IT in der Arztpraxis kann Segen und Fluch gleichermaßen sein, denn Fehler lassen die zahlreichen Vorteile schnell in den Hintergrund rücken und können zu ernsthaften Problemen werden. Besonders die Datensicherheit ist ein heikles Thema, für deren Gewährleistung Praxen verantwortlich sind. Um unbefugten Dritten den Blick auf Patientendaten zu versperren und vor allem Hackern keine Angriffsfläche zu bieten, sollten folgende Fehler bei der IT in der Praxis vermieden werden.
Ungeschützter DSL-Router
Der DSL-Router ist das Herzstück des Internets und IT-Systems einer Praxis. Über diesen erfolgt der Zugang ins Internet. Ist der DSL-Router für Patienten/-innen und andere Praxisbesucher/innen samt Aufdruck mit den erforderlichen Zugangsdaten ersichtlich, kann sich jeder unkompliziert mit einem Smartphone, Tablett oder Laptop innerhalb der Signal-Reichweite einwählen.
Ein ungeschützter DSL-Router bietet Dritten mit illegalen Absichten, sich ins interne Praxisnetz einzuloggen. Hier können sie alle Daten der Patienten/-innen über Abrechnungen bis hin zu vertraulichen Steuerangelegenheiten einsehen. Wer in das interne Netz gelangt, kann es sperren, kopieren, verbreiten, manipulieren und sogar löschen. Die Ambitionen und Ziele von sogenannten Hackern/-innen sind unterschiedlich. Doch gleich, welche dies sind, keine Arztpraxis sollte unautorisierte Personen im Praxisnetz dulden und ihnen den Weg durch einen ungeschützten DSL-Router leicht machen.
Deshalb ist unbedingt der Fehler zu vermeiden, DSL-Router für den „Publikumsverkehr“ in der Praxis sichtbar, mit den Zugangsdaten anheftend, anzubringen. Zusätzlich sind sichere Passwörter zu verwenden, die den Internetzugang unberechtigter Personen verhindern. Des Weiteren sollte die WPS-Tastenfunktion in den Router-Einstellungen deaktiviert werden. Damit ist zu verhindern, dass sich Dritte mittels Knopfdrucks am Router automatisch mit dem Praxisnetz verbinden können.
Remote Desktop Protocol (RDP) für Zugang von außen
Dass sich Ärzte/-innen Arbeit mit nach Hause nehmen oder auf Tagungen, Schulungen oder Weiterbildungen ein Bedarf auf praxisinterne Informationen bestehen kann, kommt häufiger vor. Dazu nutzen Praxisinhaber/innen, Kollegen/-innen oder Mitarbeiter/innen meist den RDP-Dienst von Microsoft. Dieser erlaubt den Fernzugriff auf das IT-System der Praxis und jedem daran gekoppelten digitalen Arbeitsplatz von einem externen Internetzugang. Das kann das Internet im eigenen Zuhause, aber auch öffentliches Internet in einem Café oder Hotel.
Grundsätzlich ist öffentliches WLAN sehr unsicher und sollte deshalb nie in Kombination mit RDP genutzt werden. Auch für den PC im eigenen Zuhause ist die Verwendung von RDP nicht empfehlenswert, weil Hacker/innen ins heimische System eindringen und über RDP den freien Weg ins Praxisnetz erhalten. Die Folgen können immense Schäden für Praxisinhaber/innen, den Praxisalltag und auch für Patienten/-innen bedeuten. Deshalb gilt für bestmögliche Sicherheit: auf den Fernzugriff durch RDP verzichten und stattdessen ein professionelles VPN (Virtuelles Privates Netzwerk) nutzen.
Backup für den Notfall
Sollten Hacker/innen Zugang zum praxisinternen Server erhalten, können sie Daten sperren, ändern oder löschen. Aber auch technische Probleme können den Zugang zum Server verhindern oder zum Verlust von Daten führen. Dann ist ein Backup die einzige Möglichkeit zur Wiederherstellung der Daten. Hier machen zahlreiche Praxisinhaber/innen und Mitarbeiter/innen einige Fehler:
- ungeeignete Speichermedien
- unzureichende/unsichere Verschlüsselung der Backup-Daten
- keine tägliche Backup-Speicherung
- häufige Verwendung von USB-Speichersticks ohne sicheren und für Fremde unzugängliche Aufbewahrungsplatz
- mitnehmen von Speichersticks nach Hause, wo sie häufig abhandenkommen
Mittlerweile sind USB-Speichersticks mit eigener, sicherer Verschlüsselung erhältlich. Der/die IT-Dienstleister/in kann hier beraten. Zudem sollten Backups stets an einem sicheren Ort aufbewahrt werden, der nicht vergessen werden kann und für Unbefugte nicht ohne Weiteres erreichbar ist. Außerdem sollte auf das Mitnehmen von Backups auf kleinen Speichersticks verzichtet werden. Sie gehen zu schnell verloren und können in falsche Hände geraten.
Hacker bereits am Werk
Entweder durch direkten Zugriff auf den Router beziehungsweise Server oder mittels eingebrachter Viren können plötzlich Warnmeldungen im Browser auftauchen, die meist als Servernachricht angezeigt werden, wie beispielsweise „Aufgrund verdächtiger Aktivitäten wurde Windows blockiert“. Ein zusätzlicher Warnton erklingt und eine Schließung des Fensters ist unmöglich. User/innen werden aufgefordert, eine bestimmte Telefonnummer anzurufen und/oder die Windows-Benutzernamen sowie das dazugehörige Passwort einzugeben.
Wer die Telefonnummer anruft, erreicht einen angeblichen technischen Dienst, der über eine Fernwartung die Fehlerbehebung verspricht. Diese soll über die Installation einer Software erfolgen, bei der es sich allerdings um eine Schadsoftware zum Ausspähen von Netzwerken und Daten.
Wird nur nach dem Windows-Benutzernamen und dem Passwort gefragt, ist in der Regel bereits im Hintergrund unbemerkt eine Software integriert worden. Es fehlen den Hackern/-innen lediglich die Zugangsdaten, um an die Daten in Windows heranzukommen.
Deshalb ist es wichtig, das gesamte Team regelmäßig auf mögliche Anzeichen von Hackerangriffen und das richtige Reagieren bei eventuellen IT-Problemen zu schulen.
Fake-Support
Ähnlich wie bei dem deutschlandweit bekannten Enkel-Trick agiert ein Fake-Support. Auch hierbei handelt es sich um einen Telefon-Betrug. Der Anrufer gibt sich als Support-Dienst der Unternehmen Microsoft oder Google aus, der aufgrund des Verdachts eines Virusbefalls des Praxis-PCs eine Fernwartung des Betriebssystems durchzuführen hat. Hier machen Praxisinhaber/innen und -mitarbeiter/innen oftmals den Fehler, darauf hereinzufallen und dem Anrufer dabei unwissentlich behilflich zu sein, an vertrauliche Daten zu gelangen. Zusätzlich bietet ein Fake-Support den Verkauf eines vermeidlichen Schutzprogramms an, das nicht existiert, aber dem/der Betrüger/in Geld bringt.
Um den Fehler zu vermeiden, auf diese Masche hereinzufallen, sollten alle Mitarbeiter/innen der Praxis informiert werden, dass Anrufe von Microsoft und Google niemals getätigt, geschweige denn Fernwartungen angeboten werden. Sollte ein derartiger Anruf eingehen, ist das Risiko deshalb immens hoch, Opfer von Betrügern zu sein, deren Ziel das Stehlen oder Manipulieren von Praxisdaten ist.