IT-Sicherheit in Arztpraxen: BSI mahnt zum Handeln
Zwei Befragungen von niedergelassenen Ärzten und Ärztinnen zeigen zum Teil gravierende Mängel auf. Vieles davon lässt sich leicht abstellen.
Cyberangriffe auf das Gesundheitswesen nehmen zu – medizinische Einrichtungen werden immer häufiger das Ziel von Hacker-Angriffen. Ein zentraler IT-Knotenpunkt ist dabei die Telematikinfrastruktur (TI). Sie ist das Kommunikationsnetzwerk im deutschen Gesundheitssystem, wird regelmäßig kontrolliert und orientiert sich an strengen Spezifikationen.
Die Sicherheitslage der IT-Infrastruktur von Arztpraxen in Deutschland hingegen wird bisher kaum erfasst, obwohl sie essenziell für die Verarbeitung sensibler Daten und direkt an die TI angeschlossen sind. Darum hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit zwei aktuellen Studien eine Datengrundlage geschaffen, mittels derer die IT-Sicherheit von Arztpraxen schnell und nachhaltig erhöht werden soll.
Umfrage zur IT-Sicherheitsrichtlinie
In einer deutschlandweiten Umfrage wollte das BSI einen Einblick in die Umsetzung der IT-Sicherheitsrichtlinie gemäß § 75b SGB V in ca. 1.600 Arztpraxen gewinnen. Die Richtlinie adressiert Voraussetzungen für die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung und umfasst auch Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der TI, die in der vertragsärztlichen Versorgung genutzt werden. Ziel der Befragung war es, den Umsetzungsgrad der Richtlinie zu erheben und Verbesserungspotenziale zu identifizieren.
Lediglich ein Drittel der Befragten gab eine vollständige Umsetzung aller mit der Richtlinie vorgegebenen Schutzmaßnahmen an. Gleichzeitig ergab die Befragung, dass zehn Prozent der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren. Zusätzlich zeigte sich, dass bei der aktuellen Fassung der IT-Sicherheitsrichtlinie Optimierungsbedarf bezüglich Verständlichkeit und konkreter Hilfestellungen bei der Umsetzung bestehen. Zudem wurde festgestellt, dass der Einsatz eines Informationssicherheitsbeauftragten in Arztpraxen sich unmittelbar positiv auf die IT-Sicherheit auswirkt.
Festplattenverschlüsselung Fehlanzeige
Parallel wurde in einer Auswahl von 16 Arztpraxen eine Umfrage mit dem Ziel durchgeführt, Cyberrisikofaktoren und Angriffsmöglichkeiten qualitativ zu erfassen. Dafür wurden die Netzwerkstruktur, bereits vorhandene Sicherheitsvorkehrungen und der „Faktor Mensch“, also personelle Aspekte, in den Blick genommen. Die Auswahl der Arztpraxen erfolgte nach den Kriterien des Fachgebiets, der Anzahl der Mitarbeiterinnen und Mitarbeiter sowie der geografischen Lage.
Im Rahmen dieser Studie hat das BSI teils schwerwiegende Sicherheitsmängel – unzureichender Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Back-ups – festgestellt. So befand sich in allen untersuchten Praxen der Konnektor zur Anbindung an die TI im Parallelbetrieb zu einem gewöhnlichen Router und konnte dadurch seine Schutzwirkung nicht vollständig entfalten. Zudem waren in keiner der befragten Praxen sensible Patientendaten durch eine Festplattenverschlüsselung geschützt.
BSI-Präsidentin Claudia Plattner meint dazu: „Die gute Nachricht ist: Viele der Sicherheitsmängel, die wir festgestellt haben, können schnell und ressourcenschonend behoben werden. Die Ergebnisse aus den Studien ermöglichen uns, die IT-Sicherheit in Arztpraxen durch pragmatischere Vorgaben gezielt zu verbessern und so die Digitalisierung des Gesundheitswesens weiter voranzutreiben. Damit uns das gelingt, brauchen wir einen festen Schulterschluss zwischen allen Akteuren.“
DMEA in Berlin
Gelegenheit zum direkten Austausch mit dem BSI zum Themenkomplex Digital Health gibt es auf der Gesundheits-IT-Fachmesse DMEA vom 9. bis 11. April 2024 in Berlin. Am Messestand 105b in Halle 06.2 haben Interessierte die Möglichkeit, sich zu aktuellen BSI-Aktivitäten rund um die TI und vernetzte Medizinprodukte sowie die Cybersicherheit in Arztpraxen und im Rettungswesen zu informieren.