+49 221 650 881 - 40 info@mc-netzwerke.de
Lesedauer 3 Minuten

Laut BSI-Studie fühlen sich viele Ärzte und Co. gut vorbereitet – setzen die Maßnahmen aber nicht um

Eine Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigt jetzt auf, dass sich viele Ärzte, Psychotherapeuten und Medizinische Versorgungszentren (MVZ) gut im Bereich der IT-Sicherheit informiert fühlen. In der Studie sagen rund 80 % der befragten Ärzte, dass Sie vor Cyberangriffen sicher seien.

Blog-TIPP: Cyberversicherungen: Was müssen kleine Unternehmen und Steuerkanzleien nachweisen?

Umsetzung noch nicht ausreichend

Dabei zeigt es sich, dass zwei von drei Praxen die Maßnahmen aber nicht ausreichend umsetzen. Die IT-Sicherheit ist für Ärzte, Psychotherapeuten und Medizinische Versorgungszentren (MVZ) von entscheidender Bedeutung, da sie vertrauliche Patientendaten schützt.

Im Gesundheitswesen sind sensible Informationen wie Diagnosen, Behandlungsverläufe und persönliche Daten besonders schützenswert. Ein Datenleck kann nicht nur rechtliche Konsequenzen haben, sondern auch das Ansehen und die Existenz einer medizinischen Einrichtung gefährden.

SiRiPrax 2024 – BSI – Was sagt die Studie?

Die Anzahl der Cyberangriffe auf medizinische Einrichtungen steigt. Ein zentraler Knotenpunkt, so die Studie, ist dabei die Telematikinfrastruktur welches das Kommunikationsnetzwerk im deutschen Gesundheitssystem ist. Sie wird regelmäßig kontrolliert und orientiert sich an strengen Vorgaben. Die Sicherheitslage dieser Infrastruktur wird hingegen kaum erfasst. Aus diesem Grund hat das BSI zwei Studien ins Leben gerufen, welche dieses auswerten sollen.

Die erste Studie, SiRiPrax, zeigt, dass nur ein Drittel der 1.600 befragten Arztpraxen die IT-Sicherheitsrichtlinie vollständig umsetzt. Rund zehn Prozent der Praxen berichteten von IT-Sicherheitsvorfällen. Es wurde festgestellt, dass es an Verständlichkeit und konkreten Hilfestellungen für die Umsetzung der Richtlinie mangelt und dass die Benennung eines Informationssicherheitsbeauftragten positive Effekte auf die IT-Sicherheitslage hat.

Blog-Tipp: Bundesamt für Verfassungsschutz stellt Bitkom-Studie vor

CyberPraxMed vom BSI – Ergebnisse

Die zweite Studie, CyberPraxMed, untersucht Cyberrisikofaktoren in 16 Arztpraxen und identifiziert gravierende Sicherheitsmängel wie unzureichenden Schutz vor Schadsoftware und fehlende Back-ups. Sämtliche Praxen hatten ihre sensiblen Patientendaten nicht durch Festplattenverschlüsselung geschützt.

Ziel der Studien ist es, den Praxen umfassende Berichte mit festgestellten Schwachstellen, Risikobewertungen und pragmatischen Handlungsempfehlungen zur Verfügung zu stellen. BSI-Präsidentin Claudia Plattner betont, dass viele der identifizierten Sicherheitsmängel schnell behoben werden können und ein gemeinsames Vorgehen aller Akteure nötig ist, um die IT-Sicherheit in Arztpraxen zu verbessern und die Digitalisierung des Gesundheitswesens voranzutreiben.

Blog-Tipp: Risiken und Schutzmaßnahmen für mobile Geschäftsgeräte

Schutz vor Cyberangriffen im Gesundheitswesen

Um die IT im Gesundheitssystem ausreichend umzusetzen, sollten die Verantwortlichen wichtige Schritte einleiten. Wir möchten Ihnen im Folgenden einen kleinen Leitfaden vorstellen. Erste Priorität sollte der Schutz vor Cyberangriffen haben, insbesondere vor Ransomware, die die Verfügbarkeit der IT-Systeme einschränken kann. Durch effektive IT-Sicherheitsmaßnahmen lassen sich solche Bedrohungen minieren und das Risiko eines Datenverlustes oder einer Datenmanipulation verringern. Hierbei sind folgende Aspekte besonders wichtig:

  • Sensibilisierung und Schulung des Personals: Alle Mitarbeiter sollten regelmäßig in den Grundlagen der IT-Sicherheit geschult werden. Ein gut informiertes Team ist entscheidend, um Phishing-Angriffe oder andere Formen von Sozialengineering zu erkennen und zu vermeiden.
  • Sichere Datenübertragung: Die Implementierung von sicheren Kommunikationskanälen, wie verschlüsselten E-Mails oder VPN-Verbindungen, ist unerlässlich, damit Patientendaten während der Übertragung geschützt bleiben.
  • Regelmäßige Software-Updates: Veraltete Systeme sind anfällig für Angriffe. Es ist wichtig, Software und Betriebssysteme regelmäßig zu aktualisieren, um Sicherheitslücken zu schließen und die neuesten Sicherheitsfunktionen zu nutzen.
  • Zugriffsmanagement: Der Zugang zu sensiblen Daten sollte strikt geregelt und auf ein Minimum beschränkt werden. Nur befugte Mitarbeiter sollten Zugriff auf Patienteninformationen haben, und dieser sollte regelmäßig überprüft werden.
  • Backup-Lösungen: Eine zuverlässige Backup-Strategie stellt sicher, dass im Falle eines Datenverlustes schnell wieder auf aktuelle Daten zugegriffen werden kann. Diese Backups sollten außerhalb des Hauptsystems gelagert und ebenfalls abgesichert sein.
  • IT-Sicherheitsrichtlinien und -standards: Die Entwicklung und Einhaltung umfassender IT-Sicherheitsrichtlinien ist unerlässlich. Diese sollten die Maßnahmen zur Datensicherheit, Notfallpläne und Verantwortlichkeiten im Falle von Sicherheitsvorfällen klar festlegen.

Blog-Tipp: Der Mensch als Sicherheitsrisiko in der IT-Sicherheit

Gesamtinfrastruktur der IT-Sicherheit beachten

Durch die Berücksichtigung dieser Aspekte können Ärzte, Psychotherapeuten und MVZ ein hohes Maß an IT-Sicherheit gewährleisten und somit die Vertraulichkeit und Integrität der Patientendaten schützen. Dies trägt nicht nur zur Einhaltung gesetzlicher Vorgaben, wie der Datenschutz-Grundverordnung (DS-GVO), bei, sondern sichert auch das Vertrauen der Patienten in die jeweiligen Praxisangebote.

Die Studie zeigt, dass sowohl die Umsetzung der IT-Sicherheitsrichtlinie, die Implementierung der Telematikinfrastruktur als auch deren Betrachtung in der Gesamtinfrastruktur unerlässliche Bausteine für die Cybersicherheit im medizinischen Bereich sind.

Das Team von MC-Netzwerke betreut Steuerberater, Unternehmen und andere Organisationen bundesweit im Bereich Digitalisierung und unterstützt diese auch im Bereich IT-Sicherheit und Cloud-Lösungen. Nehmen Sie einfach mit uns Kontakt auf und wir erstellen Ihnen gerne ein praxisnahes und individuelles Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Sollten Sie sich unsicher sein, ob Ihre IT-Lösung Schwachstellen hat, nehmen Sie gerne mit uns Kontakt auf.