Die vierzehn ultimativen Fragen zur IT-Sicherheit von Arztpraxen und anderen medizinischen Einrichtungen
«Der Bundesrat hat einen politisch-strategischen Krisenstab «Datenabfluss» mandatiert. Der departementsübergreifende Krisenstab soll die laufenden Arbeiten zur Bewältigung des Ransomware-Angriffes auf die Firma Xplain, von dem auch Daten aus der Bundesverwaltung betroffen sind, koordinieren und Massnahmen vorschlagen.» Ziel ist es, das digitale Sicherheitsrisiko in der Bundesverwaltung endlich mit allen heute zur Verfügung stehenden Massnahmen zu minimieren. Dieses ungewöhnlich rasche Vorgehen des Bundesrats ist ein Weckruf für alle Unternehmen und Arztpraxen, bei denen das digitale Sicherheitsrisiko noch nicht oberste Priorität hat. Lesen Sie, welche vierzehn Fragen zur IT-Sicherheit jede Arztpraxis und jede medizinische Einrichtung beantworten muss.
ABC Ärzteberatung1.8.20232"
- Wer ist verantwortlich für die IT-Sicherheit? Die Antwort muss in jeder Arztpraxis und jeder medizinischen Einrichtung dieselbe sein: die Chefin oder der Chef. Die Geschäftsleitung muss sich zwar nicht um alle Details der Informationstechnologie (IT) kümmern, aber das Thema Informationssicherheit sollte in den Praxismeetings regelmässig ein Punkt auf der Tagesordnung sein. Es muss klar festgelegt werden, wer im Unternehmen für den Betrieb des Informationssystems und für die Informationssicherheit verantwortlich ist.
- Wie gut kennen Sie Ihre IT-Systeme? Um sich zu schützen, muss jede Arztpraxis und jede medizinische Einrichtung die Hard- und Software sowie die Daten, die Verarbeitungsprozesse und die externen IT-Dienstleistungen, die die Grundlagen ihrer Informatik bilden und zum Fortbestand des Unternehmens beitragen, inventarisieren. Aus dieser Bestandsaufnahme lassen sich dann die notwendigen Schutzmassnahmen ableiten.
- Führen Sie regelmässig eine externe Datensicherung durch? Nur wenn regelmässige vom praxiseigenen IT-System losgelöste umfassende Datensicherungen, Backups, durchgeführt werden, können die betrieblichen Aktivitäten nach einem Vorfall, gerade auch nach einem Ransomware-Angriff, schneller wieder aufgenommen werden.
- Spielen Sie regelmässig Updates ein? Die meisten Angreifer nutzen öffentliche und dokumentierte Schwachstellen, um in Informationssysteme einzudringen. Um Schaden anzurichten, stützen sie sich entweder auf die Nachlässigkeit von Benutzerinnen und Benutzern oder sie nutzen eine Schwachstelle in einem mit dem Internet verbundenen Dienst: E-Mailserver, Firewall, Antivirenprogramme. Deshalb: Es ist wichtig, alle Betriebssysteme und jede Anwendungssoftware automatisch zu aktualisieren, sobald Sicherheitsupdates von den jeweiligen Herstellern zur Verfügung gestellt werden. Zu spät oder nicht installierte Updates sind einer der häufigsten Gründe für erfolgreiche Cyberangriffe.
- Haben Sie Makros deaktiviert? Makros sind kleine Programme, die man beispielsweise in Word-, Excel-, PowerPoint- oder PDF-Dateien einbetten kann. Damit lassen sich Vorgänge automatisieren, was für manche Anwendungen durchaus nützlich sein kann. Leider gilt das aber auch für Angreiferinnen und Angreifer, die ein IT-System unter Kontrolle bringen wollen. Deshalb: Man verbiete, zum Beispiel in den Windows-Gruppenrichtlinien, das Ausführen von Makros generell.
- Verwenden Sie Virenschutzprogramme? Virenschutzprogramme sind sehr nützlich zum Schutz von IT-Ressourcen: Täglich upgedatet, können Virenschutzprogramme in vielen Fällen Schadsoftware abwehren und einen Ransomware-Angriff verhindern. Ergo: Bei allen Systemen müssen stets aktualisierte Virenschutzprogramme installiert sein.
- Haben Sie eine Richtlinie für sichere Passwörter und die Zweifaktorauthentifizierung? Alles wissen es: Viele Angriffe im Internet werden dadurch ermöglicht, dass zu einfache Passwörter oder dieselben Passwörter für verschiedene Dienste verwendet werden. Und gleichwohl wird in diesem Bereich in grossem Stil gesündigt, noch und noch. Jede Arztpraxis und jede medizinische Einrichtung sollte deshalb mittels einer Richtlinie verbindlich festlegen, wie die Passwörter ausgestaltet und genutzt werden sollen. Der systematische Einsatz eines Passwortmanagers kann helfen, starke Passwörter zu generieren und sich diese nicht merken zu müssen. Kommt dazu: Wenn informationstechnologische Dienste eine Zweifaktorauthentifizierung anbieten, muss diese gemäss der Richtlinie unbedingt genutzt werden.
- Haben Sie eine Firewall eingerichtet? Eine lokale Firewall, entweder im Betriebssystem integriert oder als Softwarelösung eines Drittanbieters, sollte auf allen Arbeitsplatzrechnern installiert werden. Es wird empfohlen, für einheitliche Konfigurationen und Filterrichtlinien zu sorgen.
- Wie sichern Sie Ihre Mailaccounts ab? E-Mails sind der häufigste Infektionsvektor am Arbeitsplatzrechner, sei es durch das Öffnen von Anhängen, die schädlichen Code enthalten, oder durch das Klicken auf einen Link, der auf eine schädliche Website umleitet, dem Phishing. Jede Arztpraxis und jede medizinische Einrichtung muss deshalb dem Schutz des E-Mailverkehrs besondere Aufmerksamkeit widmen und im gesamten Unternehmen die «E-Mail-State-of-the-Art-Sicherheitsvorkehren» ohne Wenn und Aber einsetzen. Dafür gibt es bewährte Lösungen, beispielsweise «CleanMail», «SecureMail» oder «IncaMail». Mit IncaMail kann man sogar E-Mails in der Rechtsform des eingeschriebenen Briefes versenden.
- Haben Sie die IT-Risiken im Homeoffice und beim Reisen im Griff? Das sichere Homeoffice und die sichere Nutzung der Praxis-IT bei Hausbesuchen oder beim Reisen sollte man gemeinsam mit seinem IT-Dienstleister so perfekt wie möglich ausgestalten.
- Wissen Sie, wie Sie bei einem erfolgreichen Cyberangriff reagieren müssen? Arztpraxen und andere medizinische Einrichtungen sollten zusammen mit ihrem IT-Dienstleister eine detaillierte Checkliste machen, was bei einem erfolgreichen Cyberangriff von der ersten Sekunde an zu unternehmen ist. Das sollte dann auch so weit wie möglich regelmässig geübt werden.
- Haben Sie eine Cyberversicherung? Trotz aller Vorsichtsmassnahmen zur Verhinderung von Cyberattacken gibt es täglich erfolgreich gehackte Unternehmen. Gelungene Cyberangriffe können die finanzielle Existenz eines Unternehmens plötzlich in Frage stellen. Um den Schaden nach einem erfolgreichen Hackerangriff möglichst tief zu halten, empfiehlt sich der Abschluss einer massgeschneiderten Cyberversicherung. Die Cyberversicherung deckt in der Regel namentlich die Kosten der meist aufwendigen Datenwiederherstellung nach einem Cyberangriff, die Kosten des Arbeitsausfalls wegen gehackter Systeme sowie allfällige Lösegeldforderungen der Cyberkriminellen ab. Die ABC Ärzteberatung hat speziell für medizinische Einrichtungen eine optimale Cyberversicherung mit einer umfassenden Deckung der potenziellen Schäden kreiert. Die Einzelheiten dazu finden Sie hier.
- Schulen Sie Ihre Mitarbeiter für die Abwehr von Cyberangriffen? Die Mitarbeitenden sind ein Schlüsselelement der Cybersicherheit und sollten entsprechend geschult werden.
- Folgen Sie den «Empfehlungen für die Zusammenarbeit mit IT-Providern»? Das Nationale Zentrum für Cybersicherheit NCSC gibt den kleineren Unternehmen wie Arztpraxen und anderen medizinische Einrichtungen «Empfehlungen für die Zusammenarbeit mit IT-Providern». Bei der Zusammenarbeit mit externen IT-Dienstleistern muss dann namentlich darauf geachtet werden, dass die «Allgemeinen Geschäftsbedingungen für IKT-Leistungen der Schweizerischen Informatikkonferenz SIK» eingehalten werden. Zudem müssen die Geheimhaltungspflichten für die Wartung und die Betreuung von IT-Systemen durch externe IT-Dienstleister rechtlich verbindlich geregelt werden. Dabei muss den externen IT-Dienstleistern ein unnötiger Zugang zu besonders schützenswerten Personendaten verwehrt werden. Beim Auslagern der Daten in eine Cloud sollte besonders auf die garantierte Einhaltung des Schweizer Rechts geachtet werden.PS
Quellen für die Fragen:
