Ist Ihre Praxis vor Cyberangriffen geschützt?

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) war bereits jede zehnte Arztpraxis von einem IT-Sicherheitsvorfall betroffen. Die große Gefahr: Sensible Patientendaten könnten in falsche Hände geraten. Arztpraxen sollten sich daher an die IT-Sicherheitsrichtlinien der KBV halten, die genau davor schützen sollen. Dabei geht es nicht nur um Angriffe aufgrund von Cyberkriminalität. Auch interne Vorfälle, z. B. durch Unachtsamkeit, können großen Schaden anrichten. 
 

Mangelhafte Umsetzung der Richtlinien

Doch in vielen Praxen wird das Thema vernachlässigt. Das zeigt eine Umfrage des BSI unter 1.600 Ärztinnen und Ärzten. Laut dieser gibt es einen großen Bedarf für die Erhöhung der Sicherheit in Arztpraxen. Die meisten Praxisinhaberinnen und -inhaber seien zwar um die Datensicherung und den Datenschutz der Patientinnen und Patienten bemüht. So hätten die meisten Praxen Vorkehrungen wie regelmäßige Sicherheitskopien, Datenverschlüsselung beim Versenden und die Verwendung von Passwörtern eingerichtet.

Gleichzeitig sind die IT-Sicherheitsrichtlinien und deren Umsetzungsmöglichkeiten nur wenig bekannt. Laut dem Tätigkeitsbericht des BSI setzt derzeit erst ein Drittel der Arztpraxen die Richtlinien vollumfänglich um. Die Gründe: Verständnisprobleme, Zweifel am Nutzen der Richtlinien und die Kosten, die für die IT-Sicherheit anfallen. 
 

Überarbeitung der Richtlinien

Seit Ende 2020 sollen die Richtlinien grundlegende Sicherheitsmaßnahmen für ärztliche und zahnärztliche Praxen garantieren. Bestandteile der Richtlinien sind u. a. das Sicherheitsmanagement, IT-Systeme sowie die Installation und Anwendung von IT-Systemen, Programmen oder Internetanwendungen. Aktuell werden sie überarbeitet, so die Kassenärztliche Bundesvereinigung (KBV). Sie hat nach § 75b SGB V den Auftrag, die Anforderungen der IT-Sicherheit zu regeln. 

Eine eigene Internetseite der Ärztekammer Rheinland-Pfalz informiert Praxen seit mehreren Jahren über das Thema IT-Sicherheit. Ergänzend dazu gibt es eine Reihe mit Praxistipps, in denen die häufigsten Anfragen von Arztpraxen geklärt werden. Auf eine Anfrage der Ärztezeitung teilte die Ärztekammer mit, dass es dabei hauptsächlich um Fragen nach der Verwahrung von Patientenakten, der Löschung von Patientendaten und um den Auskunftsanspruch bei der Behandlung von Minderjährigen gegenüber den (getrennt lebenden) Eltern gehe.

Die KBV stellt eine Checkliste zur Verfügung, mit deren Hilfe Arztpraxen prüfen können, ob sie die Anforderungen der IT-Sicherheitsrichtlinien erfüllen und wo es noch Verbesserungsbedarf gibt. 
 

Cyberversicherung für Arztpraxen?

Um sich gegen Vorfälle in der IT abzusichern, können Arztpraxen eine Cyberversicherung abschließen. Der Virchowbund rät dazu, vor Abschluss erstmal alle bestehenden Versicherungen wie Haftpflicht oder Rechtsschutz zu prüfen. Einige enthalten bereits Leistungen für Cyberrisiken. Ansonsten sollten Praxisinhaberinnen und -inhaber bei der Suche nach einer Cyberversicherung auf Folgendes achten:

• Sind nur externe Angriffe oder auch interne Vorfälle versichert?
• Entspricht die Deckungssumme dem voraussichtlichen Schaden?
• Welche Einschränkungen gibt es bei der Leistungserbringung?
• Gilt der Versicherungsschutz weltweit?
• Sind die Daten und Programme auf mobilen Datenträgern auch eingeschlossen?
• Wie hoch ist die Selbstbeteiligung?
   

Expertinnen und Experten können helfen, das individuelle IT-Risiko einzuschätzen und ein Sicherheitskonzept zu überprüfen, zu ergänzen oder neu zu erstellen. Ein solches Konzept ist häufig auch eine Grundvoraussetzung zum Abschluss einer Cyber-Versicherung. 

MT