HB Magazin 2 2022
TITEL
Befundfotos – einer gynäkologischen Gemein schaftspraxis konnte er frei im Internet finden. Er schüttelt den Kopf und lacht ungläubig, als er davon erzählt. Er attestiert dem Ge sundheitswesen Nachholbedarf, wenn es um die Informationssicherheit geht. „Tatsächlich ist es so, dass eine Arztpra xis sicherlich nicht zwingend Angst davor zu haben braucht, Opfer eines gezielten Hackerangriffs zu werden. Aber es gibt eben auch die ungezielten Angriffe, die relativ auto matisiert ablaufen und natürlich Praxen treffen können. Dagegen kann man sich mit einfa chen Mitteln schützen“, erklärt er. Firewall, Zutrittskontrollsysteme, Endpoint-Security und ein schlüssiges Security-Konzept, das bei spielsweise regelmäßige Updates, Mitarbei
sehr bescheiden. Das ist jedoch dringend erfor derlich“, urteilt Rey. Verhandlungen zwischen KBV und GKV-Spitzenverband dazu laufen noch. Sich in falscher Sicherheit wähnend, un vorbereitet für den Notfall und nachlässig im Umgang mit Passwörtern – recht ver heerend fiel auch 2019 der Branchenreport „Cyberrisiken bei Ärzten und Apothekern“ aus. Der Gesamtverband der Deutschen Ver sicherungswirtschaft (GDV) hatte eine reprä sentative Forsa-Umfrage zu den Cyberrisiken im Gesundheitswesen in Auftrag gegeben. Unter anderem 200 Mitarbeiter von Arztpra xen, die für die Internetsicherheit zustän dig waren, nahmen daran teil. Ein Ergebnis lautete: Der Großteil von ihnen, 80 Prozent,
Foto: Uwe Klissing
Michael Wiesner: Maximal zehn Minuten sind die Zeitspanne, in der nach Feststellen einer CyberAttacke noch Schaden abgewendet werden kann
terschulungen und ausgefeilte Passworte beinhaltet, gehören für ihn zum Standard. „Das sind grundlegende Maßnahmen. Wenn ich die erfülle, habe ich ein sehr großes Maß an Grundsicherheit. Das reicht für Praxen meist auch schon aus“, erklärt Wiesner. Die Furcht vor zu hohen Ausgaben lässt er nicht gelten. Er schätzt, dass Pra xisinhaber mit einem vierstelligen Betrag schon sehr viel erreichen können. All dies entspreche im Grunde genommen auch den Emp fehlungen der KBV in ihrer IT-Sicherheitsrichtlinie. Nur: „Standards oder Richtlinien sind immer nur ein Anfang. Sie definieren auf einer sehr generischen Linie eine Anforderung, die erfüllt werden muss.“ Für Wiesner liegt das Problem darin, dass diese Anforderungen nach Stand der Technik umgesetzt werden müssen – und viele das nicht machen. „Im KRITIS-Bereich wird das überprüft. Wird eine Abweichung gefunden, muss nachjustiert werden. Da wurden jetzt die Bußgelder erhöht, deswegen wird das auch mehr befolgt. Denn man muss leider sagen: Ohne Bußgeldandrohung wird kaum etwas gemacht. Bei den IT-Sicherheitsrichtlinien ist das genauso. Zwar gibt es konkrete Anforderungen, aber wie diese letztendlich umgesetzt werden, ob das nach Stand der Technik erfolgt, prüft im Moment keiner.“ • Die Zahl der erfassten Cyberstraftaten steigt weiterhin an. Im Jahr 2021 ist sie um mehr als 12 Prozent gestiegen. • Die Aufklärungsquote liegt bei knapp unter 30 Prozent. • Das Bedrohungspotential von Ransomware ist auch im vergangenen Jahr deutlich gestiegen. Zudem verursacht Ransomware weiterhin das höchste Schadenspotential im Bereich Cybercrime. Im internationalen Vergleich ist Deutsch land überdurchschnittlich häufig von Ransomware-Angriffen betroffen. • Cyberkriminelle haben neben öffentlichen Einrichtungen, dem Gesundheitswesen, dem Bildungssektor sowie KRITIS nahezu jede Branche angegriffen. • Cybercrime verursacht Schäden in Milliardenhöhe. Betrug der jährliche Schaden 2019 noch rund 5,3 Milliarden Euro, waren es 2021 bereits etwa 24,3 Milliarden Euro. Bundeslagebild Cybercrime 2021
war davon überzeugt, ihre Praxis ausreichend geschützt zu haben. Nur 17 Prozent sagten, dass das Risiko ihrer Arztpraxis, Opfer von Cyberkriminalität zu werden, eher beziehungsweise sehr hoch sei. Neben dieser Umfrage hatte der GDV auch einen IT-Spezialisten 25 Arztpraxen überprüfen lassen. Mit Hilfe von Penetrationstests machte der Experte sich Ende 2018 auf die Suche nach Sicherheits lücken in den Praxisnetzwerken. Das Ergebnis stand im direkten Kontrast zur recht positiven Einschätzung der Umfrage: 21 der 25 teilnehmenden Praxen hatten ein hohes oder sehr hohes Risiko, Opfer eines internen Angriffs zu werden. Bewusstsein für Risiken noch nicht sehr ausgeprägt Michael Wiesner war es, der die Penetrationstests damals durch geführt hatte. Der Informationssicherheitsexperte berät seit mehr als 25 Jahren Unternehmen. Eine der Fokusbranchen seines Bera tungsunternehmens ist das Gesundheitswesen. Außerdem ist er Sprecher der AG KRITIS, einer unabhängigen Arbeitsgruppe, deren Ziel die Versorgungssicherheit der Bevölkerung ist. Dass Wiesner im Rahmen der GDV-Studie erfolgreich Praxen hacken konnte, war für ihn keineswegs ein Ereignis mit Seltenheitswert. Das Bewusst sein für Cyberrisiken sei bei vielen Ärzten – sowohl in Praxen als auch in Krankenhäusern – noch nicht sehr ausgeprägt. Wiesner erinnert sich an einen Live-Hack vor etwa sieben Jahren. 25 000 Pa tientendaten – Namen und Geburtsdaten der Patientinnen sowie
9
Made with FlippingBook - Online magazine maker