Am Donnerstagmorgen um 7.58 Uhr fährt ZMF Sabrina R. wie an jedem Tag den Computer an der Rezeption hoch. Doch diesmal erscheint nicht der gewohnte Desktop, sondern ein schwarzer Bildschirm mit einem weißen Totenkopf und dem Text: „Wir haben Ihr System verschlüsselt. Überweisen Sie innerhalb von 24 h einen halben Bitcoin (1 Bitcoin entspricht derzeit ca. 52.000 Euro) an uns. Nach 48 h verdoppelt sich der Preis. Ansonsten sind Ihre Daten verloren.“
Sabrina R. rennt panisch zu ihrem Chef und dieser erkennt sofort, dass alle Computer und der Server lahmgelegt sind. Ihm wird es heiß und kalt. Er telefoniert umgehend mit seinem ITler und brüllt in den Hörer: „Hilfe, meine Praxis wurde gehackt. Sie müssen sofort kommen und uns helfen!“
Wie konnte das passieren? Sind jetzt alle Patientendaten weg? Für immer? Oder wie bekomme ich meine Daten zurück? Soll ich lieber zahlen oder nicht? – Tausend Gedanken rasen dem Praxisinhaber durch den Kopf. Wenn das Unglück erst eingetreten ist, kommen die Selbstvorwürfe von allein. Hätte ich bloß gestern noch eine Datensicherung auf Band gemacht. Warum haben mein Team und ich nicht doch noch an einer IT-Sicherheitsschulung teilgenommen? Waren wir zu leichtsinnig? Und wer ist eigentlich schuld an dem Dilemma? Fragen über Fragen quälen den Praxisinhaber und die verantwortliche ZMF.
Die Praxis steht auf jeden Fall erst einmal still. Ohne Computer geht gar nichts!
Dieses Szenario kann jede Praxis treffen, und die Wahrscheinlichkeit dafür steigt stetig an. Immer häufiger werden Firmen und Praxen von Hackerangriffen bedroht. Betrügerische Mails suchen täglich nach neuen Opfern, und die Spamfilter schaffen es längst nicht, alle Fakes herauszufiltern.
TI-Anbindung bringt alle Praxen ins Internet
Fangen wir von vorne an: Die Zeiten, in denen die Praxisinhaber ihre IT selbst zusammenstellen und betreuen konnten, sind längst vorbei. Mit der rasanten Digitalisierung der Zahnarztpraxen wurde die IT immer komplexer und komplizierter. Während früher lediglich an der Rezeption ein Computer stand, stehen mittlerweile in jedem Behandlungszimmer ein oder mehrere Computer, und der digitale Austausch zwischen Laboren, Praxen, Krankenkassen, Patienten, Steuerberater, Kassenzahnärztlicher Vereinigung und vielen anderen machen das ganze System deutlich empfindlicher gegenüber Hackerangriffen. Nicht zuletzt die Einführung der Telematikinfrastruktur (TI) bereitet den Computerspezialisten zusätzlich noch Kopfschmerzen in Bezug auf die Umsetzung der IT-Sicherheit, denn damit sind alle Praxen zwingend mit dem Internet verbunden.
Das Inkrafttreten der Europäische Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 macht es erforderlich, dass empfindliche Gesundheitsdaten in einem gesteigerten Maße geschützt werden. Dazu müssen einerseits die technischen und organisatorischen Maßnahmen in der Praxis immer auf dem aktuellen Stand der Technik und andererseits die verantwortlichen Mitarbeiter ausreichend geschult und sensibilisiert sein. Sicherheitsmaßnahmen wie Datenverschlüsselungen und Datensicherungen sollten in der heutigen Zeit für jede Praxis eine Selbstverständlichkeit darstellen.
Datenpannen unverzüglich melden
Zudem muss jede Datenpanne unverzüglich, möglichst innerhalb von 72 Stunden, an die zuständige Aufsichtsbehörde des jeweiligen Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) gemeldet werden (Artikel 33 Absatz 1 DSGVO). Wenn bei der Datenpanne zusätzlich patientenbezogene Gesundheitsdaten betroffen sind, muss auch die betroffene Person selbst benachrichtigt werden (Artikel 34 DS-GVO). Schwierig wird dies, wenn alle Daten durch die Hacker so verschlüsselt sind, dass der Praxisinhaber keinen Zugriff mehr darauf hat.
Hohe Bußgelder und ein irreparabler Imageverlust für die Praxis können den Zahnarzt schwer belasten. Übrigens richtet sich die Höhe des Bußgeldes auch danach, ob Nachlässigkeiten in den IT-Systemen vorlagen oder Fehler hätten vermieden werden können.
Seit April 2021 gilt für alle Kassenpraxen wegen der zunehmenden Digitalisierung und der Anbindung an die Telematikinfrastruktur verpflichtend auch die sogenannte IT-Sicherheitsrichtlinie, die auf der Internetseite der Kassenzahnärztlichen Bundesvereinigung mit weiterführenden Informationen abgerufen werden kann.
Aus diesem Grund erscheinen die folgenden Vorsichtsmaßnahmen empfehlenswert:
- Lassen Sie rechtzeitig einen Sicherheitscheck Ihrer Praxis durch einen zertifizierten IT-Sicherheitsexperten durchführen.
- Setzen Sie die empfohlenen technischen Sicherheitsmaßnahmen baldmöglichst und vollständig um.
- Lassen Sie sich und Ihre Mitarbeiterinnen und Mitarbeiter durch einen spezialisierten ITler schulen und wiederholen Sie diese Schulung in regelmäßigen Abständen (am besten halbjährlich).
- Bestellen Sie einen (externen) Datenschutzbeauftragten für Ihre Praxis (auch wenn Sie ihn für Ihre Praxisgröße laut DSGVO vielleicht nicht zwingend brauchen) und erkundigen Sie sich gegebenenfalls nach einer Versicherung für Cyberkriminalität.
Wir haben in unserem Kollegenkreis die uns bekanntgewordenen Fälle von betroffenen Praxen und auch Unternehmen zum Anlass genommen, unsere Praxis-IT unter die Lupe zu nehmen. Die Hiss IT GmbH aus Baden-Baden hat uns hierzu in einer Fortbildung informiert. Wichtig sind die regelmäßigen Mitarbeiterschulungen – die Hiss IT bietet zum Beispiel praktische Online-Schulungen zur IT-Sicherheit für die Mitarbeiterteams in der Praxis an (der nächste Termin ist am 3. Dezember 2021).
Im oben geschilderten Fall konnten alle Daten durch eine Sicherheitskopie durch den ITler gerettet werden und es wurden keine Erpressungsgelder bezahlt. Das Bestellbuch war allerdings nicht mehr aufzurufen und das daraus resultierende Chaos in der Praxis kann sich sicherlich jeder vorstellen. „Reingekommen“ waren die Hacker über eine gefälschte E-Mail, die eine Mitarbeiterin dazu verleitete, an einem Praxiscomputer die der E-Mail angehängte virusinfizierte Datei zu öffnen.
Am Ende mussten alle Computer und der Server neu installiert werden und die Praxis konnte erst nach etwa vier Wochen wieder normal weitergeführt werden. Die Unsicherheit, ob die Patientendaten und Praxisinterna bereits jetzt oder in Zukunft im Internet kursieren, bleibt erhalten.
Die dringende Empfehlung lautet daher: Nehmen Sie Ihre IT-Sicherheit ernst und warten Sie nicht, bis es zu spät ist.
Dr. Claudia Obijou-Kohlhas, FZÄ für Kieferorthopädie, Baden-Baden