In letzter Zeit tauchen vermehrt Berichte über gravierende Sicherheitslücken in den informationstechnologischen(IT) Systemen von Arztpraxen auf. Die vom Arztgeheimnis geschützten Patientendaten sind demnach vor Cyberangriffen augenscheinlich allzu oft zu wenig geschützt. Ärztinnen und Ärzte sollten die IT-Sicherheit offenbar viel ernster nehmen. Dafür gibt es bewährte Grundregeln und Verhaltensweisen.
Melde- und Analysestelle Informationssicherung MELANI des Bundes zeigt den Weg
Die Melde- und Analysestelle Informationssicherung MELANI des Bundes analysiert laufend die Cybergefahren, welche die Unternehmen, Behörden und Privathaushalte in der Schweiz bedrohen. Die Erkenntnisse daraus werden in allgemein verständliche Verhaltensregeln und Empfehlungen eingegossen. Diese stehen jedermann kostenlos zur Verfügung.
Merkblatt IT-Sicherheit für KMUs
Ärztinnen und Ärzte, die sich rasch und verständlich ein Bild über die «Eiserne Ration der IT-Sicherheit» machen wollen, konsultieren das von MELANI geschaffene Merkblatt IT-Sicherheit für KMUs. Das Merkblatt umfasst die notwendigen organisatorischen und technischen Massnahmen.
Organisatorische Massnahmen zur Erhöhung der IT-Sicherheit
- Die Verantwortlichkeiten für die IT-Sicherheit in der Arztpraxis genau regeln: Wer wartet die Systeme und stellt die Backups sowie die gesamten Schutzmassnahmen sicher
- Alle Mitarbeitenden im Umgang mit der IT-Sicherheit schulen (dabei geht es namentlich um die grundlegenden Verhaltensregeln im Umgang mit dem Internet)
- Regelmässig eine akribische Risikoanalyse machen und protokollieren
- Definition des Umgangs mit Passwörtern und deren Durchsetzung
- Regelung des Zahlungsverkehrs gemeinsam mit der gewählten E-Banking-Applikation
Technische Massnahmen zur Erhöhung der IT-Sicherheit
- Allumfänglicher und stets aktualisierter Virenschutz samt vollständigen Systemscans sowie Einrichtung eines Spam-Filters für die E-Mails. E-Mail-Anhänge mit unüblichen Dateiendungen sollten automatisch abgewiesen werden. Jeder eingesetzte Computer muss eine Firewall mit eigenen Firewall-Regeln haben. Computer mit Verdacht auf Virenbefall neu aufsetzen
- Jede in der Arztpraxis eingesetzte Software muss automatisch und sofort die vom Hersteller angebotenen Updates durchführen
- Mindestens tägliche und sicher aufbewahrte Backups aller Daten
- Beim Umgang mit Cloud-Diensten die grösstmögliche Sorgfalt einhalten
- Beim Datenverkehr die bestmögliche Verschlüsselungstechnologie einsetzen
- Sicherstellen, dass Protokolldateien (Logdateien) erstellt werden: Diese sind für die Nachbearbeitung eines IT-Vorfalls unerlässlich
- «Least Privilege Prinzip»: Alle Mitarbeitenden haben nur diejenigen Zugriffsrechte, die sie für ihre Arbeit wirklich benötigen
- Den Webauftritt schützen und das eingesetzte Content Management System (CMS) stets auf dem neuesten Stand halten