Alle Kategorien Menü
%
Zügig per Schnellbestellung einkaufen
Zum Warenkorb
Lesedauer: 4 Min.

Wir beantworten Ihnen folgende Fragen

  • Was passiert bei einem Cyber-Angriff?
  • Welche Schäden und Kosten können durch einen Cyber-Angriff auf Ihre Praxis entstehen?
  • Welche IT-Sicherheitsmaßnahmen sollten Sie für Ihre Arztpraxis ergreifen?
  • Wie ist bei einem Cyber-Angriff vorzugehen?


In diesem Blogbeitrag möchten wir Sie auf ein unbequemes Thema aufmerksam machen: Cyber-Angriffe auf Arztpraxen und Kliniken nehmen aktuell deutlich zu. Häufig handelt es sich dabei um Ransomware-Angriffe, bei denen Hacker Patientendaten verschlüsseln und diese nur gegen Zahlung eines Lösegelds wieder freigeben. Ein solcher Angriff legt den Praxisbetrieb lahm, kostet mehrere tausend Euro und führt zu einem Imageschaden.

Cyber-Angriffe auf Ihre Praxis-EDV lassen sich nicht vollständig verhindern. Sie können aber viele Sicherheitslücken schließen, um Hackern den Zugang zu erschweren. Kommt es dennoch zu einem Vorfall, gilt es, den Schaden zu begrenzen.

Bevor wir uns aber der Minimierung Ihres Cyber-Risikos durch geeignete IT-Sicherheitsmaßnahmen und der Schadensbegrenzung im Ernstfall zuwenden, wollen wir uns kurz anschauen, was bei einem Cyber-Angriff passiert.


Was passiert bei einem Cyber-Angriff auf Arztpraxen?

Stellen wir uns das Worstcase-Szenario vor: Die MFA startet morgens den PC. Dateien und Programme lassen sich nicht öffnen. Sie können Ihre digital vernetzten medizinischen Geräte nicht mehr nutzen, weil Sie die Daten nicht speichern können. Telefonisch sind Sie nicht erreichbar, weil auch das Telefon über den Computer läuft. Ein normaler Praxisbetrieb ist nicht mehr möglich. Auf Ihrem Bildschirm wird eine Lösegeldforderung angezeigt.

Cyber-Angriffe auf Arztpraxen haben unterschiedliche Erscheinungsformen. Auch die Motive der Cyber-Kriminellen sind vielfältig. Das Spektrum reicht von Lösegeldforderungen über den Verkauf gestohlener Patientendaten bis hin zu politischen Interessen wie Spionage oder der Zerstörung kritischer Infrastrukturen.
Dabei muss es sich nicht immer um gezielte Attacken handeln. Häufig wird man auch beiläufig zum Opfer von Angriffen auf andere Ziele. 

Arztpraxen sind oft von Ransomware-Angriffen betroffen, die wie oben beschrieben, ablaufen können. Aber auch Phishing- und DDoS-Angriffe sind mögliche Bedrohungen.

Ransomware-Angriffe
Ransomware ist Schadsoftware, die Programme und Daten auf Ihren Computern verschlüsselt und den Zugriff darauf verhindert. Die Angreifer erpressen Arztpraxen damit, die Daten erst gegen Zahlung eines Lösegelds wieder freizugeben. Ransomware wird aber auch genutzt, um sensible Patientendaten zu stehlen. In diesem Fall drohen die Angreifer damit, die Daten im Darknet weiterzuverkaufen oder zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Sie können sich mit Ransomware infizieren, indem Sie vermeintlich harmlose E-Mail-Anhänge öffnen oder auf schädliche Links klicken.
Phishing-Angriffe
Bei einem Phishing-Angriff versuchen Hacker, an Ihre Passwörter oder andere Daten zu gelangen. Dazu fälschen sie Webseiten von vertrauenswürdigen Anbietern und fordern Sie auf dort Ihre Zugangsdaten einzugeben. Mit den so erlangten Passwörtern kann sich der Angreifer in Ihre Systeme einloggen und z. B. Daten stehlen.
DDoS-Angriffe
Bei Distributed Denial of Service (DDoS)-Angriffen werden Netzwerkressourcen durch massenhafte Anfragen gezielt überlastet und damit unerreichbar gemacht.


Welche Schäden und Kosten können durch einen Cyber-Angriff auf Ihre Praxis entstehen?

Wenn der Praxisbetrieb stillsteht, verdienen Sie kein Geld. Sie müssen aber weiterhin Ihre Fixkosten tragen. Weitere Kosten, die bei einem Cyber-Angriff auf Sie zukommen können, sind:
  • Rechts- und Schadenersatzansprüche von Patienten
  • Honorare für IT-Forensiker
  • Kosten für die Wiederherstellung der Daten
  • Kosten für die Erneuerung Ihres IT-Systems
  • Lösegeld
Darüber hinaus kann es zu immateriellen Schäden kommen. Der Verlust von Patientendaten führt immer zu einem Imageschaden. Ein dauerhafter Verlust von Informationen wie Medikamentenunverträglichkeiten oder Allergien, kann Patienten gefährden. Außerdem beschreiben Betroffene eines Vorfalls ein bleibendes mulmiges Gefühl, ähnlich wie nach einem Einbruch.


Cyber-Risiko minimieren: Welche IT-Sicherheitsmaßnahmen sollten Sie für Ihre Arztpraxis ergreifen?

  • Prüfen Sie, ob Sie den Anforderungen der IT-Sicherheitsrichtlinie der Kassenärztlichen Vereinigung  entsprechen. 
  • Arbeiten Sie mit aktuellen Betriebssystemen und führen Sie bei allen Praxiscomputern zeitnah Updates für Software und Betriebssystem durch.
  • Installieren Sie eine Antivirensoftware. Eine Übersicht finden Sie hier: Die beste Antiviren-Software für Windows 10 fürs Büro 
  • Richten Sie eine Firewall mit einem Proxy ein. Diese analysiert den Datenverkehr und leitet Daten weiter oder blockiert sie.
  • Sichern Sie alle Daten durch Backups z. B. auf einer externen Festplatte.
  • Sensibilisieren Sie Ihr Praxisteam. 60% aller Cyber-Vorfälle sind auf Unwissenheit oder Nachlässigkeit der Mitarbeitenden zurückzuführen (IBM IT-Security-Studie). Deswegen sollte Ihr Praxispersonal die IT-Sicherheitsrisiken kennen und für den richtigen Umgang geschult sein.
  • Nutzen Sie lange und komplexe Passwörter, die aus Buchstaben in Groß- und Kleinschreibung, Ziffern und Sonderzeichen bestehen. Das Bundesamt für Sicherheit in der Informationstechnik hat Empfehlungen für sichere Passwörter veröffentlicht: Sichere Passwörter erstellen 
  • Nehmen Sie eine externe Beratung von IT-Sicherheitsexperten in Anspruch.
  • Schließen Sie eine Cyber-Versicherung ab. Mehr zu diesem Thema lesen Sie hier: Cyberversicherungen in Klinik und Praxis – warum man besser nicht mehr darauf verzichtet 

Schadensbegrenzung mit einem Notfallplan: Wie ist bei einem Cyber-Angriff vorzugehen?

Wie bereits erwähnt, lässt sich ein Cyber-Angriff auf Ihre Praxis nie vollständig ausschließen. Wenn es zu einem Vorfall kommt, sollten Sie einen Notfallplan haben, um den Schaden zu begrenzen.
Darin wird u. a. festgelegt, wie bei einem Vorfall vorzugehen ist, welche Stellen zu informieren sind und wie die Ereignisse dokumentiert werden müssen. Der Notfallplan sollte jedem Praxismitarbeiter bekannt sein, damit im Ernstfall jeder weiß, was zu tun ist. Eine gute kostenfreie Vorlage bietet Ihnen das Marktforschungsunternehmen KonBriefing Research: Vorlage für einen IT-Notfallplan - Word & PDF 


Fazit: Arztpraxen müssen IT-Sicherheit ernst nehmen

IT-Systeme von Arztpraxen werden bei Cyber-Kriminellen immer beliebter. Deshalb sollte das Thema IT-Sicherheit nicht auf die leichte Schulter genommen werden. Überprüfen Sie Ihre Praxis-IT regelmäßig auf Sicherheitslücken. Eine externe Beratung, regelmäßige Updates und die Sensibilisierung des Praxisteams sind entscheidend, um Ihr Cyber-Risiko zu minimieren. Das Restrisiko können Sie durch eine Cyber-Versicherung abdecken. Ein Notfallplan sorgt im Ernstfall für Schadensbegrenzung und eine schnelle Wiederherstellung des normalen Praxisbetriebs.

Weitere Beiträge

Abbrechen