„Die Frage ist nicht mehr, ob Sie gehackt werden – sondern nur noch, wann“

Es ist wie fast immer im Leben: Jede Medaille hat zwei Seiten. Einerseits machen Digitalisierung und KI die Zahn-/Arzt-Praxen zukunftsfähig, bieten immense Möglichkeiten moderner Behandlung, erlauben effiziente Arbeitsabläufe – andererseits öffnen sie jedoch auch krimineller Energie Tür und Tor. Um den berühmten Wissenschaftler Stephan Hawkins zu zitieren: „Die Entwicklung Künstlicher Intelligenz könnte entweder das Schlimmste oder das Beste sein, was den Menschen passiert ist.“ Gilt das auch für unsere Praxen?

Wer sich Gedanken um Digitalisierung und den Einsatz künstlicher Intelligenz macht, kommt an dem Thema Datensicherheit kaum vorbei – schließlich produziert die digitale Praxis täglich Unmengen an Daten, die meisten davon personenbezogen. Wie groß ist also die Gefahr eines Datenverlusts durch Hacker, und was können Sie als Fach-/Zahnärztin und -Zahnarzt dagegen tun? Wir sprachen mit Michael Daletzki, ausgewiesener Experte zum Thema Datenschutz in Zahn-/Arztpraxen und Geschäftsführer der medianetX GmbH.

„Eigentlich ist es heute gar nicht mehr die Frage, ob Sie als Praxis gehackt werden, sondern nur noch, wann“, so sein ernüchterndes Fazit zu Beginn des Gesprächs. Ist das tatsächlich so? Die Zahlen scheinen erschreckend: Das Bundesamt für Sicherheit in der Informationstechnik zählte allein im Jahr 2021 144 Millionen Schadprogramm-Varianten, rd. 20% mehr als im Vorjahr. Diese Entwicklung unterstreicht auch Michael Daletzki für die Arzt- und Zahnarztpraxen in Deutschland. „Sie können davon ausgehen, dass sich die Bedrohung der Datensicherheit in den Praxen in den letzten drei Jahren massiv erhöht hat.“

Dem entgegenwirken sollte das dem Digitale-Versorgung-Gesetz (DVG), mit dem der Gesetzgeber KBV und KZBV beauftragt hatte, die IT-Sicherheitsanforderungen für Zahnarzt- und Arztpraxen verbindlich in einer IT-Sicherheitsrichtlinie festzulegen. Diese sollte den Schutz hochsensibler Gesundheits- und Patientendaten sicherstellen. In Kraft getreten war die Richtlinie im Februar 2021, also vor gut einem Jahr. Sind die Praxen nun also sicher? „Die Bundesbehörden können eine solche Richtlinie lediglich erlassen – kontrolliert wird sie aktuell nicht. Es ist und bleibt also in der Verantwortung einer jeden Zahnärztin, eines jeden Zahnarztes selbst, für die Sicherheit der Praxisdaten – und damit oftmals für die eigene Existenz! – Sorge zu tragen.“

Was also ist zu tun? „Prio 1 muss in jedem Fall – und ich meine wirklich unbedingt – eine adäquate Datensicherung haben“, so Daletzki. Allzu oft werde aber genau hier gespart oder das Thema auf die leichte Schulter genommen. „Nahezu jede Praxis verfügt über eine Feuer- und Einbruch-/Diebstahlversicherung, viele sparen jedoch gleichzeitig bei Equipment und Workflow zur Datensicherung. Dabei ist die Wahrscheinlichkeit, dass die Praxis abbrennt, im Vergleich zu einem Angriff mit Schadsoftware verschwindend gering.“ Denn es genüge keineswegs, die Daten „irgendwie zu sichern“. Daletzki berichtet über den Fall einer Arztpraxis, die im vergangenen Jahr Opfer eines Angriffs mit einer ausgeklügelten Ransom-Software, eines Erpresser-Trojaners, wurde. „Der Arzt kam morgens in die Praxis und alle Bildschirme waren schwarz – abgesehen von einem kleinen Totenkopf, der über den Screen flimmerte. Kein Zugriff mehr auf Patientendaten, Röntgenbilder, Terminbuch. Auf gar nichts.“ Auch der Griff zur Datensicherung brachte hier keine Hilfe. „Das Virus, das die Schadsoftware eingeschleust hatte, verschlüsselte auch die Sicherung auf dem Backup-Server. Alles vorbei.“ Eine wirklich existenzielle Bedrohung für jede Praxis. Doch wohin dann mit den Daten?

Gerade bei sensiblen Gesundheitsdaten empfehle sich die Installation moderner Datensicherungstechnologien in einer Cloud. Ernsthaft, in einer Cloud?! „Wir sprechen hier über ein zertifiziertes Deutsches Rechenzentrum, in dem die Daten hochverschlüsselt und anonymisiert gespeichert werden – das hat nichts mit einer x-beliebigen Cloud zu tun, wie sie viele z.B. für Fotos im privaten Bereich nutzen.“ Ein solches Rechenzentrum mit Sitz in Deutschland unterliege sehr strengen Richtlinien – was sich jedoch natürlich auch im Preis niederschlage. „Datensicherheit ist definitiv unbequem und kostet Geld – sie ist aber auch einfach existenziell, und verglichen mit den Lösegeldforderungen von Hackern nahezu günstig.“ Hier würden, je nach Unternehmens- oder Praxisgröße, Summen zwischen 30 000 und mehreren Millionen Euro aufgerufen.

Fast genauso wichtig wie die Frage einer adäquaten Sicherung sei die Schulung von Mitarbeitern. „Der Faktor Mensch ist noch immer das größte Sicherheitsrisiko, wenn es um das Einlassen von Schadsoftware geht.“ Gefährliche E-Mail-Anhänge seien heute lange nicht mehr so leicht zu erkennen wie noch vor Jahren, als derlei E-Mails in schlechtestem Deutsch und kaum kaschiert daherkamen. „Heute müssen wir alle unsere Mitarbeiter sensibilisieren, welche Gefahren mit einem Klick verbunden sein können – für den eigenen Arbeitsplatz, für die Kolleginnen und Kollegen, für die Patienten und für die gesamte Praxis.“ Ein unbedachter Klick, vielleicht neben einem Telefonat oder in einer hektischen Situation getätigt, kann schwerwiegende Konsequenzen haben.

Eine weitere wirkungsvolle Vorsichtsmaßnahme sei es nach Ansicht des Datenschutzexperten, Betriebssysteme, Security-Produkte und Firewall stets auf dem aktuellen Stand zu halten. „Gute Virenscanner verfügen z.B. über ein Deep Learning System, ein selbst lernendes System, um neue Angriffe aus dem Internet abzuwehren. Also – bleiben Sie up to date!“ Regelmäßige Updates schließen Sicherheitslücken und seien deshalb ebenso unerlässlich wie das Aktualisieren von Softwareversionen. „Wer heute noch Windows7 in der Praxis verwendet – und glauben Sie mir, das gibt es – darf sich nicht wundern, Opfer eines Hackerangriffs zu werden.“ Dem entgegenwirken sollte der IT-Beauftragte, ein Dienstleister oder – ggf. externer – Datenschutzbeauftragte in der Praxis. Auch hier ließe es sich auf eine einfache Formel bringen: „Fachzahnärzte sind ausgewiesene Experten ihres Faches. Diese Expertise sollte auch im Bereich der IT absolutes Muss sein.“ Zu häufig läge die Praxis-IT auch heute noch „in den Händen eines ambitionierten Neffen, Studenten oder Nachbarn anstatt in denen von Profis.“

Apropos professionell: Ein solcher Blick ist wohl auch nötig, wenn es um die Datenschutzrichtlinien etwaiger Partner geht. „Natürlich kann der Praxisinhaber kaum nachhalten, was genau auf den Servern von internationalen Konzernen, großen Dentalunternehmen und Medienanstalten passiert. Wichtig ist jedoch, dass der Partner die Daten verschlüsselt und anonymisiert speichert.“ Und das wiederum muss er im sog. Auftragsverarbeitungs-Vertrag nach DSGVO („AV-Vereinbarung“) sehr konkret darlegen. In diese Richtung geht auch Daletzkis letzter Tipp: „Achten Sie darauf, welche E-Mail-Adressen in der Praxis abgerufen werden – und beschränken Sie dies unbedingt auf die Postfächer der Praxisdomain.“ Würden auch zusätzlich „allgemeine“ Adressen – beispielsweise mit der Endung „web.de“ abgerufen, erhöhe sich das Risiko einer „eingeschleppten“ Schadsoftware enorm.

Wer nun all diese Punkte berücksichtigt, findet sich auf der sicheren Seite. Oder? „Eine 100% Sicherheit gibt es nicht, das muss man ganz klar so sehen. Doch mit Berücksichtigung eines jeden dieser Schritte, mit jeder einzelnen, gut durchdachten und aufeinander abgestimmten Maßnahme verringert die Praxis das individuelle Risiko enorm.“ Auch IT-Sicherheit ist also nichts anderes als eine Frage der Prävention.

Bildquelle: 

stock.adobe – Thaut Images