IT-Sicherheit in der Praxis: Können Hacker wirklich meine Existenz bedrohen?

Gegen Einbrecher ist eine Alarmanlage vorhanden, Feuer- und Leitungswasserschäden sind gut versichert und auch ein Unfall des Praxisinhabers ist als möglicher Schaden versichert. Aber wie steht es um die Absicherung im Falle von massivem Datenverlust oder der Verschlüsselung der gesamten Praxisdaten? Ein „e-Wurm“ oder „Trojaner“, wie moderne Schadsoftware gerne genannt wird, verbreitet sich massenhaft und meist ungezielt, kann also jede Praxis treffen.

Der Befall mit Schadsoftware ist in etwa vergleichbar mit einer Virus-Epidemie. Sind die potentiellen Wirte geimpft oder haben eine gute Abwehr-Lage, verläuft die Krankheit glimpflich und die Infektion hat keine Chance. Impfkritiker dagegen haben das Nachsehen. Wie unsere körpereigene Abwehr mit Bakterien und Viren umgeht, so verhindern Firewalls, Anti-Viren-Programme und Co. meist unmerklich bei den Internetprovidern und im eigenen Computer das Eindringen von Schadsoftware. Wer schon mal einen Virus auf dem heimischen PC hatte und diesen mehr oder weniger erfolgreich bekämpft hat, kennt das grundsätzliche Problem. In der Praxis wird aus einem lästigen Übel jedoch heutzutage schnell eine existenzbedrohende Krise: Moderne Praxissysteme sind stark vernetzt – nicht nur die Praxisverwaltungssoftware via Server & Clients, sondern zunehmend sind Röntgen-Geräte, Intraoral-Scanner, Autoklaven oder Behandlungseinheiten im Netzwerk eingebunden.

Auch die Bandbreite der Angriffe ist heute vielfältiger und häufig besser getarnt. Fremde USB-Sticks werden zwar gemieden, aber vielleicht klickt man doch am Ende selbst auf eine täuschend echte Bewerbung oder eine Rechnung vom bekannten Dentallabor. Allein damit ist der Schaden passiert, oft ohne dass man sich dessen sofort bewusst wird. Besonders tückisch: Gefährliche Trojaner machen sich häufig erst viele Tage oder Wochen nach der Infektion des Systems bemerkbar und haben bis dahin längst alle Sicherungs-Festplatten befallen.

Wo es schon keinen 100%igen Schutz gegen diese Bedrohungen gibt, sollte man zumindest dafür sorgen, dass ein potentieller Schadensfall nicht die Existenz der Praxis bedroht. Nicht nur Ausfallzeiten oder Schadensersatz sind denkbare finanzielle Folgen eines Hackerangriffs, auch ein Verlust sensibler Patientendaten kann als Verstoß gegen die DSGVO geahndet und mit hohen Bußgeldern belegt werden. Schnell werden hier Schadenshöhen von mehr als 50.000 € erreicht. Bei großen Praxen oder dem Verlust der Abrechnungsdaten vor dem Ende des Quartals können auch sechsstellige Summen auflaufen, die bis zum finanziellen Ruin der Praxis führen können.

Um dem Risiko angemessen zu begegnen, empfiehlt der Bundesverband der zahnmedizinischen Alumni in Deutschland (BdZA) gemeinsam mit der SIGNAL IDUNA ein mehrstufiges Verteidigungskonzept – den digitalen Schutzschild von SIGNAL IDUNA. Beide Partner empfehlen, das Risiko der Praxis zunächst durch einen entsprechend ausgebildeten IT-Sicherheitsberater bewerten zu lassen und das größte Risiko für den Schadensfall zu minimieren: Die Unwissenheit des Praxisinhabers und seiner Angestellten. Mit der ersten Verteidigungslinie – dem Perseus Cyber Security Club – hat die Firma Perseus Technologies GmbH aus Berlin eine Plattform geschaffen, um diesem Umstand Rechnung zu tragen.  Mitarbeiter von kleinen und mittleren Unternehmen oder eben Arzt- und Zahnarztpraxen können sich dort in den Bereichen Cybersicherheit und Datenschutz weiterbilden und erhalten unterschiedliche Hilfsmittel, um sich vor Cyberangriffen aktiv und zuverlässig zu schützen.

Falls es trotz neuester Firewall-Technik und geschulter Mitarbeiter dennoch zu einem Schadensfall kommen sollte, wird dieser vermutlich zum einen deutlich geringer ausfallen und kann zum anderen durch die zweite Verteidigungslinie, der „CyberPolice“ von SIGNAL IDUNA, versichert werden. Wenige andere Versicherungsunternehmen bieten einen finanziellen Rundumschutz für den Verlust von Patientendaten sowie den damit einhergehenden Maßnahmen (Information von möglichen Betroffenen – bis hin zu angeordneten Zeitungsanzeigen), der Betriebsunterbrechung und der Deckung von Schadensersatzforderungen der Patienten. Stellt ein Betrieb Auffälligkeiten in seiner IT fest, kann er sich zudem an eine 24-Stunden-Hotline wenden. Dort helfen Spezialisten direkt am Telefon weiter, um Schäden zu vermeiden, zu mindern oder zu beseitigen. Sollte diese „ambulante“ Hilfe nicht ausreichen, werden Dienstleister oder Forensiker beauftragt, direkt vor Ort Abhilfe zu schaffen.