Checkliste zur IT-Sicherheit in Heilpraktiker-Praxen
Die Verarbeitung von Gesundheitsdaten unterliegt der DSGVO, die effektive Maßnahmen zur IT-Sicherheit fordert. Dabei gilt es einiges zu beachten, um sich vor Schadensersatzansprüchen von Patienten zu schützen. Unten stehend findest Du eine Checkliste, die die wichtigsten Maßnahmen auflistet. Dabei ist wichtig, dass die hier genannten Maßnahmen der Veranschaulichung dienen und Beispiele darstellen und keinesfalls vollständig sind. Eine individuelle IT-Beratung kann selbstverständlich nicht ersetzt werden.
Updates / Aktuelle Software
Halte alle Software immer aktuell, um mögliche Schwachstellen zu reduzieren und nutze keine veralteten Geräte, für die keine Updates mehr möglich sind.
Information
Informiere dich regelmäßig über aktuelle Sicherheitswarnungen, z.B. auf der Website des Bundesamts für Sicherheit in der Informationstechnik – BSI (https://www.bsi.bund.de/DE/Home/home_node.html)
Virenschutz & Firewall
Nutze unbedingt einen wirksamen Anti-Malware-Schutz (Antivirenprogramm) und eine Firewall. Die Antivirensignaturen müssen dabei immer aktuell sein. Mit einem Trojaner können Kriminelle deine Daten verschlüsseln, um Lösegeld zu erpressen. Dies gefährdet deine Patientendokumentation und den gesamten Datenbestand. Eine Verschlüsselung der Patientendaten hat gravierende Konsequenzen. Deshalb sind vorbeugende Maßnahmen zum Schutz gegen Verschlüsselungstrojaner zwingend erforderlich. Stelle sicher, dass Ransomsoftware deine Backups/Datensicherungen nicht verschlüsseln kann. Öffne keine Dateien (insbesondere E-Mail-Dateianhänge) unbekannter Herkunft ohne vorherige Sicherheitsprüfung. Stelle dein System so ein, dass Programme oder Dateien nicht automatisch ausgeführt werden.
Passwortschutz & Zwei-Faktor-Authentifizierung
Schütze deine Benutzerkonten durch geeignete (starke) Passwörter. Dies ist insbesondere wichtig, um den Login in ein Programm oder eine Datenverarbeitung in der Cloud wirksam abzusichern. Die Passwörter sind vertraulich zu halten und dürfen nicht weitergegeben werden. Aufgrund der Vielzahl von Passwörtern kann die Nutzung eines geeigneten Passwortmanagers sinnvoll sein. Ein Speichern von Passwörtern im Browser ist hingegen nicht ratsam.
Der unbefugte Zugriff auf sensible (Gesundheits-/Patienten-)Daten ist durch weitere Maßnahmen zu verhindern. Hierzu bietet sich die Zwei-Faktor-Authentifizierung an. Neben dem Passwort ist hier für den Zugriff auf Patientendaten ein weiterer Zugangsfaktor erforderlich. Der Anbieter sendet dir beim Anmeldeprozess nach Eingabe des Passwortes einen Bestätigungscode an ein weiteres von dir hinterlegtes Gerät zu (z.B. an dein Smartphone). Der zweite Faktor kann zudem die Verwendung eines USB-Sticks (Fido-Sticks) oder einer Chipkarte sein. Bei einem Login in eine cloudbasierte Patientenverwaltungssoftware sollte z.B. eine solche Zwei-Faktor-Authentifizierung genutzt werden.
Vorsicht bei E-Mails
Wenn du dir E-Mails im „Nur-Text-Format“ anzeigen lässt, sind manipulierte Links besser zu erkennen. Verwende ein Anti-Virenprogramm, um E-Mail-Anhänge vor dem Öffnen zu prüfen. Blockiere gefährliche Anhänge (wie z. B. .exe, .doc, .cmd). Folge keinen unbekannten Links in nicht vertrauenswürdigen E-Mails. Sofern dein Provider dies anbietet, kannst du dort eine serverseitige Anti-Viren-Prüfung veranlassen.
Backups / Datensicherung
Trotz aller Bemühungen ist ein Datenverlust niemals komplett auszuschließen. Deshalb ist eine Datensicherung ein unverzichtbarer Bestandteil der IT-Sicherheit. Mit regemäßigen und vollständigen Sicherungen kannst du einen Datenverlust kompensieren. Schütze deine Datensicherungen davor, dass Trojaner auf diese übergreifen können. Überprüfe regemäßig, ob sämtliche wichtigen Daten im Backup vorhanden sind und die Wiederherstellung möglich wäre.
Verschlüsselung
Sofern du Daten übermittelst, nutze eine Transportverschlüsselung (z. B. TLS) nach Stand der Technik bzw. eine Ende-zu-Ende-Verschlüsselung, sofern Gesundheitsdaten übertragen werden.
Bei mobilen Rechnern und beruflich genutzten Smartphones sollte eine Verschlüsselung der Daten gewährleistet sein. Der Zugriff muss z.B. durch PIN-Eingabe geschützt sein.
Nutzung vom WLAN nur mit starken Passwörtern. Das WLAN sollte nach aktuellem Standard verschlüsselt sein (WPA3). Nutze kein öffentliches / fremdes WLAN, sofern du Patientendaten bearbeitest.
Fernwartung
Beaufsichtige die Fernwartungsarbeiten immer selbst. Beauftrage nur sorgfältig ausgewählte Firmen nach Abschluss eines Vertrages, der auch eine Vertraulichkeitsregelung umfasst. Suche dir präventiv ein Unternehmen, welches dich im Falle eines IT-Notfalls rasch unterstützen kann und notiere dir dessen Telefonnummer auf einem Blatt Papier.
Trennung von Arbeit und Privat
Nutze deinen Arbeitsrechner und dein berufliches Smartphone möglichst ausschließlich zu beruflichen Zwecken. So verhinderst du, dass durch private Nutzung (Daten, Surfen etc.) ein Schaden entstehen kann. Problematisch wäre auch ein Zugriff von privat genutzten Apps (wie z.B. WhatsApp) auf die Telefonnummern deiner Patienten.
Sonstige Maßnahmen
Nicht mehr erforderliche Dateien müssen wirksam gelöscht werden. Hierauf ist auch bei der Entsorgung von Altgeräten zu achten.
Sperre den Bildschirm deines Rechners, wenn dieser unbeaufsichtigt ist.
Schule deine Mitarbeiter, die auf die EDV zugreifen regelmäßig über aktuelle und häufige Cyberangriffe sowie Sicherheitsrisiken.
Quelle: Freie Heilpraktiker e.V.