ArchivDeutsches Ärzteblatt45/2020Niederlassung: Sichere Praxis-Technik

MANAGEMENT

Niederlassung: Sichere Praxis-Technik

Czeschik, Christina; Klug, Thomas

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Die Einführung der Telematikinfrastruktur bewegt die Gemüter und macht immer wieder Schlagzeilen. Die grundlegende technische Ausstattung von Arztpraxen führt im Vergleich dazu ein Schattendasein. Dabei ist sie die Grundlage eines sicheren und produktiven Praxisbetriebs.

Foto: putilov/denis stock.adobe.com
Foto: putilov/denis stock.adobe.com

Eine Maxime, nach der viele niedergelassene Ärztinnen und Ärzte handeln, wenn es um die technische Ausstattung der Praxis geht, lautet: „Never change a running system.“ Hauptsache es läuft im täglichen Betrieb – die beste Technik ist die, um die man sich nie kümmern muss.

Anzeige

Diese Einstellung ist einleuchtend, denn jede Umstellung und jedes Update birgt die Gefahr von Komplikationen, die den Praxisablauf stören. Doch auf lange Sicht läuft die Praxis damit Gefahr, dass sich unsichtbare Sicherheitslücken einschleichen und diese schließlich zu einem Zwischenfall führen, der den Praxisbetrieb oder gar die Sicherheit von Patientinnen und Patienten beziehungsweise Mitarbeitenden gefährdet – wie ein Auto, das nie inspiziert wird und keine Ölwechsel erhält.

Grundlage einer zuverlässig laufenden Praxistechnik ist zunächst eine unterbrechungsfreie Stromversorgung (USV). Ein USV-Aggregat, das dies sicherstellt, wird zwischen Steckdose und dem entsprechenden Gerät – etwa dem Server oder medizintechnischen Geräten – angeschlossen. Hier sorgt es nicht nur dafür, kurze Stromausfälle zu überbrücken, sondern gleicht auch Schwankungen der Spannung aus, die ebenfalls zu Funktionsstörungen und sogar Schäden an Geräten führen können, etwa bei einem Blitzeinschlag. Auch USV-Geräte bedürfen der Wartung: So müssen etwa die Akkus alle drei bis vier Jahre ausgetauscht werden.

Back-up-Medien

Wie wichtig regelmäßige Sicherheitskopien (Back-ups) der digital vorgehaltenen Daten sind, hat sich mittlerweile herumgesprochen. Hierzu haben Praxisinhaber die Wahl zwischen verschiedenen Back-up-Strategien. Eine Back-up-Strategie nützt aber wenig, wenn die Medien, auf denen die Sicherheitskopien vorgehalten werden, defekt sind. Im schlimmsten Fall fällt das Primärsystem einem Feuer- oder Wasserschaden oder auch einer Infektion mit Ransomware zum Opfer – und dann stellt sich heraus, dass die Speichermedien mit den Sicherheitskopien defekt sind. Dies kann durch regelmäßige Tests der Medien oder, in größerem Umfang, auch durch ein durchgehendes Laufwerksmonitoring verhindert werden.

Stellt sich dabei heraus, dass Speichermedien, etwa USB-Sticks oder externe Festplatten, tatsächlich Defekte entwickelt haben, muss bei der Entsorgung auf den Datenschutz geachtet werden: Patienten- und andere sensible Daten müssen nicht nur einfach gelöscht, sondern durch spezielle Programme mit Nullen überschrieben werden, damit sie für den unbefugten Zugriff tatsächlich nicht mehr zu rekonstruieren sind.

Eine besondere Herausforderung stellen vernetzte Medizingeräte dar: Auch wenn diese mit einem herkömmlichen Betriebssystem wie Windows laufen, ist eine Aktualisierung nur im Rahmen der vom Hersteller angebotenen Updates möglich – ansonsten wird der Betreiber des Geräts, also der Praxisinhaber, zum Hersteller und geht damit weitreichende Haftungsrisiken ein.

Veraltete Software

Unter Umständen kann es daher sogar nötig werden, eine ansonsten einwandfreie Hardware durch ein neues Modell zu ersetzen, wenn der Hersteller für das alte Modell keine Updates oder Patches (automatische Reparaturen von Sicherheitslücken) mehr anbietet. So laufen viele bildgebende Geräte sogar noch unter Windows 7, dessen Support Microsoft Anfang 2020 eingestellt hat, auch wenn vereinzelt noch Patches verfügbar waren.

Veraltete Software war auch das Einfallstor für den folgenschweren Cyberangriff auf die Uniklinik Düsseldorf im September 2020, der sogar für einen Todesfall verantwortlich gemacht wird. Die Angreifer nutzten hier die Sicherheitslücke einer veralteten VPN-Software von Citrix.

Dieses Beispiel zeigt auch, wie wichtig die zügige Aktualisierung von Software ist, sobald der Hersteller einen Patch für eine Sicherheitslücke zur Verfügung stellt: Citrix bot diesen zwar kurz nach Entdeckung der Sicherheitslücke an, im Januar 2020 – allerdings hatten zu diesem Zeitpunkt schon Angreifer auf zahlreiche Systeme Zugriff erlangt und hatten sogenannte Backdoors (Hintertürchen im Programmcode) installiert. Über diese von ihnen kontrollierten Zugänge konnten sie dann beliebig später ihren tatsächlichen Angriff starten, etwa im Falle des Uniklinikums Düsseldorf mit Ransomware, mit der ein Lösegeld für die Entschlüsselung verschlüsselter Daten erpresst werden sollte.

Solche Sicherheitslücken können prinzipiell in jeder Software bestehen, unabhängig von Einsatzzweck oder Alter. Problematisch an veralteten Versionen ist jedoch, dass diese nicht mehr im Fokus von Nutzern und Herstellern stehen: Die Hersteller machen sich mit zunehmendem Alter der Software nicht mehr die Mühe, regelmäßig Patches zu neu bekannt gewordenen Sicherheitslücken zu veröffentlichen, da hiermit kein Umsatz mehr generiert wird. Auch Geräte wie Drucker, Scanner, Faxe, Telefone und Multifunktionsgeräte laufen mit eigener Software, die als Firmware bezeichnet wird – und auch diese kann Sicherheitslücken haben, die im Rahmen regelmäßiger Updates geschlossen werden sollten.

Nicht zuletzt kann die Sicherheitslücke gewissermaßen auch vor dem Bildschirm sitzen: Je größer eine Praxis oder ein MVZ ist und je mehr Fluktuation unter den Beschäftigten es gibt, desto mehr alte Benutzerkonten bieten Angriffsfläche – nicht nur für Kriminelle im Netz, sondern unter Umständen auch für ehemalige Beschäftigte, die mithilfe ihrer alten Benutzerdaten Zugriff auf vertrauliche Informationen erlangen oder die Praxis schädigen wollen.

Berechtigungsmanagement

Ebenso wichtig, wie neue Mitarbeiter mit Zugangsdaten auszustatten, ist daher das Deaktivieren von Benutzerkonten, die nicht mehr gebraucht werden. Während des Arbeitsverhältnisses sollte darauf geachtet werden, dass jeder Benutzer nur so viele Berechtigungen im System hat, wie für seine oder ihre Arbeit notwendig ist. Keinesfalls sollten alle, die mit einem System arbeiten, Administratorrechte haben.

Praxis-IT und -technik werden immer komplexer – der eine Praxis-PC, der „nebenher“ vom Praxisinhaber oder einer studentischen Hilfskraft gepflegt werden konnte, ist Vergangenheit. Es empfiehlt sich daher, regelmäßig eine Firma hinzuzuziehen, die in der Gesundheits-IT erfahren ist. Dies spart nicht nur Arbeitszeit der eigenen Belegschaft, sondern auch potenziell noch größere Verdienstausfälle durch Datenverlust oder Betriebsstörungen in der Praxis.

Christina Czeschik, Thomas Klug

Alle Geräte im Blick behalten

  • Eine Inventarliste hilft, den Überblick über alle Geräte zu behalten, die regelmäßige Softwareupdates und/oder eine Überholung der Hardware benötigen. Eine solche auf dem neuesten Stand gehaltene Liste ist übrigens auch bei einer späteren Übergabe der Praxis nützlich.
  • Jedes Softwarenutzerkonto soll nur mit den Rechten ausgestattet sein, die für die Erfüllung der jeweiligen Aufgabe notwendig sind. Beispielsweise benötigen Medizinische Fachangestellte ohne weitergehende IT-Kenntnisse keine Administrationsrechte im Praxisnetzwerk.
  • Bei einem Personalwechsel müssen zugehörige Benutzerkonten (beispielsweise zur Anmeldung im Netzwerk, zur Nutzung verschiedener Online-Dienste, praxiseigene E-Mail-Adressen) deaktiviert werden.
  • Nicht nur Nutzerkonten sollten regelmäßig „aufgeräumt“ werden, sondern auch installierte Software und Apps. Überflüssige Software verbraucht unnötig Speicherplatz, macht das System langsamer und im schlechtesten Fall auch instabil.
  • Auch die Komponenten der Telematikinfrastruktur müssen regelmäßig aktualisiert werden. Diese Updates sind sogar gesetzlich vorgeschrieben. Da es auch hier immer wieder zu Problemen kommen kann, die nicht im Einflussbereich der Praxis liegen, sollte der Zeitpunkt der Aktualisierung – wie auch beim Praxisverwaltungssystem und anderen wichtigen Komponenten – möglichst zum Wochenende hin gewählt werden.
  • Wenn die Pflege der technischen Ausstattung nicht von einer externen Fachfirma übernommen wird, muss genug Arbeitszeit eingeplant werden. Es handelt sich um eine anspruchsvolle Aufgabe, die nicht nach Feierabend oder „wenn mal Zeit ist“ erledigt werden kann.

Kommentare

Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.

Fachgebiet

Zum Artikel

Der klinische Schnappschuss

Alle Leserbriefe zum Thema

Stellenangebote