IT-Sicherheitsrichtlinie - neue Artikelserie soll informieren und an Praxisbeispielen erläutern, was wichtig ist.
Alle reden von der IT-Sicherheitsrichtlinie. Ärzte und Psychotherapeuten fühlen sich teilweise überfordert und unzureichend informiert. Diese neue Artikelserie soll informieren und an Praxisbeispielen erläutern, was wichtig ist.
Ransomware-Angriffe auf PVS-Hersteller und log4j-Sicherheitslücke
Die IT-Sicherheit in den Arzt- und Psychotherapeutenpraxen war in den Monaten November und Dezember 2021 starken Belastungen ausgesetzt. Die beiden großen PVS-Anbieter medatixx und CGM Turbomed waren Opfer von Hackerangriffen geworden. Außerdem war die weltweite log4j-Sicherheitslücke in Java-Bibliotheken entdeckt worden. In der Folge wurden mehrere Updates erforderlich, die von den Ärzten und Psychotherapeuten einzuspielen waren. Die KV Sachsen und auch die KBV informierten auf ihren Webauftritten und in Rundschreiben. Es wurde umgehend ein Update des Prüfmoduls an die PVS-Hersteller ausgeliefert. Auch wurden hilfesuchende Mitglieder von den Kollegen des Servicetelefons für EDV-Support und Online-Dienste adäquat beraten.
Updates sind wichtige Sicherheitsfaktoren
Diese Sicherheitsvorfälle haben am praktischen Beispiel gezeigt, dass Software-Updates eine wichtige Schutzmaßnahme für die eigenen IT-Systeme sind. Deshalb findet sich diese Maßnahme auch in mehreren Anforderungen der IT-Sicherheitsrichtlinie wieder. Denn Updates sind nötig für Ihr Praxisverwaltungssystem, für die Telematikinfrastruktur-Komponenten, für die von Ihnen genutzten Internetanwendungen, Apps und Programme wie Microsoft Office und auch für einige medizinische Geräte. Bleiben Sie deshalb informiert, ob neue Updates vorliegen. In einigen Fällen können Sie Autoupdates aktivieren, in anderen Fällen ist Ihr IT-Dienstleister in der Pflicht, Ihnen die Updates zur Verfügung zu stellen oder diese einzuspielen. Die KBV liefert ihre Updates an die IT-Dienstleister aus. (} IT-Sicherheitsrichtlinie, Anlage 1, Nr. 2, 23 und 27; Anlage 5, Nr. 6)
Für Sicherheitsvorfall vorbereitet sein
Damit Ihr Praxispersonal beim Eintreten eines IT-Sicherheitsvorfalls sofort agieren kann, sollten einige Dinge/Informationen schon bereitliegen. Es sollte klar sein, wer im Ernstfall anzurufen ist. Ist das Ihr IT-Dienstleister? Wie lauten die Kontaktdaten und wo stehen sie? Diese und weitere Handlungsschritte können in einem Notfallplan notiert sein. Außerdem sollten Sie darauf achten, dass nicht nur Ihr IT-Dienstleister, sondern auch Sie selbst die Administrationsdaten für die in der Praxis aufgestellten Telematikinfrastruktur-Komponenten haben. Diese Admin-Daten, bestehend aus Benutzername und Passwort, werden beispielsweise gebraucht, wenn Sie auf Ihren TI-Konnektor ein Update aufspielen wollen. Am besten sollten Sie bereits bei der Ersteinrichtung der Geräte durch den IT-Dienstleister die Herausgabe der Administrationsdaten verlangen und diese gesichert aufbewahren. Hierzu eignet sich ein Merkblatt „Wichtige Kenndaten und Zugangsdaten der Praxis“. (} IT-Sicherheitsrichtlinie, Anlage 5, Nr. 7)
Apps sicher verwalten
Wenn Sie in Ihrer Praxis Smartphones oder Tablets einsetzen und auf diesen Geräten Apps installieren, achten Sie darauf, nur offizielle Stores wie Google Play für Android und App Store für iOS zu verwenden. Haben Sie außerdem im Blick, regelmäßig Inventur zu machen – welche Apps haben Sie seit Monaten nicht benutzt. Was nicht mehr gebraucht wird, sollte restlos gelöscht werden. So wird Speicherplatz frei und die Datenmenge minimiert. Weniger Daten bedeuten weniger Interesse für Hacker. (} IT-Sicherheitsrichtlinie, Anlage 1, Nr. 1)
Keine Cloud-Speicherung in Microsoft Office
Speichern Sie Dateien in Ihren Microsoft Office Programmen nicht in der Cloud (OneDrive, iCloud, Google Docs, usw.). Zur Erläuterung ein Beispiel: Wenn Sie einen Arztbrief in Microsoft Word schreiben und in der Cloud abspeichern, führt das zu zwei Gefahren: erstens wissen Sie nicht, was Microsoft in den USA mit ihren Daten anstellt, zweitens sind bei einem Hackerangriff auf Microsoft potentiell Ihre Daten auch gehackt worden. Speichern Sie dagegen Ihre Word-Datei nur lokal auf Ihrem Praxis-Rechner, dann befindet sich die Datei ausschließlich an diesem Speicherort. (} IT-Sicherheitsrichtlinie, Anlage 1, Nr. 16)
Alle Daten regelmäßig in Back-ups sichern
Um wiederum Ihre lokalen Daten auf dem Praxis-Rechner vor Verlust zu schützen, was z. B. passiert, wenn in Ihre Praxis eingebrochen und der PC gestohlen wird, sollten Sie regelmäßige Datensicherungen/Back-ups durchführen. Auf diese Weise können Sie Daten wiederherstellen. Back-ups sollten immer außerhalb der Praxis aufbewahrt werden. Es ist von entscheidender Bedeutung für die Aktualität der Daten, dass Sie die Datensicherung in kurzen Zeitabständen durchführen. Je kürzer die Zeitabstände, um so geringer ist der Datenschwund zur letzten gesicherten Dateiversion. Bitte prüfen Sie, ob die gesicherten Daten auch lesbar und zur Wiederherstellung geeignet sind, ggf. kontaktieren Sie Ihren Systembetreuer. (} IT-Sicherheitsrichtlinie, Anlage 1, Nr. 14)
Informationen
Servicetelefon für EDV-Support und Online-Dienste
Telefon: 0351 8290-6789
E-Mail: edv-beratung@kvsachsen.de
Servicezeiten:
Mobtag bis Donnerstag 08:00 bis 17:00 Uhr und
Freitag 08:00 bis 14:00 Uhr
www.kvsachsen.de > Mitglieder > IT-Sicherheitsrichtlinie
