IT-Sicherheit

Um Sicherheitslücken in einer Praxis zu verstehen, ist zunächst einmal der normale Tagesablauf zu betrachten. Die ersten Patienten stehen ab 08:00 Uhr vor der Praxis. Nach kurzer Zeit ist das Wartezimmer voll. Immer wieder klingelt das Telefon, die Vergabetermine werden immer länger. Gegen 18:00 Uhr verlässt der letzte Patient die Praxis. Wer in einem solchen Tagesablauf nach IT-Sicherheit fragt, landet bei den Vergabeterminen ganz weit nach hinten. Aber genau das wissen auch die Angreifer.

Sicherheit durch die richtige Hardware

In den meisten Praxen läuft die Hardware ununterbrochen durch. Dies betrifft vor allem den oder die Server. Während der typische Arbeitsplatzrechner zum Feierabend hin ausgeschaltet wird, beginnt auf der Serveranlage die nächste Schicht. Daher sollte der Server großzügig mit Hauptspeicher und Festplattenplatz ausgestattet sein. Empfehlenswert ist daher ein Marken-Server, dessen Komponenten auf 24/7 ausgelegt sind und damit eine permanente Verfügbarkeit sichergestellt werden kann.

Diese Sicherheitskomponenten werden durch den Server vorgenommen:

• Backup und Restore (Schutz vor Datenverlust)
• Schattenkopien (optionaler Serverdienst, der gelöschte Daten im laufenden Betrieb wieder herstellt)
• Redundanz für die Hochverfügbarkeit (zum Beispiel durch eine USV und/oder ein zweites Servernetzteil)
• Erhöhung der Serverfügbarkeit durch einen Backupserver (optional)

Eine weitere Hardwarekomponente für die Sicherheit in der Praxis IT stellt der Switch dar. Denn hier werden in einem strukturierten Netzwerk die Datenpakete erkannt und verteilt. Verfügt der Switch zusätzlich über eine integrierte Firewall, erschwert dies einem Angreifer den Zugriff auf das Netzwerk der Praxis.

Über die Sicherheitskonfiguration des Switchs sind folgende Sicherheitsmerkmale abgebildet:

• Virenschutz, Schutz vor Malware
• Schutz vor Verschlüsselung durch Dritte (Ransomware)
• Schutz der Inhalte vor unberechtigtem Zugriff

Mittlerweile verfügen alle Praxen über einen zentralen Internetzugang. Über einen Router erfolgt die Internetanbindung und damit können Arztberichte und Patientendaten an externe Stellen versendet werden. Jedoch sollte der Router entsprechend angepasst werden. Hier sind es vor allem die zu konfigurierenden Ports und der Zugriff von mobilen Geräten per WLAN. Der Router sollte zudem über ein Zugriffsmanagement verfügen und nicht aus dem Internet erreichbar sein. Sofern möglich, macht eine Anbindung des Routers an den Switch durchaus Sinn. Denn sollte ein Angriff über den Router erfolgen, wird der Switch dies erkennen und unterbinden.

IT-Sicherheit durch eine intelligente Kabelverlegung

Oft unterschätzt ist die Qualität des Netzwerkkabels, welches für den reibungslosen Netzwerkverkehr zuständig ist. In den meisten Praxen kommt ein Kabel auf Kupferbasis zum Einsatz, da eine reine Glasfaseranbindung zu aufwendig wäre. Allerdings müssen Mindestvoraussetzungen bei der Verlegung und der Kabelqualität eingehalten werden. Ansonsten kommt es immer wieder zu Netzwerkstörungen, wenn die Praxis hochfrequente Diagnosegeräte einsetzt. Daher ist auf eine hohe Abschirmung des Kabels zu achten und die Verlegung sollte nicht im gleichen Kabelkanal wie die Stromleitung erfolgen.

Durch eine fachlich saubere Netzwerkverlegung sind folgende Sicherheitsmerkmale erfüllt:

• Hochverfügbarkeit des Netzwerks
• keine Wartezeiten am Arbeitsplatz

IT-Sicherheit durch richtig konfigurierte Betriebssysteme

Die aktuellen Betriebssysteme für Server und Arbeitsplätze verfügen über umfangreiche Sicherheitsmerkmale, die jedoch entsprechend konfiguriert werden müssen. Neben der Einrichtung der jeweiligen Firewall spielen die Benutzerrechte eine elementare Rolle. Klickt etwa eine Mitarbeiterin unbeabsichtigt auf den Anhang einer Pishingmail, wird der Versuch ins Leere laufen bei der dann beginnenden Installation der Schadsoftware. Bei einem Server/Client Netzwerk ist es daher notwendig, die Benutzerrechte im Anmeldeprofil differenziert zu vergeben.

Mit der Anpassung der Betriebssysteme werden folgende Sicherheitsmerkmale gewährleistet:

• Schutz der Inhalte vor unbefugten Zugriff
• Patientendatenschutz
• Schutz vor Verschlüsselung lokaler Dateien durch Dritte
• Viren- und Pishingschutz
• mit der Konfiguration von Benutzerrechten erfolgt: Authentifizierung – Autorisierung – Authentisierung

IT-Sicherheit der Anwendungssoftware

Die meisten Praxen verwenden für den laufenden Betrieb Standardsoftware zur Erledigung des Schriftverkehrs und E-Mails. Weiterhin kommt eine Praxisverwaltungssoftware zum Einsatz. Auch hier muss die jeweilige Software angepasst werden. Dies betrifft vor allem die Ausführung von Makros und JavaScript. Beim E-Mail-Client sollte die Darstellung auf reinen Text umgestellt werden. Denn nur dann ist für jeden Mitarbeiter ersichtlich, ob eine Mail gefährlich ist oder nicht. Bei einer HTML-Darstellung, die zwar chic ausschaut, kann mittels HTML-Befehlssatz unbemerkt Software auf den Arbeitsplatz installiert werden oder gar Dokumente unbemerkt versendet werden. Daher ist die Anzeige einer E-Mail in HTML grundsätzlich abzuschalten.

Durch die Konfiguration der Anwendungssoftware werden mindestens folgende Sicherheitsmerkmale eingerichtet:

• Schutz vor Schadsoftware und unberechtigten Installationen
• Schutz der Patientendaten
• Absicherung des Arbeitsplatzes

Die Schutzziele der IT Sicherheit in der Praxis IT

Den Fokus bei der Sicherheit in einem IT-Netz nur auf mögliche Hackerangriffe zu legen, wäre einseitig gedacht. Denn es gilt, die IT-Schutzziele:

• Vertraulichkeit
• Integrität
• Verfügbarkeit

jederzeit zu gewährleisten. Erst dann ist ein ununterbrochener Praxisbetrieb möglich. Für die Umsetzung der genannten Punkte muss, je nach Größe der Praxis und Anzahl der Geräte, mindestens ein bis max. vier Arbeitstage einkalkuliert werden.

Zurück zur Praxis IT