Hackergefahr? 7 Sicherheits-Tipps für Praxen und kleine Health-Firmen

Das Thema ging vor wenigen Tagen um: Reihenweise wurden Spitäler in Europa und Amerika von Hackern und Cyber-Erpressern angegriffen und finanziell erleichtert wurden (mehr dazu auch hier). Kann man sich da wappnen? Soll man sich wappnen? 

Im Fachorgan «Health Data Management» hat ein Sicherheitsexperte sieben Tipps dazu veröffentlich – Tipps, die sich explizit an kleinere Gesundheitsdienstleister richten: Arztpraxen, Gruppenpraxen, Kleinstkliniken. Denn auch sie, so Chase Cunningham, können sich nicht darauf verlassen, diskret im Hintergrund zu sein: «Das wird nicht klappen». Cunningham arbeitet als Bedrohungs-Analyst bei der Cloud-Sicherheitsfirma Armor Defense. 

Ärzte und Mitarbeiter einer medizinischen Praxis interessieren sich meist nicht für IT-Sicherheit, ihr Motto: Uns beachtet sowieso keiner. Nur: Dies ist die Basis für falsches Verhalten – zum Beispiel, indem man leichtfertig fatale Anhänge öffnet.

Es gibt viele Sicherheitsprogramme, die kleinen Praxen bereits viel Schutz bieten und nichts kosten. Fachmedien bieten hierhier oft rasch einen Überblick (siehe etwa hier und hier).

Und wenn es etwas kosten darf: Das Fachblatt «PC Welt» hat soeben einen Test der «besten Antiviren-Programme 2016» veröffentlicht. 

Idealerweise verwenden Sie ein Netzwerk für Gäste und den Privatgebrauch und eines für den engeren Praxisbedarf und insbesondere für die Patientendaten. Für den Einstieg bei letzterem empfiehlt sich eine zweifache Authentifizierung (also zum Beispiel neben dem Passwort auch über einen SMS-Code).

Wenn eine Praxis ihre Informatik extern betreuen lässt (oder lassen will), oder wenn sie einen externen Host und eine Cloud-Lösung hat, sollte auch einige Fragen zur Sicherheitskultur des Anbieters stellen. Fragen dazu wären: Betreiben Sie Bedrohungs-Management? Welche Verletzlichkeits-Tests machen Sie? Welche Verschlüsselungs-Methoden wenden Sie an?

Auch hier lässt sich etwas über den Ruf der gewählten Anbieter herausfinden und womöglich eruieren, ob ein Outsourcing-Partner für jeden Anwendungsbereich der Firmen-Software die bestmögliche Lösung hat und integriert.

Zwei Aspekte seien hier zu berücksichtigen, so Chase Cunningham: Erstens, dass die Angestellten immer wieder aktuell gehalten und sensibilisiert werden. Und zweitens, dass neueintretende Mitarbeiter auch auf Sicherheitsstandards angesprochen werden.

Ein Ratschlag aus der Erfahrung: Auch im IT-Bereich, so der Sicherheitsexperte, gibt es offenbar zahlreiche Unternehmen, die mehr versprechen als ihr Personal und ihr Knowhow halten können. Eine Faustregel dazu: «Wenn Ihnen einer sagt, dass er alles beherrscht in der Technologie, dann lügt er».