In der digitalen Welt sind Praxen zunehmend von Cyberangriffen, insbesondere durch Ransomware, betroffen. Der Schutz sensibler Patientendaten und die Einhaltung der DSGVO sind essenziell. Im zweiten Teil der Reihe über Cybersicherheit konzentrieren wir uns auf Aspekte der Patientenkommunikation, über die Dr. Christoph Saatjohann, Professor für IT-Sicherheit an der Fachhochschule Münster, am Thementag der KZV referierte.

Als Praxisinhaberin oder Praxisinhaber sehen Sie sich einer wachsenden Bedrohung durch Ransomware gegenüber – schädliche Software, die darauf abzielt, Ihre Daten zu verschlüsseln und oft eine Geldzahlung für die Wiederherstellung verlangt. Besonders beunruhigend ist die Möglichkeit, dass Daten innerhalb von drei Tagen auf einer öffentlichen Website veröffentlicht werden, sollte keine Zahlung erfolgen.

Ransomware in Zahnarztpraxen: ein Beispiel

So viel zur Bedrohung. Stellen Sie sich vor, Ihre Zahnarztpraxis wird Ziel eines Ransomware-Angriffs. In der Nacht, während die Praxis geschlossen ist, dringt die Schadsoftware in Ihr System ein und verschlüsselt alle Patientendaten, einschließlich sensibler Informationen wie medizinische Historien und Behandlungspläne. Am nächsten Morgen, als Sie versuchen, auf die Dateien zuzugreifen, erscheint ein erschreckendes Pop-up auf Ihrem Bildschirm: „Ihre Daten wurden verschlüsselt. Um sie wiederherzustellen, zahlen Sie 10.000 Euro in Bitcoin innerhalb von 72 Stunden, oder wir veröffentlichen Ihre Daten auf einer öffentlichen Website.“

Die Vorstellung, dass Ihre Patientendaten, die Sie aus Gründen der Vertraulichkeit und des Vertrauens schützen müssen, öffentlich zugänglich gemacht werden könnten, ist alarmierend. Ihre Patientinnen und Patienten könnten nicht nur von dem Vorfall erfahren, sondern auch rechtliche Schritte gegen Ihre Praxis einleiten. Dies könnte nicht nur zu einem enormen finanziellen Verlust führen, sondern auch Ihren Ruf und das Vertrauen Ihrer Patientinnen und Patienten nachhaltig schädigen.

Da es für Sie aber unerlässlich ist, mit Ihren Patientinnen und Patienten und weiteren beteiligten Parteien zu kommunizieren, ist ein zentrales Element in der medizinischen Kommunikation ist die Sicherheit ebendieses Austauschs. Die Einhaltung der Datenschutz-Grundverordnung (DSGVO) spielt dabei eine entscheidende Rolle. Herkömmliche E-Mails, die beispielsweise Arztbriefe als Anhang enthalten, sind nicht DSGVO-konform. Auch der Versand pseudonymisierter Patientendaten in separaten E-Mails oder die Verschlüsselung von E-Mails mit Passwörtern in einer nachfolgenden Nachricht sind problematisch.

Es gibt verschiedene Möglichkeiten zur sicheren Kommunikation

• PGP und S/MIME bieten eine sichere, jedoch komplexe Lösung zur E-Mail-Verschlüsselung.
• KIM (Kommunikation im Medizinwesen) ermöglicht automatisch verschlüsselte E-Mails, wobei alle teilnehmenden Praxen im Adressbuch verzeichnet sind. Die Integration in die Praxissoftware (PVS) kann jedoch variieren. KIM ermöglicht es Praxen, den Zugang zu sensiblen Informationen besser zu kontrollieren. Nur autorisierte Nutzerinnen und Nutzer können auf die Kommunikation zugreifen, was das Risiko von unbefugtem Zugriff verringert. Durch die Nutzung von KIM wird die Abhängigkeit von herkömmlichen E-Mails verringert, die oft nicht ausreichend gesichert sind und ein höheres Risiko für Cyberangriffe darstellen.
• 7-ZIP mit Verschlüsselung ist eine weitere Möglichkeit, erfordert jedoch manuelle Bedienung und die Wahl eines sicheren Passworts. Der Austausch fester Passwörter mit häufigen Kontakten sollte vermieden werden.

Besondere Vorsicht ist bei der Nutzung von Cloud-Diensten geboten, da die Speicherung von Daten außerhalb der EU DSGVO-problematisch sein kann und ein Auftragsverarbeitungsvertrag erforderlich ist. 

Als Fachkraft in der Zahnmedizin sind Sie nicht primär für IT-Themen zuständig, tragen jedoch die Verantwortung für die Sicherheit Ihrer Praxis. Es ist ratsam, sich umfassend über die eingesetzte Software zu informieren – sowohl direkt beim Anbieter als auch durch eigene Recherchen. Ziehen Sie gegebenenfalls professionelle IT-Dienstleister hinzu. Eine gut konfigurierte Firewall und die Installation von Sicherheitssoftware durch Administratoren tragen zur IT-Sicherheit Ihrer Praxis bei und helfen, unsichere Kommunikation zu blockieren.

Weitere Informationen und einen praktischen Leitfaden zum Datenschutz und IT-Sicherheit finden Sie auf der Website der KZBV.

Alexandra Schrei, KZV Nordrhein

Teil 1: Cybersicherheit in der Zahnmedizin