Arztpraxen und Pflegeeinrichtungen entwickeln sich mit der fortschreitenden Digitalisierung zu sensiblen Knotenpunkten im digitalen Gesundheitswesen. Dabei stehen sie zunehmend im Fokus gezielter Cyberangriffe. Der Schutz von Patientendaten und die Absicherung der IT-Infrastruktur sind deshalb Grundvoraussetzung für funktionierende Behandlungsabläufe und das Vertrauen der Bevölkerung ins Gesundheitssystem. Die Kassenärztliche Bundesvereinigung (KBV) hat deshalb Anfang Juli eine bundesweite Informationskampagne gestartet, um die Anforderungen an IT-Sicherheit in der Arztpraxis zu erläutern.
Informationskampagne der KBV
Ausgangspunkt der Offensive ist die Erkenntnis, dass technische Vorgaben allein nicht ausreichen. Zwar wurde die IT-Sicherheitsrichtlinie der KBV zuletzt überarbeitet und inhaltlich erweitert. Doch die beste Richtlinie bleibt wirkungslos, wenn sie die Adressaten nicht verstehen und anwenden. Deshalb richtet sich die Kampagne gezielt an Ärzte sowie psychotherapeutische Praxen.
Im Fokus stehen praxisnahe Informationen und Schulungen rund um IT-Grundschutz, Virenschutz, Phishing-Prävention, Passwortsicherheit, Systemaktualisierungen sowie die sichere Nutzung von Cloud-Diensten. Auch die Frage, wie sich Praxen im Ernstfall eines Sicherheitsvorfalls verhalten sollten, wird aufgegriffen. Insofern hat die KBV beispielsweise ein begleitendes Themenheft zur Erklärung der IT-Sicherheitsrichtlinie veröffentlicht. Besondere Aufmerksamkeit gilt außerdem der zunehmenden Vernetzung über die Telematikinfrastruktur (TI). Diese soll den sicheren Austausch medizinischer Daten zwischen Leistungserbringern, Kostenträgern und Patienten gewährleisten.
Checkliste für IT-Sicherheit
Die KBV bietet in ihrem Themenheft eine Checkliste, die Praxen eine Hilfestellung bei der Gewährleistung des Datenschutzes bieten soll. Erster Schritt hierfür sei, festzustellen, um welche Art von Einrichtung es sich handelt. Dabei unterscheidet die KBV zwischen kleinen Praxen mit 1 bis 5 und mittleren Praxen mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen. Als Große Praxen zählen Einrichtungen, wenn es dort über 21 solcher Personen gibt oder sie überdurchschnittlich viele Daten verarbeiten.
Im nächsten Schritt sei herauszufinden, welche IT-Komponenten eingesetzt werden. Beispielsweise zählen zu solchen Bestandteilen Kartenlesegeräte, Computer, Online-Terminvergabe, medizinische Geräte wir MRTs oder Programme wie Microsoft Office.
Im Anschluss sei festzustellen, welche Schutzmaßnahmen für die entsprechenden Komponenten erforderlich sind. Das beinhalte insbesondere die Einbindung von Praxispersonal etwa durch Sensibilisierungsmaßnahmen wie Schulungen.
Zuletzt sollten Praxen auch erwägen, ob der Einsatz externer IT-Dienstleister zur Umsetzung der IT-Sicherheitsrichtlinie sinnvoll ist. Hierfür stellt der KBV eine Liste mit von ihm zertifizierten Diensten bereit.
Pflegeeinrichtungen geraten zunehmend ins Visier
Auch der Deutsche Pflegerat (DPR) meldet sich mit klaren Forderungen zu Wort. Denn während Arztpraxen in der öffentlichen Diskussion über IT-Sicherheit häufig genannt werden, gerät die Pflege als ebenfalls gefährdeter Sektor oft aus dem Blick. Dabei würden laut einem Expertenpapiers des Deutschen Pflegerats auch Pflegeeinrichtungen vermehrt Angriffe mit Ransomware, DDoS (Distributed Denial of Services) oder Social Engineering verzeichnen. Gerade Einrichtungen, die außerhalb des gesetzlichen Rahmens kritischer Infrastrukturen (KRITIS) agieren, seien oft unzureichend vorbereitet und gleichzeitig besonders angreifbar.
Der DPR fordert daher verbindliche gesetzliche Mindeststandards auch für die IT-Sicherheit in der Pflege. Dies solle im Gesundheitsdatennutzungsgesetz (GDNG) und im Digitale-Versorgung-und-Pflege-Modernisierungsgesetz (DVPMG) festgeschrieben werden. Auch brauche man einheitlich zertifizierte Sicherheitsstandards. Das gelte umso mehr vor dem Hintergrund der Integration in die Telematikinfrastruktur. Gehofft wird insbesondere, dass die Umsetzung von NIS2-Richtlinie und Cyber-Resilience-Act hier Fortschritt bringen wird. Weiterhin sei in Anbetracht branchenspezifischer Regelungen erforderlich, auf Pflegeeinrichtungen zugeschnittene „praxistaugliche, sichere Produkte“ zu entwickeln.
Fazit
Die Initiative der KBV stellt einen notwendigen Schritt dar, um die IT-Sicherheit in der Arztpraxis zu erhöhen. Mit der verpflichtenden Anbindung an die Telematikinfrastruktur und der fortschreitenden Digitalisierung der Versorgung steigt auch das Bedrohungspotenzial im Gesundheitswesen. Der Ansatz, IT-Sicherheit nicht nur als technische Frage, sondern als kontinuierlichen Schulungs- und Organisationsprozess zu begreifen, ist daher richtig und notwendig. Bei der Umsetzung der entsprechenden Vorgaben sowie der IT-Sicherheitsrichtlinie unterstützen wir Sie als Externe Datenschutzbeauftragte.
