Wie Arztpraxen ihre IT-Sicherheit optimieren können
Judith MeisterEine Untersuchung zeigt: Zwei Drittel der Praxen haben Sicherheitslücken bei der IT. Mit dem richtigen Passwort-Management lassen sich die größten Risiken aber mit erstaunlich einfachen Maßnahmen beheben.
Es gab eine Zeit, da war das beliebteste Passwort der Deutschen die Zahlenkombination „12345“. Mit dieser Nummernfolge ist heute meist nicht mehr viel anzufangen. Die meisten Systeme schreiben verbindlich vor, dass Passwörter sowohl Buchstaben als auch Zahlen und Sonderzeichen enthalten müssen. Doch sind die Systeme deshalb wirklich optimal geschützt?
Die Antwort auf diese Frage lautet: Leider nicht immer. Vor nicht einmal zwei Jahren ermittelte das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass nur ein Drittel der Arztpraxen in Deutschland die von der KBV vorgegebenen IT-Schutzmaßnahmen vollständig umgesetzt haben.
Eine weitere aktuelle Studie, bei der die Experten 16 Arztpraxen auf etwaige Cyberrisiken untersuchten, offenbarte ebenfalls dramatische Schwachstellen – von einem unzureichenden Virenschutz bis hin zu fehlende Back-ups. Die Studie betrachtete 16 Praxen in Stadt und Land. Dabei zeigten sich Verhaltensweisen, die längst überwunden sein sollten: PC blieben mit dem aktiven Benutzerkonto angemeldet, auch wenn sie nicht in Gebrauch waren. Teils wurden sensible Patientendaten auf externen Speichermedien wie USB-Sticks und externen Festplatten abgelegt. Und auch bei den Passwörtern kam es immer wieder zu Problemen – insbesondere, was den Umfang mit Passwortmanagern anbelangt. Untersuchungen belegen zudem: Zahlreiche Passwortmanager speichern Passwörter so, dass Unbefugte theoretisch Zugriff auf die geschützten Daten erhalten.
Passwortmanager ist für Arztpraxen essenziell
Deshalb komplett auf diese Technik zu verzichten, wäre laut BSI allerdings der falsche Weg. Denn auch wenn der Schutz nicht immer perfekt ist, sind und bleiben Passwortmanager ein essenzielles Sicherheitstool im digitalen Alltag. Ärzte sollten in ihrer Praxis allerdings ein System etablieren, das maximale Sicherheit mit klaren Zuständigkeiten und einer einfachen Nutzbarkeit durch die Teammitglieder verbindet.
Ideal ist es, einen eigenen Passwortmanager für die Praxis aufzusetzen (s. Kasten), verbindliche Vorgaben für dessen Nutzung zu machen und bereits den Zugang zum Passwortmanager per Zwei-Faktor-Authentifizierung zu sichern. Das ist erforderlich, weil hier alle dienstlich genutzten Zugänge erfasst sind, also nicht nur das Login für Praxissoftware und medizinische IT-Systeme, sondern auch die Zugangsdaten für E-Mail-Konten, Abrechnungs- und Verwaltungsportale, Online-Termin- und Kommunikationsdienste etc.
Anforderungen an Passwortmanager in der Arztpraxis
Sie müssen hochsensible Gesundheitsdaten schützen, dürfen den Aufwand aber nicht ins Unendliche steigern. Diese Funktionen sollte ein Passwortmanager erfüllen:
Wichtig ist, dass das System starke, einzigartige Passwörter erzwingt und eine Passwortweitergabe auf Zuruf unterbindet.
Zudem muss das System alle Zugriffe nachvollziehbar abbilden.
Gleiches gilt für Abmeldungen und Rollenwechsel.
Im Notfall müssen Praxischefs (bzw. eine Ersatz-Vertrauensperson) einen Sonderzugang erhalten.
Wichtig es zudem, ausdrücklich darauf hinzuweisen, dass handschriftliche Passwortnotizen oder Listen ebenso unzulässig sind wie die Weitergabe von Passwörtern per E-Mail, Messenger oder auf sonstige Weise. Wer ein solches Verbot bereits im Arbeitsvertrag niederlegt, schafft ein zusätzliches Bewusstsein für die Bedeutung der Datensicherheit und hat bei Verstößen eine Handhabe für Sanktionen.
Zugriffsrechte für wichtige Daten limitieren
Je nachdem, um welche Daten es geht, sollten die Zugriffsrechte zudem differenziert geregelt sein. Umfassende Einsicht und Zugriff auf alle Daten haben Chefin und Chef sowie ein Administrator, der sorgfältig auszuwählen ist. Für die restlichen Bereiche werden die Zugriffsrechte gestaffelt: Ärzte brauchen andere Rechte als MFA, die vor allem mit Abrechnung oder der Terminvergabe befasst sind. Verlässt eine MFA oder ein angestellter Kollege das Team, müssen die entsprechenden Zugänge deaktiviert werden. Neuzugänge hingegen brauchen frühzeitig eine Einweisung in den richtigen Umgang mit dem internen Passwortmanager.