoren

kann online stattfinden, Pati entendaten werden digital gespeichert, die Termin vergabe erfolgt häufig übers Internet. Das Digi tale-Versorgung-Gesetz forderte deshalb von der ärztlichen Selbstverwal tung verbindlich geltende IT-Sicherheitsstandards. Die Kassenärztliche Bundes vereinigung (KBV) hat mit Ein vernehmen des BSI daher eine IT-Sicherheitsricht linie erarbeitet, die ent sprechend der aktuellen Bedrohungslage und neu

• Surfen im Internet • E-Mail-Anhänge • Private USB-Sticks

spiegelt diese Einschätzung gut die Realität wider. Das aktuelle Bundeslagebild zum Thema Cybercrime, den das Bundeskrimi nalamt (BKA) im Mai veröffentlicht hat, greift genau diesen Punkt auf: Im vergangenen Jahr zählte das sogenannte Phishing erneut zu den Haupteintrittsvektoren für Schadsoftware und war die Ur sache dafür, dass es, wie das BKA schreibt, zu einemmassenhaften Abgriff sensibler personenbezogener Daten kam. Schadsoftware werde häufig über maliziöse Dokumente als E-Mail-Anlage verteilt. Das Phänomen ist kein neues. Und dennoch sind mit dem Beginn der Corona-Pandemie die Phishing-Zahlen, auch im Gesundheits wesen, stark gestiegen. Kein Grund also, die IT-Sicherheit schleifen zu lassen. Eigentlich. „Die KBV hat Schwierigkeiten, Ärzten diese Dramatik klarzumachen. Es gibt natürlich Ärzte, die gut aufgestellt sind. Aber wenn sie nichts tun, spielen sie mit Ihrer Existenz! Das kommt leider nicht bei allen an“, sagt Rey. Wie es tatsächlich in den Praxen aussieht, wie gut – oder eben auch nicht – die Ärztinnen und Ärzte ausgerüstet sind, um ihre Daten zu schützen, darüber kann die KBV keine Auskunft geben. Die Ärzteschaft hat ihr gegenüber keine Meldepflicht. Weder, was Cyberangriffe auf Praxen, noch was die Umsetzung der IT-Sicher heitsrichtlinie betrifft. Anders als in KRITIS-Häusern wird keine re gelmäßige Überprüfung der Sicherheitsstandards durchgeführt. Es liegt allein in der Verantwortung der Praxisinhaber, die verbindli che KBV-Richtlinie tatsächlich auch umzusetzen. Und während das KHZG gut als Anschubfinanzierung für die IT-Sicherheit von Kran kenhäusern diente, fehlt ein ähnlicher Anreiz für Niedergelassene, in ihre IT zu investieren. „Die Bereitschaft der Krankenkassen, In frastrukturleistungen entsprechend zu refinanzieren, war bis jetzt • Schwache Passwörter • Alle vernetzten Geräte wie Computer, Drucker, Fax, Telefon, medizinische Geräte • Veraltete Virenschutzprogramme • Patienten und Personal nutzen das W-Lan der Praxis oder des Krankenhauses

HeinzTheo Rey (KBV): Die Bereitschaft der Krankenkassen, Infrastrukturleistungen entsprechend zu refinanzieren, war bis jetzt sehr bescheiden.

en technischen Möglichkeiten regelmäßig angepasst werden soll. Praxisinhaberinnen und -inhaber erhalten durch sie eine Orientie rung, welche Sicherheitsvorkehrungen zu treffen sind, um Daten missbrauch zu verhindern. Seit April 2021 wird diese Richtlinie nun in Etappen umgesetzt, für die Einführung der letzten Maßnahmen haben mittlere und große Praxen bis Juli dieses Jahres Zeit. Mitt lerweile sollten in allen Praxen die Basisanforderungen zum Alltag gehören. Dazu zählen beispielsweise der Einsatz aktueller Viren schutzprogramme, das Abmelden beziehungsweise Sperren eines Gerätes, sobald es von der Person nicht mehr genutzt wird, und die Nutzung von Firewalls. „Wer nichts tut, spielt mit seiner Existenz“ Die gesetzlichen Vorgaben sind also klar. Aber wie klappt es mit der Umsetzung? „In dem Moment, in dem man IT nutzt und ans In ternet angeschlossen ist, wird man angegriffen. Diese Erkenntnis ist bei Praxispersonal und Praxisinhabern stellenweise gar nicht vorhanden“, beschreibt Heinz-Theo Rey, Dezernent für IT und Inf rastruktur bei der KBV, seinen Eindruck. Sorglosigkeit, Unachtsam keit, das passt nicht so recht zum Thema Datenschutz und Informa tionssicherheit. „Der Gedanke ist oft: Die IT wird es schon richten oder es ist ja noch immer gut gegangen. Es braucht nur eine E-Mail mit Anhang zu kommen und es wird nicht lange nachgedacht. Man macht einen Doppelklick und schon ist man infiziert.“ Tatsächlich

8