Cybercrime

Diese Regeln müssen Sie beachten!

Die Begriffe „Datenschutz“ und „Cyber-Kriminalität“ bestimmen aktuell die Medienlandschaft. Passend dazu bilanziert das Bundeskriminalamt (BKA) im Bereich Cybercrime eine – wie in kaum einem anderen Deliktbereich – kontinuierlich steigende Entwicklung. Längst sind es nicht mehr Einzeltäter, die im Keller eine Schadsoftware entwickeln, mittlerweile sind professionelle Gruppen mit Geschäftsleitungen und Kundenservice aktiv.

krass99 - Fotolia.com

Wenn die Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018 in der Europäischen Union anwendbar wird, heißt das nicht, dass das deutsche Bundesdatenschutzgesetz (BDSG) gegenstandslos wird. Vielmehr bildet die DSGVO den erweiterten Rahmen, der in den einzelnen Mitgliedsstaaten gewissermaßen individualisiert werden kann. In vielen Punkten entspricht das BDSG bereits den neuen EU-Richtlinien und wird ebenfalls zum 25. Mai angepasst. 

Ein Zeichen dafür, dass wir in Deutschland gut aufgestellt sind? Nein! Umfragen – unter anderem von Bitkom Research – zeigen, dass sich lediglich 15 bis 20 Prozent aller deutschen Unternehmen sicher sind, dass sie den Datenschutzanforderungen umfänglich entsprechen. Als eines der größten Probleme wird dabei der Mangel an praktischen Umsetzungshilfen genannt. 

Verantwortlich ist immer der Praxisinhaber

Die Bundeszahnärztekammer (BZÄK) hat ein knapp vierseitiges Merkblatt veröffentlicht, das die Kernpunkte des neuen Gesetzespapiers gelungen zusammenfasst. Wichtig ist, dass sich auch der Praxisinhaber mit dem Thema intensiv befasst, denn die Delegation an vermeintlich Wissende – dazu gehören auch die IT-Systembetreuer – verlagert nicht die Verantwortung, die sich aus den gesetzlichen Entwicklungen und Anpassungen für die alltägliche Arbeit in der Zahnarztpraxis ergibt. Dies gilt insbesondere für die zusätzlichen Regelungen, die im Rahmen der ärztlichen Schweigepflicht, des Patientenschutzes oder der Mitarbeiterschulung zu beachten sind.

Ich bin niedergelassener Zahnarzt. Ende vergangenen Jahres ist mir der Super-GAU passiert: Mein Praxiscomputer wurde gehackt, alle Patienten- und Abrechnungsdaten waren mit einem Mal weg. Ich wurde erpresst.

mehr

Echter Experte oder doch Trittbrettfahrer?

Ganz offensichtlich wurde mit dem Thema Datenschutz in den vergangenen Jahren fahrlässig umgegangen. Erst die neue Gesetzeslage – die Anzahl der Neuerungen ist überschaubar – und insbesondere die drastisch gestiegenen Höchststrafen bei Verstößen sorgen für Aufmerksamkeit. Waren es gemäß § 43 Abs. 2-3 BDSG Geldbußen bis zu 300.000 Euro, sieht die DSGVO nun Strafen in Höhe von bis zu 20 Millionen Euro vor. Eine Steigerung um das 66,7-Fache! 

Neben den persönlichen Daten Ihrer Patienten und Mitarbeiter schützen Sie durch eine korrekte Anwendung des Datenschutzgesetzes vor allem auch Ihre Praxis und Ihre berufliche und private Existenz. Das sind Werte, bei denen es keine zwei Meinungen geben sollte.

„Bei all meinen Beratungsmandaten habe ich nirgends eine dramatischere Bedrohung der wirtschaftlichen Existenz gesehen", sagt zm-Kolumnist Christian Henrici. Cybercrime ist nicht nur eine theoretische Gefahr!

mehr

Die Grundlage einer hohen Datensicherheit bildet im heutigen Zeitalter der nach wie vor rasant fortschreitenden Digitalisierung eine den aktuellen Standards entsprechende technische Infrastruktur (TI). Da die wenigsten Zahnarztpraxen über eigene Techniker oder Datenschutzexperten verfügen, sind sie auf die Hilfe sogenannter Experten angewiesen. Hier überrascht die hohe Anzahl von Trittbrettfahrern, die sich die Angst der Unternehmen vor Cyber-Angriffen mit unprofessionellen Beratungs- und Sicherheitsangeboten zunutze machen.

Das sagt der Experte

 

„Da draußen herrscht Krieg!“

Schützen kann sich der Zahnarzt nur durch ein Maßnahmenpaket. Dabei darf kein einzelner Punkt vernachlässigt werden. 

  • Firewall/UTM

Eine Kontrolle der Inhalte des Datenverkehrs durch ein sogenanntes Unified Threat Management, kurz UTM, erhöht die Sicherheit enorm. Während eine Firewall den Datenverkehr zwischen einem Rechner und dem Internet beobachtet und unaufgefordert von außen eingehende Daten abblockt, schaut ein UTM in alle Datenpakete hinein. Damit ist das UTM in der Lage, sowohl eingehende E-Mails wie auch besuchte Webseiten direkt zu untersuchen und sowohl gefährliche (Viren, Schadsoftware, …) als auch unerwünschte Inhalte (Spam, bestimmte Dateitypen wie .exe, .com, …) herauszufiltern. Die Sinnhaftigkeit solcher Maßnahmen erkennt man schon daran, dass es zum Beispiel bei einem Unternehmensnetzwerk wie dem der KZBV täglich mehrere zehntausend Angriffe gibt. Es klingt dramatisch: Aber da draußen herrscht Krieg. 

Die Gegenwehr – ein UTM inklusive Firewall und Servicepaket – kostet nicht die Welt, etwa 1 bis 2 Euro am Tag fallen für eine Praxis an. Ein UTM schützt das interne Netz effektiv. Aufbau und Konfiguration dieser Infrastruktur sollten jedoch nur versierte Zahnärzte selbst vornehmen und ansonsten an einer EDV-Unternehmen abgeben.

  • Sensibilität

Es ist wichtig, dass das komplette Praxisteam die Notwendigkeit der IT-Sicherheitsmaßnahmen versteht. Denn Passwörter wie 123456 und das gedankenlose Öffnen von unaufgefordert erhaltenen E-Mails oder darin enthaltenen Dateianhängen können beinahe existenzgefährdende Folgen haben. Hier gilt: Unaufgefordert erhaltene E-Mails von unbekannten Absendern sollten unverzüglich gelöscht werden. Denn häufig enthalten beispielsweise Office-Dokumente (.doc, .docx) sogenannte Makros, die nach dem Öffnen des Dokuments auf dem Client-Computer selbsttätig aus dem Internet Schadsoftware herunterladen können, weil Firewalls in der Regel eine derartige Datenanfrage nicht blockieren. Da die Ausführung von Makros auf dem Client-Computer in der Regel nicht deaktiviert ist, stellen solche Dateianhänge eine latente Gefahr dar.

  • Schulung 

Da im Notfall – das Netzwerk der Praxis wurde trotz allen Vorsichts- und Schutzmaßnahmen Opfer eines Verschlüsselungsangriffs – lediglich eine funktionierende intakte Datensicherung die letzte Möglichkeit zur Rettung der Daten darstellt, kommt dem Thema Datensicherung eine entscheidende Rolle zu. So sollten die Personen, die für die Datensicherung verantwortlich sind, ausreichend geschult sein. Gerne wird hier der externe EDV-Dienstleister auch die Schulungsmaßnahme übernehmen.

  • Back-up-Strategie

Eine stichprobenartige Überprüfung der gesicherten Daten auf Lesbarkeit und Vollständigkeit ist ebenso eine Selbstverständlichkeit wie die Frage der Aufbewahrung der Datensicherung. Diese sollte auf keinen Fall in der Praxis aufbewahrt werden, andernfalls ist sie nach einem Brand, einem Wasserschaden oder nach einem Einbruch nicht mehr nutzbar oder nicht mehr vorhanden.

Nach erfolgter Sicherung, zum Beispiel auf einer externen Festplatte, sollte diese auf jeden Fall räumlich getrennt von der Praxis aufbewahrt werden. Es ist daher notwendig, mindestens zwei Sätze (Festplatten) zu nutzen. Während die eine angeschlossen ist, um als Sicherungsmedium zu dienen, wird die zweite räumlich getrennt aufbewahrt. Tag für Tag werden dann die beiden Sätze gewechselt.

  • Virenschutz

Ein guter, regelmäßig aktualisierter Virenschutz ist unerlässlich. Am besten wird er sowohl an zentraler Stelle auf dem Server als auch auf allen Client-Rechnern installiert. Es ist regelmäßig zu überprüfen, ob die Virendefinitionen auf dem neuesten Stand sind. In der Regel sind die Virendefinitionen tagesaktuell und erfolgen gegebenenfalls auch mehrfach täglich.

Wenn die Betroffenen einen Angriff bemerken, ist es für Schutzmaßnahmen in der Regel zu spät. Dann gilt die Devise: „Schnell alle Stecker raus!“ Alle Netzwerkverbindungen zwischen Router und Server sowie zwischen Server und Client-Rechnern müssen unverzüglich getrennt und die Rechner heruntergefahren werden. Anschließend sollte das EDV-Partnerunternehmen kontaktiert werden.

Siegfried Reiser ist Leiter der Abteilung EDV-Inhouse/Kommunikationssysteme der Kassenzahnärztlichen Bundesvereinigung.

 

VIDEO: Christian Henrici im Interview mit EDV-Fachmann Tobias Thiede

 

 

 

 

Grundsätze beim Gebrauch der Praxis-EDV

Auch wenn die Anforderungen der elektronischen Datenverarbeitung immer komplexer werden und die Masse online verfügbarer Daten weiter zunehmen wird, gibt es einige grundlegende Regeln, um den alltäglichen Gebrauch der Praxis-EDV sicher zu gestalten. In § 630f BGB ist klar definiert, dass der Behandelnde verpflichtet ist, eine Patientenakte mit sämtlichen wesentlichen Maßnahmen derzeitiger und künftiger Behandlungen inklusive der Ergebnisse zu führen. Wie aber kann der Inhalt geschützt werden? Die BZÄK hat in Zusammenarbeit mit der Kassenzahnärztlichen Bundesvereinigung (KZBV) bereits 2015 einen Leitfaden dazu veröffentlicht, in dem die wichtigsten Grundsätze aufgeführt sind:

  • Nutzung und Qualität von Kennwörtern

Wie im privaten Umfeld sollte man sensible Daten nicht mit dem Passwort „1234“ schützen. Als sinnvoll und schwer zu knacken erweisen sich Kombinationen aus kurzen Sätzen gepaart mit Sonderzeichen (Beispiel: Dies/iSt&EIN_Test).

  • Virenschutz

Auch wenn der Rechner nicht mit dem Internet verbunden ist, bildet ein zuverlässiger Virenschutz die Basis sicheren Arbeitens. Der Datenaustausch mittels USB-Stick oder CD sollte idealerweise auf Rechner außerhalb des Praxissystems beschränkt werden. 

  • Administrationsrechte

Jeder Mitarbeiter sollte nur so viele Rechte erhalten, wie er für seine Arbeit benötigt. Damit schützen Sie einerseits die sensible Datenstruktur der Praxis, andererseits entlasten Sie den Mitarbeiter. Ein Rechte- und Rollenkonzept gibt Aufschluss über die entsprechenden Erfordernisse. 

  • Datensicherung (Back-ups)

Auch wenn die Cloud viele Vorteile mit sich bringt, gibt die Praxis ihre Datensicherung damit in einen Bereich, der nicht der eigenen Kontrolle unterliegt. Regelmäßige, dezentral gelagerte, physische Back-ups sind noch immer die sicherste Variante. Ursprünglich dienten die physischen Back-ups auf Kassette dem „BDÜ“-Schutz – der Absicherung gegenüber Brand, Diebstahl und Überschwemmung. Dazu empfehlen sich tägliche Sicherungen auf unterschiedlichen Datenträgern – für jeden Arbeitstag einen. In der heutigen Zeit ist der Faktor Cyber nicht länger außer Acht zu lassen und sollte als vierter Bestandteil ergänzt werden. 

  • regelmäßige Sicherheits- und Programm-updates

Aktuelle Betriebssysteme sind die zwingende Voraussetzung sicheren Arbeitens. Darüber hinaus muss jede Software regelmäßig aktualisiert werden. Programme, die Sicherheitslücken aufweisen oder nicht zwangsweise benötigt werden, sollten deinstalliert werden. 

  • Schulung der Mitarbeiter (Awareness) 

Das Bewusstsein der Mitarbeiter für die heikle Thematik personenbezogener Daten ist von immenser Bedeutung. Immer wieder kommt es durch Unwissenheit zu Verstößen. Datenschutzbeauftragte sind in Deutschland gemäß Art. 37 DSGVO i.V.m. § 38 BDSG (neu) zwar erst ab einer Mitarbeiteranzahl von zehn Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, vorgesehen, aber auch für kleinere Praxen sehr sinnvoll. Lassen es die eigenen Kapazitäten nicht zu, sich intensiv mit dem Thema zu beschäftigen, kann die Praxis auf externe Dienstleister zurückgreifen und sogar einen externen Datenschutzbeauftragten im Rahmen eines Dienstleistungsvertrags bestimmen (Art. 37 Abs. 6 DSGVO). 

Die Bestellung eines Datenschutzbeauftragten allein reicht jedoch nicht aus, er muss sich auch seiner Aufgaben und Pflichten zur Erfüllung der Datenschutzrichtlinien bewusst sein. Dazu gehört unter anderem auch die Aufklärung der Mitarbeiter, die sich gern hinter ihrer Unwissenheit verstecken. Selbige schützt bekanntlich nicht vor der Strafe – außerdem haftet die Praxis für das Fehlverhalten der Mitarbeiter. 

 

VIDEO: Christian Henrici im Interview mit Zahnarzt Dr. Michael Kann

 

 

 

IT-Sicherheitsbeauftragter Tobias Thiede

Hacking as a service

Seit ungefähr 2,5 Jahren ist Krypto-Erpressung in Deutschland ein Thema – nicht nur für große Firmen, sondern auch für kleinere Unternehmen wie Zahnarztpraxen. Das liegt auch daran, dass all unsere Geräte – Smartphones, Kreditkarten, MRT – mittlerweile miteinander vernetzt sind. 

Diese kriminelle Szene tut nichts anderes, als mit gekaperten Daten Geld zu erpressen. Das BKA verzeichnet eine kontinuierliche Steigerung im Bereich Cybercrime. Die Dunkelziffer ist hoch, aber Experten gehen davon aus, dass der weltweite Umsatz in diesem Markt höher ist als im Drogenhandel. Ungefähr 70 Prozent der Schadsoftware – Stand Mitte 2017 – dient der Datenverschlüsselung. Daten, das sind Unternehmensdaten, Patientendaten, aber auch Urlaubsfotos. Dabei wird nicht wie früher ein Gebiet abgegrast, sondern flächendeckend attackiert.

Das Raffinierteste derzeit? Zielgerichtete Bewerbungen. Dabei suchen die Hacker bei der Arbeitsagentur nach offenen Jobs und schicken der Firma daraufhin eine Bewerbung auf die real ausgeschriebene Stelle. Im Anhang befinden sich Zeugnisse in einer Excel-Datei, die im Hintergrund schadhafte Makros enthält. Im schlimmsten Fall wird der Rechner der Personalabteilung verschlüsselt. Die Frage, wer welche Anhänge öffnen darf, sollte daher auch in der Zahnarztpraxis beantwortet werden.

Viele Attacken laufen über extern erreichbare Dienste wie zum Beispiel den VPN-Tunnel, der in der Zahnarztpraxis klassischerweise für externe Abrechnungskräfte eingerichtet wird. Ist ein VPN-Zugang nicht über Zertifikate oder andere Methoden, sondern lediglich durch Benutzernamen oder Kennwort gesichert, dann sind diese Zugänge gefährdet. 

In den häufigsten Fällen finden die Verbrecher das Kennwort über automatische Scans heraus, die ihnen den Weg zu einem offenen VPN-Zugang weisen. Diese sogenannten Brut-Force-Angriffe verschicken tausende Anfragen mit zig Benutzername-Passwort-Kombinationen. Wer keine automatische Sperre nach dreimaliger Falscheingabe eingerichtet hat, eröffnet dem Angreifer somit unendlich viele Möglichkeiten, so lange herumzuprobieren, bis er das System geknackt hat. Man muss sich den Vorgang als automatisierten Prozess vorstellen: Wie ein Wörterbuch geht das Programm eine Liste mit Millionen von Kombinationen durch. Das heißt, es handelt sich nicht um zielgerichtete Attacken, sondern um Massenangriffe. In 95 Prozent der Fälle ist auch die Zahnarztpraxis Opfer eines solchen Massenangriffs. 

Zielgerichtete Attacken – Datenspionage – richten sich indessen eher gegen große Unternehmen oder politische Strukturen wie den Bundestag. Hacking ist heute ein Service: Im Regelfall bieten Hacker im Darknet die Schadsoftware plus gestohlene E-Mail-Adressen im Paket an. Der Angreifer muss also gar kein spezielles Know-how mehr haben.

Erfahrungsgemäß wird man mit einem Pop-up-Fenster darauf hingewiesen, dass man angegriffen wurde („Wir haben Ihre Daten verschlüsselt. Überweisen Sie xx Bitcoins auf folgendes Bitcoin-Konto!“). 

Die alten Karteikarten sind hinterher oft der einzige Weg, um auch ohne Zugriffsmöglichkeit auf die digitalen Daten der Informationspflicht nachzukommen und Patienten und betroffene Dritte über den Diebstahl zu benachrichtigen. 

Doch wie kann der Praxischef präventiv tätig werden? Hier sollte der Fokus immer auf dem Betriebssystem beziehungsweise dem Rechner liegen. Die Zahnarztsoftware läuft ja nur auf einem Computer. Sie ist ein Programm. Da die meisten flächendeckenden Angriffe sich aber nicht direkt gegen die PVS wenden, sondern – wie etwa bei Kryptotrojanern – darauf abzielen, alles zu verschlüsseln, sollte man in erster Linie das Betriebssystem selbst schützen – über Updates, der Trennung vom Internet, einem Installations- und Ausführungsverbot bestimmter Programme (Wird Office – denken Sie an die Makros! – in der Praxis wirklich auf jedem Computer benötigt?) und Dokumente. 

Ein zweiter Faktor – wie ein Zahlencode oder ein Zertifikat – erhöht zudem im Vergleich zur einfachen Authentifizierung mit Benutzername und Kennwort die Sicherheit und schützt doppelt vor einem Angriff auf einen VPN-Dienst. 

Am Ende sollten Sie sich immer vor Augen führen: Verantwortlich für die Absicherung des IT-Systems und damit haftbar ist der Betreiber, also der Praxisbesitzer– und das sind Sie!

Tobias Thiede IT-Sicherheitsbeauftragter bei der BFS health finance in Dortmund

Klassiker für Verstöße: der Offline-Bereich

Auch wenn im Zusammenhang mit dem Datenschutz vermehrt die Begriffe EDV und Cyber-Kriminalität fallen, sind es doch immer wieder die klassischen „Offline-Bereiche“, in denen es in Zahnarztpraxen regelmäßig zu Datenschutzverstößen kommt: Mitarbeiter verwenden schwache Passwörter, rufen gefährliche Webseiten auf oder öffnen infizierte E-Mail-Anhänge. Regelmäßige Schulungen und aktive Trainings helfen der Praxis, die Mitarbeiter fit zu machen. 

  • die ärztliche Schweigepflicht

Datenschutz heißt, den Einzelnen vor Beeinträchtigungen in seinem Persönlichkeitsrecht zu schützen. Die ärztliche Schweigepflicht ist eine Konkretisierung dieser Maßgabe durch das in § 203 StGB definierte Patientengeheimnis. Mitarbeiter sind auf das Datengeheimnis zu verpflichten und sollten eine entsprechende Erklärung unterzeichnen. 

  • Erstkontakt an der Rezeption (Datenerfassung)

Insbesondere bei Neupatienten sind in der Regel in größerem Umfang Daten für die korrekte Erfassung und Behandlung vonnöten. Diese sollten in einem persönlichen Gespräch in einem geschlossenen Raum oder schriftlich über den Anamnesebogen eingeholt werden. Offene Gespräche an der Rezeption sind nicht angemessen. 

  • das Behandlungszimmer

Nicht gesicherte PCs sind der einfachste Einstieg in das sensible System der Zahnarztpraxis. Mit wenigen Klicks kann ein destruktiv gesinnter „Patient“, der im Zimmer allein gelassen wurde, die komplette Praxis stilllegen. Ebenso dürfen analoge Daten (KVs, HKPs) nicht ungesichert greifbar sein. 

  • Kontakt über Telefon, E-Mail und Fax

Auch wenn durch die Abfrage von Wohnort oder Geburtsdatum eine scheinbare Sicherheit erzeugt werden kann, sollten über Terminvereinbarungen und -verschiebungen hinaus keine telefonischen Auskünfte erteilt werden. Gleiches gilt für E-Mails und Faxe.

  • externe Dritte

Werden Patientendaten an externe Dienstleister ausgelagert, ist stets ein Vertrag zur Auftragsdatenvereinbarung gemäß Art. 28 DSGVO zu schließen. Ein Vertrag zur Auftragsdatenverarbeitung muss durch die Einwilligung des Patienten genehmigt werden. 

Thies Harbeck ist Geschäftsführer der OPTI Zahnarztberatung GmbH. | Privat

Insbesondere im Hinblick auf die verschärfte gesetzliche (strafrechtliche) Grundlage ab Mai sollte sich spätestens jetzt aber jeder Praxisinhaber die Frage stellen, ob er und seine Praxis gut aufgestellt sind. Wer diese Frage nicht beantworten kann, sollte auf die Hilfe externer Berater zurückgreifen, die die Praxis beispielsweise im Rahmen einer simulierten Datenschutzbegehung prüft. Ebenso wie das Qualitätsmanagement muss auch Datenschutz als fester Prozess in der Praxis integriert werden.

Spätestens seit den Enthüllungen von Edward Snowden ist klar, dass Daten im Netz ein Sicherheitsrisiko darstellen. Hier finden Sie Tipps zur digitalen Selbstverteidigung.

32420913236343323634432363453241727 3241728 3236348
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare