FAQ – Häufig gestellte Fragen



Wie mache ich meine Praxis fit gegenüber IT Ausfällen und moderner Cyberkriminalität?

(Stand: 9/2020)

Unser Systemhaus beschäftigt sich seit dem Jahr 2002 fast ausschließlich mit IT-Systemen in Arztpraxen und MVZs. Dabei steht die Sicherheit der Daten einer Praxis bei unserer täglichen Arbeit immer im Mittelpunkt. Wir stellen in den letzten Jahren jedoch vermehrt Angriffe von Cyberkriminellen fest, die sich gezielt gegen Praxen und MVZs richten. Sicher werden Sie über den ein oder anderen größeren Vorfall auch schon selbst in der Presse gelesen haben. Jedoch sind nicht nur die dicken Fische betroffen. Auch im kleineren Maßstab, beispielsweise bei einem „normalen“ Hausarzt, kommt es immer häufiger zu erstaunlich gezielten Angriffen, bei denen ein großer Schaden entstehen kann. Dabei hat man es als Betroffener nicht nur mit finanziellen Risiken, wie Lösegeldforderungen und teurer Wiederherstellung des Systems zu tun. Man sollte auch Punkte wie Ausfall des Praxisbetriebs, sowie Vertrauensverlust der Patienten und Kollegen bei Datendiebstal und möglichen Folgen in Bezug auf Bußgelder des Bayerischen Landesamtes für Datenschutzaufsicht nicht aus den Augen verlieren.


Warum greifen Kriminelle ausgerechnet das Gesundheitswesen an?

Hier können wir nur Vermutungen anstellen, gehen jedoch davon aus, dass in dem Sektor viel Geld zu verdienen ist. Denn Arztpraxen betreiben in der Regel einen weitaus geringeren Aufwand im Bereich IT-Sicherheit, als dies Wirtschaftsunternehmen, Mittelständler und größere Kliniken tun. Ärzte haben auch meist nicht die Möglichkeit hausinterne Spezialisten für IT-Sicherheit zu beschäftigen. Und als One-Man-Show neben den täglichen medizinischen und verwaltungstechnischen Aufgaben noch auf dem neuesten Stand der Cybersecurity zu sein, gelingt wohl nur den Wenigsten. In der Folge sind Arztpraxen nicht nur finanziell lohnende Opfer. Sie sind zudem noch mit wenig Aufwand angreifbar.


Oftmals auch hausgemachte Probleme

Doch nicht alle Probleme werden von externen Akteuren ausgelöst. Oft wird auch am falschen Ende bei Hard- und Software gespart. Plötzliche und unerwartete Systemausfälle sind dabei die Folge, die die Beteiligten Zeit und Nerven kosten. Und dabei ist dies alles nicht unabwendbar. Denn es gibt vernünftig konzeptionierte, bewährte Systeme, welche weder das Budget einer Praxis sprengen, noch einen außergewöhnlich hohen Wartungsaufwand nach sich ziehen. Dass es oftmals in den Praxen anders aussieht, haben wir so manches Mal schmerzlich erleben müssen. Aus dem Grund haben wir eine FAQ für alle Interessenten und Kunden entwickelt. Hierbei fassen wir kurz zusammen, welche Fragestellungen sich für einen IT affinen Arzt ergeben, und wie wir darauf mit unserer Berufserfahrung antworten.

Infrastruktur

Eine USV ist doch nur ein weiteres Gerät, welches regelmäßig Wartung verlangt. Daher lasse ich das weg. Passt doch, oder?
Stimmt aus unserer Sicht nicht ganz. Denn gute USVs überbrücken nicht nur bei Stromausfall den Zeitraum bis der Strom wieder da ist. Und verhindern somit einen Serverabsturz und im schlechtesten Fall eine defekte Datenbank. Sie filtern auch zuverlässig Stromspitzen aus dem Netz. Daher kann eine USV einen Überspannungsschaden verhindern. Da dies auch immer mehr Versicherungen so sehen, empfehlen wir den Einsatz dieser Geräte. Allein schon um im Falle einer Überspannung nicht auf dem Schaden sitzen zu bleiben.
Ich benötige keine richtige Netzwerkverkabelung. Daheim habe ich Powerline Adapter zum surfen installiert. Reicht doch in meiner Praxis auch, oder?
Mit so einer Infrastruktur sind Probleme und wiederkehrende Abstürze vorprogrammiert. Denn es reichen schon leichte Stromschwankungen für Paket-Drops aus. Bzw. die Geräte „hängen“ sich auch oft auf. Wir raten dringend, eine Verkabelung nach dem Ethernetstandard CAT 6 oder 7 mit sternförmiger Zusammenführung aller Leitungen und zentralem Gigabit Switch einzuführen. Vergessen Sie dabei eine saubere Erdung nicht.
Mein Server sieht schon etwas staubig aus. Aber er tut brav seinen Dienst. Müsste ich ihn mal wieder aussaugen?
Um mit einer möglichst niedrigen Temperatur arbeiten zu können, sind viele PCs und Server mit Lüftern ausgestattet. Diese saugen kühle Umgebungsluft an und blasen diese auf thermokritische Komponenten. Durch einen ungünstigen Standort werden oftmals auch Staub und Flusen mit angesaugt und verstopfen dann Kühlrippen und Lüfter. Werden diese nicht regelmäßig z.B. mit Druckluft gereinigt, so kann das Gerät den frühen Hitzetod sterben. Meist in einer Situation, in der das Wartezimmer voll ist und man ganz andere Dinge im Kopf hat. Vorsicht beim Aussaugen: Dabei werden gerne empfindliche Komponenten im Inneren beschädigt, bzw. durch Kurzschluss außer Gefecht gesetzt!
Mein Server steht an der Anmeldung unter dem Schreibtisch der MFAs. Okay, dort sieht es zwar etwas unordentlich aus, weil alle Kabel und sonstigen Kasterl auf einem Haufen liegen, aber das passt schon, hm?
Kabelberge und unordentlich installierte EDV sieht nicht nur unprofessionell aus, sie kann auch zu immer wiederkehrenden Problemen führen. Beispielsweise weil mit dem Fuß gegengestoßen wird, Kabel abknicken, sich lösen, usw. Die Fehlersuche wird zudem erschwert und verlängert sich, wenn erst im Kabelchaos das Problem eingegrenzt werden muss. Wir empfehlen unter der Anmeldung überhaupt keine „zentrale“ EDV zu installieren, sondern diese in einem kühlen, trockenen Technikraum, bzw. abschließbaren Serverschrank sauber unterzubringen. Damit erfüllen Sie auch die Anforderungen der KV und der Datenschutzbehörden.
Mein Server steht in einer kleinen EDV-Box, eingebaut direkt neben der Spülmaschine in der Küche. Schaut aufgeräumt aus – kann da was passieren?
Thema hohe Temperatur und Luftfeuchtigkeit. In unserem fiktiven Beispiel wirkt sich beides negativ auf die Lebenserwartung des Servers aus. Denn Server sind auf eine mittl. Temperatur von ca. 18 bis 20 Grad und niedrige Luftfeuchte hin konstruiert. Weichen die Umgebungsdaten davon stark ab, so ist mit einem frühzeitigen und unerwarteten Ausfall zu rechnen.
Warum haben manche Praxen einen Serverschrank im Einsatz? Reicht doch, wenn der zentrale Rechner irgendwo in der Praxis steht.
Als Eigentümer einer Praxis haben Sie hohe Anforderungen an den Schutz Ihrer Patientendaten zu erfüllen. Die Einhaltung der Standards wird auch in unregelmäßigen Stichproben durch die Behörden geprüft, wie wir schon miterleben durften. Durch eine saubere Installation aller zentralen Geräte (auch TI) in einem belüfteten und verschließbaren Serverschrank erfüllen Sie nicht nur die DSGVO- und KV-Vorgaben. Ihre wertvolle Hardware wird staubfrei und kühl betrieben – das garantiert eine lange Lebenserwartung.  

Hardware / Betriebssysteme

Auch am Server läuft bei mir Windows 10. Warum sollte ich ein Serverbetriebssystem kaufen? Ist doch unverschämt teuer.
Es ist richtig, dass ein Serverbetriebssystem etwas teurer ist, als ein Client Betriebssystem. Doch im Gegenzug bekommt man auch viel mehr. So richten wir beispielsweise in Arztpraxen immer eine sog. Windows Domäne mit einer Benutzersteuerung ein. Damit sind wir in der Lage per Single-Sign-On und mehreren Benutzern, zu regeln, wer was darf. Man kann damit Datei-Ordner und Mailzugänge bestimmten Personen(kreisen) zugänglich machen und sinnvoll im Team zusammenarbeiten.
Ich benütze als zentralen Server in meiner Praxis einen handelsüblichen PC. Was könnte passieren?
Richtige Serverhardware wurde auf Dauereinsatz hin konzipiert. Sie läuft im besten Falle zuverlässig 24 Stunden täglich, 365 Tage im Jahr und das über viele Jahre hinweg. Es spielt also nicht nur die Leistungsfähigkeit eine Rolle, sondern auch die Zuverlässigkeit. So können bei unseren Standard-Servern gleich zwei Festplatten ausfallen, mehrere RAM Bausteine, ein-zwei Lüfter und ein Netzteil*. Trotzdem wird ein so gebeutelter Server problemlos weiter seinen Dienst tun. Er wird aber auch seinen „Gesundheitsstatus“ bekannt geben und uns ermöglichen frühzeitig Defekte zu erkennen um zu reagieren. Dass so ein Gerät ein wenig mehr kosten darf, als ein handelsüblicher PC, sollte jedem klar sein. Doch die Preisunterschiede sind bei weitem nicht so groß, wie oftmals angenommen wird.
Ich habe mir meinen Server-PC mit einer Consumer SSD von Mediamarkt aufgerüstet. War günstig und läuft sehr schnell. Gibt es Risiken?
SSDs unterliegen einer Belastung was das Löschen von Datensegmenten angeht. Denn es wird hier mit einer weitaus höheren Spannung gearbeitet wie beim Schreib- oder Lesevorgang. Günstige Consumer SSDs sind auf wiederholtes Löschen von Daten nicht ausgelegt, weil dies am privaten PC nicht oft vorkommt. Wird jedoch eine Datenbank, wie bei einem modernen Arztinformationssystem, auf so einer SSD betrieben, so kommen solch preiswerte Komponenten gerne mal an ihre Leistungsgrenze. Ein spontaner Ausfall mit Datentotalverlust ist dabei die Folge. Auch im RAID betriebene Consumer SSDs bieten keinen Vorteil. Denn beide Platten unterliegen hierbei noch größerem Verschleiß.
In meiner Praxis setze ich als Betriebssystem Windows 7 ein. Das läuft doch so stabil. Was kann u.U. passieren?
Grundsätzlich gilt: Der Einsatz von veralteter Technik – in diesem Fall ein Betriebssystem, welches vom Hersteller nicht mehr mit Updates versorgt wird – stellt einen Verstoß gegen die DSGVO und Ihre Sorgfaltspflicht als Arzt dar. Gerade im Bereich Cyberkriminalität sind Angriffe über solcherlei Sicherheitslücken sehr beliebt, weil bekannt und einfach durchführbar. Wir empfehlen daher immer den Einsatz aktueller Software und Patches.
Mein Server blinkt seit einigen Tagen rot. Aber alles in der Praxis läuft wie gewohnt. Muss ich mir Sorgen machen?
Glückwunsch! Ihr Server meldet einen sich ankündigenden Fehler und Sie haben es rechtzeitig bemerkt. Leider übersehen solche Warnzeichen viele Praxen. Wir sollten gemeinsam versuchen dem Problem so schnell wie möglich auf den Grund zu gehen. Bitte kontrollieren Sie regelmäßig die Status LEDs am Server und die Logs. Es ist meist deutlich angenehmer für alle Beteiligten frühzeitig Defekte z.B. Mittwoch nachmittags zu beheben, als zu warten bis das Gerät ganz unverhofft ausfällt. Noch komfortabler und sicherer ist der Einsatz von Überwachungssoftware, wie z.B. ILO von Hewlett-Packard. Denn hier bekommt man sogar ein Mail, wenn sich ein Fehler ankündigt.
Von VMWare habe ich zwar mal irgendwo gelesen. Aber warum würde man eine solche Technologie im Praxisumfeld einsetzen wollen?
Bei Systemumgebungen ab 5-6 PCs aufwärts raten wir Praxen zum Einsatz von VMWare. Denn diese Technik bringt nicht nur weitaus mehr Flexibilität, was das Aufrüsten, Wechsel von Hardware und Erweiterungen mit zusätzlicher Software angeht. VMWare ist daneben auch Ihre unschlagbare Waffe gegenüber Systemausfällen und bringt Ihre Praxis IT nach einem Crash blitzschnell wieder „online“. Ohne teure Dienstleistungskosten. Denn bei VMWare Umgebungen sind Backups der kompletten Server incl. Betriebssystem, Software und Einrichtung hardwareunabhängig möglich. Im Falle des Falles halten wir für unsere Kunden sogar fertig vorbereitete Serverhardware auf Lager um schnell und unkompliziert reagieren zu können. Um Ihnen alle Vorteile von VMWare aufzeigen zu können, ist der Rahmen dieser FAQ jedoch zu eng. Lassen Sie sich gerne von uns hierzu beraten!

Internetzugang

Ich habe Zuhause meine Fritzbox selber eingerichtet. Da ich mich da schon auskenne, verwende ich dasselbe Gerät auch in der Praxis. Warum sollte das nicht genügen?
Eine Fritzbox oder vergleichbare Router sind für den Consumermarkt entwickelt. Diese Gerätekategorien sind vom Sicherheitslevel nicht vergleichbar mit richtigen Firewalls, wie z.B. einer Sophos. Wir nutzen Firewalls in Praxis-Netzwerken für folgende Funktionen: Segmentierung von Netzen um z.B. Backups vor Verschlüsselungstrojanern zu schützen. Verschlüsselte VPN Einwahl von mobilen Geräten, Homeoffice und Standorten. Ende-zu-Ende verschlüsselte Fernwartung. Scan des Netzwerktraffics bis auf Paketebene zur Bekämpfung von Angriffen. Blocken von schädlichen Downloads, Anhängen und Website-Kategorien für bestimmte Usergruppen.
Mein Router / meine WLAN-Sender tun seit Jahren klaglos ihren Dienst. Deshalb beachte ich sie nicht. Müsste ich mich mal damit befassen?
Geräte wie Router und WLAN-Accesspoints sind potentielle Einfallstore für Cyberkriminelle. Diese Art von Geräten muss somit immer auf dem neuesten Stand der Sicherheitspatches gehalten werden.
Virenscanner, Firewall? Ein Kollege sagte mir, die bringen eh nichts. Ich habe gehört, dass in meiner Fritzbox sowieso eine Firewall verbaut ist.
Dem würden wir nur eingeschränkt zustimmen. Wahr ist, dass klassische Virenscanner in den letzten Jahren zu einem stumpfen Schwert im Bereich Bekämpfung von Cyberkriminalität geworden sind. Windows 10 bietet mit dem Defender eine gute Basisabsicherung vor Viren. Jedoch sind die Angriffe immer feiner austariert. Nur mittels guter Firewalls und Software speziell zur Bekämpfung von Trojanern ist eine akzeptable Sicherheit heutzutage möglich.

Mail / Datenaustausch

Ich arbeite in meiner Praxis im Team mit den Helferinnen mit Google Mail, GMX, Web.de und Co. Was ist daran schlecht?
Im Zweifel gilt leider oft: Das schwächste Glied im Bereich der Cybersecurity ist der unbedarfte Anwender. Genau hier setzen Kriminelle heute an. Mit gezielten, sog. Spear Fishing Angriffen, versuchen sie beispielsweise per Mail den User zu überzeugen auf Links zu klicken, bzw. Anhänge mit Schadsoftware zu öffnen. Kostenlose Dienste, wie Google und Co. bieten dagegen keinerlei Sicherheit. Außerdem werden Daten die über diese Dienste laufen oft missbräuchlich zur Auswertung benutzt oder können von Regierungsstellen eingesehen werden. Solche Dienstleister haben daher im Praxisumfeld nach nichts verloren. Besser ist es eine eigene Domain zu hosten, bzw. einen eigenen Mail- oder Cloudserver am Praxisserver zu installieren. Die Kosten sind dabei absolut im Rahmen und man hat die Sicherheit, dass wichtige Daten die Praxis nicht verlassen.
Meine Patienten und Kollegen bekommen ihre Daten von der Praxis auf meiner Dropbox. Super Sache! Weil Faxen funktioniert seit der IP-Umstellung der Telekom eh nicht mehr so stabil wie früher.
Vorsicht bei solchen Aktionen! Man verletzt dabei als Arzt sehr leicht seine Pflichten im Bereich Datenschutz. Bessere Lösung: Opensource Cloud auf eigenem Server installieren, verschlüsselte S/MIME Kommunikation mit Kollegen über Zertifikate oder passwortgeschützter Mailversand von Bildern und Dokumenten über unsere Software DOTsnap. Und auch Faxe verschicken funktioniert heutzutage nach wie vor zuverlässig – wenn man entsprechende moderne All-IP Lösungen einsetzt.

Homeoffice

Weil meine Mitarbeiterin von Zuhause aus arbeiten möchte habe ich ihr einen RDP Zugang oder Teamviewer auf den Server eingerichtet. Dabei habe ich den Port im Natting meiner Fritzbox freigeschaltet. Läuft super!
Wer RDP mit freigeschaltenen Ports betreibt, der geht ein ausgesprochen hohes Sicherheitsrisiko ein, indem er sprichwörtlich Scheunentore für potentielle Eindringling in seinem Netzwerk öffnet. 256 Bit VPN Verschlüsselung ist hier unbedingt notwendig. Auch raten wir vom Einsatz von Fernwartungstools, wie Teamviewer ab. Sitzt hierbei doch noch eine Stelle – nämlich der Hersteller – in der Mitte und kann mithören. Wer Patientendaten so für andere „zur Verfügung stellt“ verletzt deren in der DSGVO festgelegten Rechte.

Software

Als Textverarbeitung setze ich Word in meiner Praxis ein. Aufgrund der Arztbriefschreibung meines AIS habe ich die Makrosicherheit auf „Niedrig“ gestellt. Könnte ich mir damit Ärger einhandeln?
Bei Softwareprodukten, wie Microsoft Word und daran angebundenen Praxisverwaltungsprogrammen ist Vorsicht geboten. Denn oftmals funktioniert die Arztbriefschreibung nur dann, wenn man grundlegende Sicherheitsfunktionen ausschaltet. Das wissen auch Cyberkriminelle. Deren Attacken auf Arztpraxen ist speziell darauf ausgerichtet. Mit einer fingierten Bewerbung als Word Datei auf eine real ausgeschriebene Stelle ist man schneller im Netzwerk, als manchem Praxisinhaber lieb sein kann.

Backup

Datensicherung? Habe ich mir selber eingerichtet. Und zwar mit einem Batchfile Script. Ich sichere auf eine zweite Festplatte, eingebaut in meinem Server. Und zusätzlich am Wochenende noch auf einen weiteren PC an der Anmeldung. Ich denke damit bin ich super aufgestellt.
„Kein Backup – kein Mitleid“ ist eine oft im ITler Umfeld gehörte Floskel. Batchscripte sind zwar grundsätzlich eine Möglichkeit ein Backup anzufertigen, jedoch greifen sie oft ins Leere. Gerade wenn Dateien oder Datenbanken im Zugriff sind. Daneben sind sie vergleichsweise langsam und bieten keine Backupkontrolle. Besser ist es seinen ganzen Server mit VMWare zu sichern. Dabei bekommen die verantwortlichen MFAs täglich eine Kontroll-eMail, wenn das Backup gelaufen ist. Außerdem ist man mit so einem Backup in der Lage den kompletten Server, incl. der Patientendaten und all der Dienstleistung für die Einstellungen in einem Rutsch zurückzusichern. Und dass ein Backup nur wenige Minuten dauert, kann ja auch nicht schaden.
Ich sichere auf eine NAS. Was kann dabei schief gehen?
Ein häufiges Angriffsszenario der letzten Jahre ist der Einsatz von sogenannten Ransomware. Dabei werden Netzwerke von Trojanern gezielt durchforstet und blitzschnell verschlüsselt um Lösegeld zu erpressen. Die aufgerufenen Beträge bei Arztpraxen sind teilweise erheblich. Zudem kann man nicht davon ausgehen, dass man nach Zahlung des Lösegelds auch tatsächlich wieder seine Daten bekommt. Hier ist derjenige im Vorteil, der ein Backup hat. Jedoch muss eine NAS mit solchen wichtigen Daten so geschützt werden, dass der Kriminelle nicht in der Lage ist die Backupfiles zu kompromittieren. Desweiteren ist auch bei Überspannungen oder Bränden eine NAS gerne einmal defekt und man kann auf die wertvollen Daten keinen Zugriff mehr nehmen.
Tägliche Backup Kontrolle? So was gibt mein Script leider nicht her. Ich schaue aber – wenn ich mal dran denke – die Dateistände an und kann mir dann einen Reim machen, wann zuletzt das Backup erfolgreich durchlief. Warum sollte ich das ändern?
Das ist faktisch keine wirkliche Backupkontrolle. Denn Dateien haben unterschiedlich Stände und daher bekommt man nie einen kompletten Überblick. Moderne Backuptools sichern auch nicht mehr die Dateien, sondern sektorbasiert die kompletten Festplatten. Das geht effizienter und im Zugriff befindliche Daten werden trotzdem gesichert.

Schulung

Unser Praxisalltag ist bereits stressig genug. Da kann ich es meinen Mitarbeitern nicht auch noch zumuten sich im Bereich EDV fortzubilden. Warum sollte ich diese Einstellung vllt. überdenken?
Die IT-Sicherheit in Ihrer Praxis ist immer nur so gut, wie das schwächste Glied – das heutzutage nun mal oft der Mensch ist. Wir empfehlen und bieten Ihnen daher entsprechende kurze Schulungen an um sich und Ihr Team auf mögliche Angriffsszenarien vorzubereiten. Dabei gehen wir mit vielen Praxisbeispielen konkret auf die aktuellen Bedrohungen ein.