IT-Sicherheit in Praxen - Empfehlungen zur - KVWL
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Empfehlungen zur IT-Sicherheit in Praxen
2
Inhalt
5 Vorwort
7 Organisation
8 Telematikinfrastruktur
10 E-Mail
1 1 Internet
12 Praxis-PCs & Server
14 Drucker
15 Telefax
16 Medizingeräte
16 Mobile Geräte
17 Netzwerk
18 Notfallplan
18 Cyberversicherung
34
Sicherheit
geht vor!
Die Digitalisierung gewinnt zunehmend an Bedeutung. Sie spüren dies
nahezu täglich auch in Ihren Praxen. Aktuell geht es darum, die TI zu
nutzen und einzelne Anwendungen mit Leben zu füllen. Dabei legen
Sie, die niedergelassenen Ärztinnen und Ärzte sowie Psychotherapeu
tinnen und Psychotherapeuten, großen Wert auf den Schutz und die
Sicherheit der Patientendaten. Ein A
nspruch, den die KVWL selbst
verständlich teilt, denn Gesundheitsdaten sind ein hohes Gut!
Auch der Gesetzgeber hat hierzu konkrete Anforderungen formuliert.
Voraussichtlich im Sommer dieses Jahres wird die Kassenärztliche
Bundesvereinigung (KBV) eine umfassende Richtlinie zur IT-Sicherheit
herausgeben.
Die vorliegende Broschüre verfolgt einen etwas anderen Ansatz. Sie
ist als konkrete Arbeitshilfe für den Praxisalltag gedacht und listet
verschiedene Anforderungen und Maßnahmen auf, die Sie selbst bzw.
Ihr Praxisteam – gegebenenfalls in Kooperation mit Ihrem System
betreuer – ohne großen Aufwand umsetzen können.
Ein Service Ihrer KVWL zum Schutz sensibler Daten – denn Sicherheit
geht vor!
Thomas Müller, KVWL-Vorstandsmitglied
5Eine Gefährdung der IT-Systeme und Patientendaten in
Arzt- und Psychotherapiepraxen durch Schadsoftware
ist eine ernstzunehmende Bedrohung. Es gilt also beim
Umgang mit den Systemen und insbesondere bei der
Nutzung von Internet-Diensten ausreichend technische
Sicherheitsmaßnahmen umzusetzen. Damit Sie besser
bewerten können, ob Sie und Ihr IT-Dienstleister alle
notwendigen und wichtigen Sicherheitsmaßnahmen
umgesetzt haben, geben wir Ihnen im Folgenden die
KVWL-Empfehlungen zur IT-Sicherheit in Praxen als
Checkliste an die Hand.
Hinweis: Diese Empfehlungen stellen keine abschlie
ßende Darstellung von Maßnahmen für den Einzelfall
dar. Es handelt sich um grundsätzliche und wesentliche
Erkenntnisse, die regelmäßig zu beachten sind. Dies er
setzt nicht die individuelle eigene Analyse sowie Risi
kobewertung, die sinnvollerweise auch einen externen
Systembetreuer mit einschließen sollte.
6Organisation
Informieren Sie sich und Ihr Praxispersonal regelmäßig zu aktuellen
Sicherheitsproblemen und -techniken (z. B. auf www.bsi-fuer-buerger.de).
Sprechen Sie die Themen Sicherheit und Datenschutz regelmäßig in Ihrer
Praxis an, damit Ihnen grundlegende Gefahren wie Verschlüsselungs
trojaner / Ransomware sowie Gegenmaßnahmen dazu bekannt sind
(z. B. dass nicht unbedacht jeder Mailanhang geöffnet wird). Sinnvoller
weise kann Ihr Datenschutzbeauftragter oder Systembetreuer hierbei
unterstützen.
Regeln Sie die Nutzung von privaten Geräten (Smartphones, Tablets) des
Personals zu dienstlichen Zwecken. Wenn Sie es nicht verbieten, stellen
Sie Regeln zur Nutzung auf und sensibilisieren Sie das Personal für einen
sicheren Umgang damit.
Verwenden Sie Passwort-Tresor-Programme, die Ihre Passwörter ver
schlüsselt speichern, statt Ihre Passwörter aufzuschreiben.
Lassen Sie Fernwartungen von externen Technikern nur nach vorheri
ger Absprache zu. Halten Sie die nötigen Passwörter oder Codes unter
Verschluss.
Beachten Sie schon bei der Beschaffung von neuen IT-Geräten deren
Sicherheitsfunktionen.
Lassen Sie niemals Dienstleister (z. B. IT-Support) Tests mit echten
Patientendaten durchführen. Entweder werden diese vorher anonymisiert
oder der Dienstleister muss selber generierte Daten ohne Patientenbezug
verwenden.
7Telematikinfrastruktur
Sollten Sie noch nicht an die Tele Praxis und den schon vorhandenen
matikinfrastruktur (TI) angeschlossen Sicherungsmaßnahmen ab.
sein, achten Sie darauf, dass der Wenn Sie keine Internetdienste
IT-Dienstleister bei der Installation nutzen wollen und nur wenige
ein Installationsprotokoll ausfüllt. Endgeräte in Ihrem Netzwerk ver
Idealerweise nutzt er das Muster-In wenden, empfehlen wir Ihnen, den
stallationsprotokoll „Sichere TI-Instal Konnektor in Reihe zu schalten. Im
lation“ der gematik. Das Protokoll soll Reihenbetrieb befinden sich alle
neben technischen Details auch einen Komponenten im selben Praxisnetz
Vermerk über die Beratung zu sicher werk und erhalten Zugang über den
heitsrelevanten Aspekten enthalten. Konnektor zur TI. Durch die inte
Sind Sie bereits an die TI ange grierte Firewall des Konnektors wird
schlossen, prüfen Sie, ob Ihr Ins das Praxisnetz vor unautorisierten
tallationsprotokoll die Punkte des Zugriffen von außen geschützt. Im
Muster-Installationsprotokolls ent Reihenbetrieb kann optional der
hält. Sprechen Sie Ihren IT-Dienst Sichere Internet Service (SIS) akti
leister an, wenn Sie gravierende viert werden, um im Praxisnetzwerk
Abweichungen feststellen. einen Internetzugang zu ermög
Sie können Ihre Praxis im soge lichen, um beispielsweise Updates
nannten Reihen- oder Parallelbe des Betriebssystems oder des PVS
trieb an die TI anschließen lassen. herunterzuladen. In diesem Fall baut
Beide Installationsvarianten sind der Konnektor einen zweiten siche
von der gematik als Standard-Sze ren Kanal zum SIS des Zugangs-
narien für den sicheren Anschluss dienstbetreibers auf. Detaillierte
an die TI vorgesehen. Welche Va Informationen zum Leistungsange
riante für eine Praxis am besten ist, bot des SIS erhalten Sie von Ihrem
hängt von der IT-Infrastruktur der Zugangsdienstbetreiber.
8Der Reihenbetrieb ermöglicht auch Stellen Sie – aus Haftungsgrün
durch eine Netztrennung einen den – sicher, dass die TI-Geräte
uneingeschränkten Internetzugang (Konnektor, Chipkartenleser etc.)
für Geräte, die direkt an den Inter ordnungsgemäß aufgestellt und be
netrouter angeschlossen sind. Der trieben werden. Hierzu gehört, dass
Konnektor setzt dabei eine Netz der Konnektor an einem zugriffsge
trennung zwischen dem Praxisnetz schützten Ort installiert wird, ange
und den Netz mit direktem Internet botene Sicherheitsupdates für den
zugang durch. Für das Praxisnetz Konnektor und das Kartenterminal
kann der optionale SIS aktiviert stets umgehend eingespielt werden
werden. sowie eine regelmäßige Kontrolle,
In größeren Praxen mit mehreren dass die Geräte unverändert sind
Endgeräten im Netzwerk kann die (Gehäuse, Siegel), und keine un
Parallelschaltung sinnvoll sein. Im erlaubten Geräte angeschlossen
Parallelbetrieb sind alle Kompo wurden. Informieren Sie bei Be
nenten über einen Router mitein schädigungen sofort den Support.
ander verbunden. Der Konnektor
kann hierbei nicht als Firewall nach
außen genutzt werden. Daher müs
sen eigene Sicherheitsmaßnahmen
wie eine eigene Firewall die Praxis-
IT absichern. Achten Sie hierbei auf
eine möglichst genaue Einstellung
der Firewall-Regeln unter den Maß
gaben: „Alles ist verboten, außer
es wird erlaubt“ und „So wenig wie
möglich erlauben“.
9E-Mail
Versenden Sie personenbezogene / Seien Sie kritisch bei E-Mails mit
medizinische Daten verschlüsselt. merkwürdigen Absender- oder Emp
Nutzen Sie hierzu die vom BSI fängeradressen. Löschen Sie solche
(Bundesamt für Sicherheit in der E-Mails besser direkt. Weitere Ver
Informationstechnik) empfohlenen dachtsmomente sind Inhalte, mit
Programme bzw. Standards wie S/ denen man offensichtlich nichts zu
MIME oder GnuPG. Für einzelne tun hat (z. B. Rechnungen von eBay,
Dateien im Mailanhang kann auch wenn man dort gar nicht angemel
die Verschlüsselung von Archiv det ist) oder auch Webadressen
programmen wie WinZIP oder 7zip und Anhänge, die man unbedingt
verwendet werden. anklicken oder öffnen soll. Lassen
Trennen Sie private und dienstliche Sie sich auch nicht von E-Mails, die
Mailkonten, da sonst die Angriffsflä angeblich von Banken, Polizei oder
che vergrößert wird. Behörden kommen, einschüchtern.
Nutzen Sie bestenfalls einen geson Solche Behörden würden wirklich
derten Rechner für den Zugriff auf relevante Schreiben nicht per E-Mail
Mailkonten und nicht den PVS-PC. zustellen.
10Internet
Nutzen Sie eine 2-Faktor-Authenti
sierung wenn Ihre Online-Dienste
(z. B. Banking) diese anbieten.
Hierbei erfolgt die Anmeldung mit
einem Passwort und einem zusätz
lichen Faktor wie eine am Handy
generierte PIN.
Trennen Sie private und dienstliche
Tätigkeiten im Internet (Surfen,
Social Media, Chatten etc.), da sonst
die Angriffsfläche vergrößert wird.
Nutzen Sie einen gesonderten
Rechner für Internetrecherchen
und nicht den PVS-PC.
Setzen Sie Skript– und Werbeblo
cker ein, die im Browser als Erwei
terung installiert werden können.
Hierdurch werden viele unnötige –
und teilweise auch schadhafte –
Inhalte rausgefiltert.
11Praxis-PCs & Server
Führen Sie regelmäßig Updates vom Sie nicht mehr benötigte Kennun
Betriebssystem und Programmen gen für z. B. ausgeschiedene Praxis-
wie Browser und Virenschutz durch. Mitarbeiter.
Nutzen Sie überall, wo es möglich ist, Nutzen Sie komplexe Passwörter
die automatische Update-Funktion. mit Groß- und Kleinschreibung,
Schalten Sie bei Windows die Viren Sonderzeichen und Ziffern mit
schutzfunktion an und halten Sie einer Mindestlänge von 8 Zeichen.
die Erkennungsdateien aktuell. Vermeiden Sie Wörter, die man im
Alternativ installieren Sie ein gängi Wörterbuch findet.
ges Virenschutzprogramm namhaf Vergeben Sie unterschiedliche
ter Hersteller. Eine Übersicht finden Passwörter für die Anmeldung am
Sie unter www.av-test.org Betriebssystem und an Ihrem Pra
Schalten Sie die in Windows ent xisverwaltungssystem (PVS).
haltene Firewallfunktion ein. Oft Richten Sie zum Schutz vor
bringen heute die Sicherheits Daten-Diebstahl eine Festplatten
programme namhafter Hersteller verschlüsselung ein. Wenn hierbei
neben dem Virenschutzprogramm – abhängig vom Betriebssystem und
auch eine Firewallfunktion mit, die verwendeter Software – Passwörter
verwendet werden kann. nötig sind, verwenden Sie hierfür
Arbeiten Sie nicht dauerhaft mit komplexe Passwörter und hinterle
Administratorrechten (erweiter gen diese an sicheren Stellen (z. B.
te Systemrechte, die nur für die Passwort-Tresor-Programme).
Administration nötig sind). Legen Schalten Sie auf den PCs den Bild
Sie für die tägliche Arbeit ein schirmschoner bzw. die Bildschirm
Standard-Benutzerkonto an. sperre ein, so dass der Rechner bei
Kontrollieren Sie die angelegten Abwesenheit (z. B. 5 oder 10 Minu
Kennungen regelmäßig und löschen ten) automatisch gesperrt wird.
12Installieren Sie keine dienstlich un Wiederherstellung von Daten mit
nötigen Programme (Spiele, Chats, den Sicherungen regelmäßig.
Video etc.) auf den Praxisrechnern. Vernichten Sie alte Festplatten mit
Verwenden Sie niemals fremde Patientendaten physisch oder über
USB-Sticks (z. B. geschenkte oder schreiben Sie diese mehrfach mit
gefundene), deren Herkunft Sie Zufallsdaten; hierzu verwenden Sie
nicht genau kennen. Verzichten Sie vom BSI (Bundesamt für Sicherheit
möglichst auch auf die Verwendung in der Informationstechnik) empfoh
privater Sticks, beschaffen Sie lene Programme bzw. bei neueren
für dienstliche Zwecke lieber Festplatten des SSD-Typs die Pro
gesonderte. gramme des jeweiligen Herstellers.
Erstellen Sie regelmäßig Daten Alternativ beauftragen Sie einen
sicherungen der Daten auf dem Dienstleister mit der Entsorgung/
Server. Sollten Sie wesentliche Zerstörung der Platten.
praxisrelevante Daten auch auf den Schalten Sie Dateifreigaben – ins
PCs speichern, sollten auch hier besondere auf den Servern – soweit
Datensicherungen erfolgen. Stellen wie möglich ab.
Sie ein Konzept mit täglichen, wö Stellen Sie den Server zutritts
chentlichen und monatlichen Teil- geschützt auf (z. B. abgeschlosse
und Voll-Sicherungen auf. ner Raum oder abgeschlossener
Nutzen Sie für die Datensicherung Schrank).
externe Festplatten, die besten Löschen Sie regelmäßig den
falls auch nach der Sicherung vom „Papierkorb“ im System (meist
Rechner getrennt werden, so dass über einen Rechtsklick auswählbar),
die gesicherten Daten nicht für damit sensible Dokumente wirklich
Schadsoftware erreichbar sind. gelöscht werden. Denn in
Lagern Sie die Datensicherung den meisten Systemen werden
an einem geschützten Ort gegen Dokumente beim Löschen erst
Diebstahl und Brand etc. Erstellen nur in einen „Papierkorb“ ver
Sie wenn möglich verschlüsselte schoben, sind dort aber weiterhin
Datensicherungen. Testen Sie die zugreifbar.
13Drucker
Stellen Sie Drucker so auf, dass
keine Praxisfremden, z. B. Patienten,
Zugang dazu bekommen können.
Vernichten Sie Ausdrucke mit
personenbezogenen Daten, die
nicht mehr benötigt werden, daten
schutzkonform, z. B. per Aktenver
nichter (DIN 66399, Cross-Cut).
Oder beauftragen Sie einen Dienst
leister damit, sogenannte Daten
schutz-Tonnen aufzustellen.
Nehmen Sie gedruckte Dokumente
umgehend aus dem Drucker, damit
sie nicht längere Zeit offen herum
liegen.
14Telefax
Stellen Sie Faxgeräte so auf, dass Löschen Sie vor Verkauf, Weiter
keine Praxisfremden, z. B. Patienten, gabe oder Aussortierung alle im
Zugang dazu bekommen können. Gerät gespeicherten Daten wie z. B.
Verwenden Sie gespeicherte Emp Textinhalte, Verbindungsdaten und
fängernummern, um Tippfehler Kurzwahlziele.
beim Eingeben der Nummern zu Verzichten Sie auf das Versenden
vermeiden. von sehr sensiblen Daten per Tele
Schalten Sie die Faxgeräte außer fax, da dieses bekannte Schwächen
halb der Dienstzeiten aus, damit aufweist (insbesondere die fehlende
niemand Zugriff auf zwischenzeit Verschlüsselung). Versuchen Sie,
lich eingegangene Faxe im Gerät zukünftig sicherere Kommunika
hat. tionsformen wie den eArztbrief
Vereinbaren Sie bei sensiblen Daten hierfür zu verwenden.
einen Sendezeitpunkt mit dem
Empfänger, da Sie als Absender
keine Kontrolle über das Faxgerät
auf Empfangsseite haben.
Nutzen Sie alle von den Faxgeräten
angebotenen Sicherheitsmaßnah
men (Anzeige der störungsfreien
Übertragung, gesicherte Zwischen
speicherung, Abruf nach Passwort,
Sperrung der Fernwartungsmöglich
keit etc.).
15Medizingeräte
Stellen Sie sicher, dass Medizingeräte, die an das IT-Netzwerk an
geschlossen werden, immer eine Authentisierung (z. B. mit Pass
wort) vorsehen, damit niemand im Netzwerk an medizinische Daten
gelangen kann.
Hängen Sie Medizingeräte niemals in öffentliche Netzwerkbereiche,
da diese dann ggf. vom Internet zugänglich sein könnten.
Schalten Sie wenn möglich die Verschlüsselung der gespeicherten
medizinischen Daten ein, damit niemand durch den Diebstahl des
Gerätes oder seiner Speicher an Patientendaten gelangen kann.
Mobile Geräte
Schalten Sie den Passwortschutz des Gerätes ein, ggf. kombiniert
mit Fingerabdruck oder Gesichtserkennung.
Führen Sie regelmäßig Updates vom Betriebssystem und von den
installierten Apps durch, um Schwachstellen zu schließen.
Speichern Sie keine unverschlüsselten Patientendaten auf Smart
phones oder Tablets.
Schalten Sie zum Schutz der eigenen Daten, Bilder, Kontakte oder
Kalender insbesondere bei Android-Geräten auch die Verschlüsse
lung des Speichers ein.
16Netzwerk
Trennen Sie bei größeren Praxis-Netzwerken die sensiblen Bereiche
(PVS-Server mit Patientendaten) von unkritischen bzw. öffentlichen
Bereichen (Webserver) durch eine Firewall.
Schalten Sie die WLAN-Funktion aus, wenn sie nicht zwingend be
nötigt wird.
Schalten Sie die Verschlüsselung (mindestens WPA2) an, falls
WLAN für interne Zwecke der Praxis nötig ist. Nutzen Sie lange und
sichere Passwörter zur Einwahl. Schalten Sie den Netzwerknamen
(SSID) auf unsichtbar. Legen Sie die zugelassenen Geräte im Router
fest (MAC-Filter).
Nutzen Sie die Gast-WLAN-Funktionen des Routers, falls Sie Ihren
Patienten ein WLAN im Wartezimmer bereitstellen möchten.
Hierdurch wird Ihr internes WLAN vom Gast-WLAN getrennt.
Schalten Sie die im DSL-Router enthaltene Firewallfunktion ein.
Sperren Sie dabei alle Netzverbindungen von außen
17Notfall- Cyberver-
plan sicherung
Erstellen Sie einen Notfallplan, um Eine Cyberversicherung kann im
die Abläufe und Zuständigkeiten Schadenfall (IT-Ausfall, Schadsoft
während der Bewältigung des Not ware, Bedienungsfehler, vorsätz
falles zu regeln und die Beteiligten liche Manipulation etc.) die Kosten
in die Lage zu versetzen, wieder für Sachverständige, externe
den Normalbetrieb herzustellen. Berater, Krisenmanager, Juristen,
Bereiten Sie sich auf mögliche Sze Presse-/Medienexperten, Call-Cen
narien wie einen Rechner-Ausfall ter erstatten, Schadenersatz leisten
oder Schadsoftware vor. oder auch den Ertragsausfall nach
Stellen Sie Möglichkeiten eines einer Betriebsunterbrechung kom
Notbetriebs auf, z. B. für den Ausfall pensieren.
von PCs, den Ausfall des PVS, den Meist stellt die Versicherung An
Ausfall des Internets oder einen sprechpartner zur Verfügung, die
Stromausfall. Halten Sie z. B. einen im Notfall schnell Hilfe leisten kön
Ersatzrechner bereit. nen. Hierzu zählen Service-Hotlines,
Überlegen Sie, wen Sie im jeweili Sicherheits-Experten und IT-Foren
gen Notfall informieren müssen. Das siker.
können je nach Art des Notfalls die Die einzelnen genauen Pflichten
Polizei, die Datenschutzbehörden, und Leistungen sind vor Vertrags
die Versicherungen oder Patienten abschluss mit der Versicherung zu
sein. klären. Da es bei den Verträgen
und Rahmenbedingungen durchaus
Unterschiede geben kann, sollten
Sie mehrere Angebote einholen und
vergleichen.
18Weitere Informationsquellen
https://www.kbv.de/html/datensicherheit.php
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/
empfehlungen_node.html
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/
ITGrundschutzKompendium/bausteine/bausteine_node.html
https://fachportal.gematik.de/erste-schritte/anschluss-
medizinischer-einrichtungen/
https://www.datenschutzkonferenz-online.de/kurzpapiere.html
https://www.bundesaerztekammer.de/aerzte/telematiktelemedizin/
sicherheit-von-gesundheitsdaten/
Stand: Januar 2020 / Bildnachweis: Seite 14 © niki2die4_AdobeStock; Seite 19 © i380632883310_AdobeStock
Ihr Ansp
rechpart
zum The ner
ma IT-Sic
in Praxe h erheit
n ist das
Service-C
enter de
Tel. 0231/ r KVWL:
94 32 10
00
Impressum
Kassenärztliche Vereinigung
Westfalen-Lippe
Robert-Schimrigk-Straße 4— 6
44141 Dortmund
Geschäftsbereich Kommunikation
E-Mail: redaktion@kvwl.de
Tel. 0231 / 94 32 0
www.kvwl.de
19www.kvwl.de
Sie können auch lesen
