Hacker-Angriff in der Arztpaxis: Wie kann man sich schützen?
Die fortschreitende Digitalisierung im Gesundheitswesen hat nebst vielen Vorteilen auch eine nicht zu verharmlosende Schattenseite: Hacker könnten versuchen, in Systeme einzudringen, um an besonders sensible Daten heranzukommen und Institutionen zu erpressen. Aus Spitälern wurden schon mehrere Fälle publik. Aber auch in Arztpraxen sind Hackerattacken keineswegs nur graue Theorie. Die FMH ist über mehrere Vorfälle im Bilde, wie auf Anfrage gegenüber Medical Tribune bestätigt wurde.
Spitäler, zunehmend digitalisiert und vernetzt, befinden sich schon seit einiger Zeit im Visier von Hackern. Die Arbeit mit hochsensiblen (Patienten-)Daten und der Umstand, dass es oft um Leben und Tod geht, machen solche Institutionen besonders anfällig für Erpressungen.
Nicht immer geht es so glimpflich aus wie etwa im Spital Wetzikon im Zürcher Oberland. Über eine gefälschte E-Mail war ein Computer mit einem Trojaner infiziert worden und die Software lud weitere Schadprogramme nach. Dank guter Vorbereitung und aufmerksamen IT-Mitarbeitenden liess sich der Schaden in Grenzen halten. In einem deutschen Unispital dagegen hatte ein Hacker-Angriff schwerwiegende Folgen. Eine Zeit lang konnten keine Operationen mehr durchgeführt werden. Ebenso mussten laut Medienberichten die Notfallaufnahme geschlossen und sogar Rettungswagen umgeleitet werden.
Arztpraxen sind meist zufällige Opfer
Arztpraxen stehen zwar im Vergleich zu Spitälern (noch?) nicht im selben Ausmass im Fokus von Cyberkriminellen. Aber auch sie bleiben nicht von Angriffen verschont. «Wir haben in der Tat schon Berichte über Cybervorfälle in Arztpraxen erhalten», teilt die FMH auf Anfrage mit. «Die Betroffenen wenden sich entweder an die Kantonspolizei oder versuchen – im Falle von Erpressungen – die Forderungen des Angreifers selber zu erfüllen.» Die FMH habe aber keine Hinweise, dass Hacker bei Schweizer Arztpraxen systematisch vorgehen. Vielmehr seien diese «zufällig» Opfer (zum Beispiel von Ransomware, einer schädlichen Verschlüsselungssoftware).
Bei tangierten Arztpraxen handelt es sich gemäss Abklärungen der FMH vor allem um Fälle, in denen private Geräte verwendet und mit Malware infizierte Dateien in das Praxissoftwaresystem – etwa per USB-Stick – übertragen werden. Auch E-Mails sind ein grosses Einfallstor für Malware. Sicherheitsrisiken gibt es grundsätzlich sowohl beim Cloud-Service-Anbieter, bei der Netzwerkverbindung als auch beim Anwender.
Auch beim Datenspeicher Cloud den Datenschutz berücksichtigen
Apropos Cloud: Eine Entwicklung, welche die Interessensvertretung der Ärzteschaft nach eigenen Angaben zunehmend beschäftigt, ist die Auslagerung der Praxis-IT sowie der IT-Anwendungen. Das betrifft Patientendaten ebenso wie unter anderem Audio- oder Video-Streams. Der Vorteil der Auslagerung besteht zwar darin, dass der Betrieb und der Unterhalt einer eigenen Infrastruktur weitgehend entfallen. Hingegen müssen gerade bei der Bearbeitung von sensiblen Patientendaten Anforderungen an den Datenschutz, die Datensicherheit sowie an das Arzt- und Patientengeheimnis geregelt und erfüllt werden. Die FMH betont in diesem Zusammenhang, dass die Auslagerung von IT-Aktivitäten eine Arztpraxis nicht von ihren gesetzlichen Pflichten bezüglich Berufsgeheimnis sowie Dokumentations- und Sorgfaltspflichten entbinde.
Die FMH unterstützt ihre Mitglieder deshalb mit einem Rahmenvertrag für Cloud-Dienste. Aufgelistet werden Rechte und Pflichten der Vertragsparteien sowie die durch den Anbieter zu erfüllenden Sicherheitsmerkmale. Nähere Angaben finden Sie hier.
Um die Bedeutung einer vertraglichen Regelung zu unterstreichen, verweist die FMH auf den Fall der CompuGroup Medical. Ende Dezember 2021 machte das in Deutschland beheimatete Unternehmen publik, dass seine internen Systeme von einem Hacker-Angriff betroffen wurden. Diese Firma produziert Anwendungssoftware zur Unterstützung ärztlicher und organisatorischer Tätigkeiten u.a. in Arztpraxen und bietet auch in der Schweiz Produkte an.
Die FMH ist Mitglied des geschlossenen Kundenkreises MELANI (s. Kasten) und wird über die aktuelle Sicherheitslage informiert. Demnächst soll ein Newsletter aufgebaut und Interessierten zur Verfügung gestellt werden. Schulungen für Ärztinnen oder Ärzte, die ihre Praxis bestmöglich sichern wollen, bietet die FMH dem Vernehmend nach aktuell keine an. Die Organisation verweist aber auf entsprechende Angebote der Health Infonet AG (Awareness-Schulungen).
Malware kann sich schrittweise ausbreiten
Arztpraxen existieren in unterschiedlichsten Formen, von – immer seltener werdenden – Einzelpraxen über Gruppenpraxen bis zu Praxisketten. Bei Gemeinschaftspraxen ist besondere Vorsicht geboten. Malware kann sich schrittweise in den IT-Systemen ausbreiten, etwa über Backup-Komponenten oder andere Patientendatenbanken. «Sind diese nicht strikt isoliert, ist das Gefährdungsrisiko bei Gemeinschaftspraxen, die Daten untereinander austauschen, sicher höher», so die FMH.
Grössere Unternehmenseinheiten verfügen in der Regel meistens über einen IT-Verantwortlichen, dem auch die Funktion eines Datenschutzberaters zukommt. «Einzelarztpraxen stehen sicherlich vor einer grösseren Herausforderung», bilanziert die FMH. Aufgrund der zunehmenden Komplexität der eingesetzten IT empfiehlt die FMH auch Einzelarztpraxen, einen IT-Beauftragten zu engagieren.
Was passiert im Worst case?
Doch welchen Schaden können kriminelle Hacker überhaupt in einer Praxis anrichten? Die FMH macht vor allem auf drei Gefahren aufmerksam:
- Verlust der Patientendaten (Verletzung der Dokumentationspflicht, gegebenenfalls Haftungsfälle)
- Finanzieller Schaden: die Arztpraxis kann während eines bestimmten Zeitraums nicht abrechnen
- Rechtliche Folgen durch Verletzung des Berufsgeheimnisses (Art. 321 StGB)
In Bezug auf die rechtliche Situation gilt es noch anzufügen, dass die Arztpraxen sicherstellen sollten, dass die Daten in der Schweiz verbleiben. «Das Schweizer Strafrecht und insbesondere das ärztliche Berufsgeheimnis nach Art. 321 StGB kann nur durchgesetzt werden, wenn sich die Daten und alle auf die Daten zugreifenden Personen in der Schweiz befinden. Bei ausländischen Anbietern von Cloud Services kann dies kaum sichergestellt werden (Quelle: Schweizerische Ärztezeitung).»
Die FMH hat auf ihrer Website Empfehlungen für einen IT-Grundschutz publiziert. Grosse Bedeutung wird auf die Sensibilisierung des Praxispersonals gelegt. Jede Praxis sollte Sicherheitsvorgaben auflisten und diese jährlich überprüfen. Zudem muss der Umgang mit Sicherheitsvorfällen in Prozessen definiert werden.