IT-Sicherheit im Gesundheitswesen
10 Tipps für eine sichere IT. So schützen sich Zahnärzt:innen.
Es geht schnell, wenn ein:e Hacker:in bei Ihnen zuschlägt. Ein Klick auf den Anhang einer vermeintlich vertrauenswürdigen E-Mail reicht. Und leider ist der medizinische Bereich mit seinen sensiblen Daten für Cyberkriminelle ein interessantes Ziel. Auch in der Schweiz.
Die Folgen: Es kommt zu Lösegeldforderungen oder Sie haben mit Schadenersatzklagen zu rechnen. Im schlimmsten Fall setzen Sie die Reputation Ihrer Zahnarztpraxis aufs Spiel oder riskieren gar ein Berufsverbot. Dies muss aber nicht sein. Bereits mit wenigen Massnahmen können Sie die Risiken für eine solche Attacke deutlich senken.
Wie das geht, erfahren Sie in diesem Artikel. Wir haben zusammen mit dem Experten Ivano Somaini von Compass Security 10 Tipps für mehr IT-Sicherheit im Gesundheitswesen zusammengetragen.
1. Achtung vor Phishing-Mails
Ein beliebter Weg für Hacker:innen, um an Ihre Daten zu kommen, sind sogenannte Phishing-Mails. Sie enthalten ein Attachment, zum Beispiel ein Word-Dokument mit Makros. Makros sind Funktionen, zum Beispiel innerhalb von Word oder Excel, mit denen mehrere Arbeitsschritte zusammen ausgeführt werden.
Sobald Sie die Makros aktivieren, also den Befehl für eine Reihe von Abläufen freigeben, wird der Schadcode auf Ihrem Computer ausgeführt. Anschliessend werden Ihre Dateien nach und nach verschlüsselt und das System stürzt ab. Irgendwann erhalten Sie eine Meldung, die Ihnen angibt, wie Sie vorgehen müssen, um die Daten wieder zu erhalten.
Öffnen Sie also nie Anhänge von Personen, die Sie nicht kennen. Und führen Sie auf keinen Fall eine Aktion aus, wenn Sie sich nicht ganz sicher sind, dass das Dokument vertrauenswürdig ist. Makros können Sie in Word und Excel beispielsweise standardmässig deaktivieren.
2. Sind Sie wirklich auf der Login-Seite?
Ein zweiter Weg, um in Ihr System einzudringen, geht so: Sie erhalten per E-Mail die Aufforderung, sich über einen Link in Ihr System einzuloggen. Die verlinkte Seite sieht der richtigen Login-Seite sehr ähnlich. Sobald Sie Ihre Zugangsdaten eingeben, werden diese geklaut. Die Angreifer:innen können sich im System mit Ihren Zugangsdaten einloggen und haben Zugriff zu heiklen Daten.
Haben Sie von Ihrem Anbieter eine Mail erhalten mit der Aufforderung, Ihren Benutzernamen und das Passwort einzugeben? Dann sollten Sie skeptisch sein. Prüfen Sie den Absender und die URL der Seite, auf der Sie Ihre Daten eingeben sollen.
3. Sichern Sie unbedingt Ihre Daten
Wenn Sie kein Back-up haben, sind Sie bei einem Hackerangriff wehrlos und praktisch gezwungen, auf die Forderungen einzugehen. Sichern Sie deshalb regelmässig Ihre wichtigen Daten, am besten automatisch. So geht immerhin nichts verloren, wenn Sie angegriffen werden.
4. Aktualisieren Sie Ihr System laufend
Veraltete Systeme sind ein grosser Schwachpunkt. Irgendwann bietet der Hersteller keine Updates mehr an, sodass Hacker:innen ein leichtes Spiel haben. Es ist, wie wenn Sie Ihre Praxistür am Abend nicht abschliessen würden.
5. Der richtige Umgang mit Passwörtern
Eine grosse Recherche in Deutschland ergab, dass viele Praxen sehr schlechte Passwörter wie «Praxis123» wählen. Damit haben Hacker:innen ein leichtes Spiel. Hier einige Tipps für sichere Passwörter:
- Verwenden Sie niemals dasselbe Passwort zweimal.
- Verwenden Sie lange, sichere Passwörter.
- Ein Passwort-Manager hilft Ihnen, überall sichere, individuelle Passwörter zu verwenden.
- Stellen Sie sicher, dass Mitarbeitende keine Zugangsdaten teilen.
- Ändern Sie Ihre Passwörter regelmässig.
- Überprüfen Sie, ob Ihre Daten schon einmal Teil eines Leaks waren. Zum Beispiel hier.
Mit «Praxis123» in die Krankenakte
Ein 5-minütiger Beitrag von Radio SRF zeigt, wie schlecht Patient:innendaten in der Schweiz oft geschützt sind.
6. Aktivieren Sie die Zwei-Faktor-Authentifizierung
Zwei-Faktor-Authentifizierung (oft 2FA genannt) bezeichnet den Schutz eines Benutzerkontos durch zwei verschiedene, unabhängige Komponenten. Dazu gehören unter anderem Passwörter, ein SMS-Code, die Freigabe über PhotoTAN, Bestätigungscodes von Authenticators etc. Dies ist beispielsweise beim E-Banking heute Standard.
Doch auch zahlreiche weitere Websites bieten heute 2FA an. Es lohnt sich überall, diese zusätzliche Sicherheitshürde zu aktivieren. Sie erschwert Hacker:innen den Zugriff massiv.
7. Nutzen Sie einen geschäftlichen Computer nicht privat
Je vielseitiger Sie Ihren Computer einsetzen und je mehr Websites Sie besuchen, desto grösser ist das Risiko, dass Sie Ihre Daten Angreifer:innen aussetzen. Am besten ist es, wenn Sie für Privates und Geschäftliches separate Computer verwenden.
Wenigstens sollten Sie aber verschiedene Benutzerprofile oder Benutzerkonti anlegen, um Privates und Geschäftliches auf demselben Gerät klar zu trennen.
8. Datenschutz ist vielseitig
Risiken lauern nicht nur dort, wo man sie vermutet. Achten Sie auch darauf, dass keine sensitiven Daten im Altpapier landen. Ein Aktenvernichter lohnt sich. Und wenn Sie alte Geräte (Computer, Festplatten) entsorgen, stellen Sie sicher, dass Sie die Daten sauber und endgültig löschen.
9. Legen Sie einen Krisenplan fest
So vorsichtig Sie auch sind: Ganz ausschliessen können Sie eine Cyberattacke nicht. Für den Fall der Fälle ist es sinnvoll, wenn Sie sich einen Plan zurechtlegen. Insbesondere ist es wichtig, dass Sie so schnell wie möglich wieder an Ihre Daten gelangen.
Wenn Ihnen unvorbereitet die Daten gestohlen werden, sind Sie sehr wahrscheinlich überfordert. Eine gute Vorbereitung (Liste aller Schritte, Notfallkontakte) hilft, rasch das Richtige zu tun. Besprechen Sie dies am besten mit Ihrem IT-Partner.
10. Nehmen Sie den Computer sofort vom Netz
Wenn Sie merken, dass Ihr Computer angefangen hat Daten zu verschlüsseln, sollten Sie rasch handeln. Dieser Rechner darf sich nicht mehr im selben Netzwerk befinden wie die anderen. Sonst könnte er sie ebenfalls infizieren.
Melden Sie sich sofort bei Ihrem IT-Partner und verlangen Sie jemanden aus der IT-Forensik oder der Incident Response. Diese Person wird versuchen, den Schaden zu beurteilen, ihn so klein wie möglich zu halten und die Schwachstelle zu eruieren.
Fazit: Es ist keine Hexerei
Hacker:innen sind primär Geschäftsleute. Sie suchen profitable Ziele, die sie ohne viel Aufwand ausbeuten können. Viele Zahnarztpraxen bieten ihnen leider einen ‹idealen› Markt: wertvolle Daten auf veralteter IT-Infrastruktur.
Doch schon einfache Sicherheitsvorkehrungen machen Ihre Praxis für Hacker:innen massiv weniger attraktiv.
Befolgen Sie daher unsere Tipps, sensibilisieren Sie Ihr Team und bleiben Sie wachsam.
Klare Vorteile von Denteo
- Denteo wird von unserem Team laufend upgedatet.
- Denteo wird laufend auf Sicherheitslücken überprüft.
- Denteo wird von externen IT-Security-Firmen getestet.
- Denteo erstellt automatische Back-ups all Ihrer Daten.
- Denteo bietet Ihnen eine Zwei-Faktor-Authentifizierung.
Und sogar wenn Ihre Praxis Ziel eines Hackerangriffs wurde, bietet Denteo einen alles entscheidenden Vorteil. Da unsere Software im Browser läuft, haben Sie von einem anderen Gerät aus weiterhin Zugriff auf Ihre Daten.