Gratis
18. Juni 2020 - Datenschutz & IT-Sicherheit

Selbst-Check: Cybersicherheit in der Medizin

Drucken

Die steigende Anzahl von Cyber-Attacken wird zunehmend auch ein Problem für medizinische Einrichtungen. Diese müssen aber gerade in Zeiten von Corona einen störungsfreien Betrieb garantieren. Was können Labore, Krankenhäuser und Arztpraxen konkret tun?

Wie können sich Ärzte, Krankenhäuser und andere medizinische Einrichtungen gegen Cyberattacken schützen? Krankenhäuser und Arztpraxen sind heute digital vernetzt. Damit werden sie Ziel der immer häufigeren Cyber-Angriffe. Wie können sich medizinische Einrichtungen gegen die drohende Gefahr schützen? (Bild: pcess609 / iStock / Getty Images Plus)

Eine Liste zum Selbstcheck für Mediziner gibt es bei den Bayerischen Datenschutzbehörden.

Vom Patch Management bis zum Social Engineering. Die Handreichung „Cybersicherheit für medizinische Einrichtungen“ ist in 16 Themenbereiche gegliedert und bietet praktische Listen zum Abhaken.

Das Dokument wurde gemeinsam vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) verfasst.

Checkliste für medizinische Einrichtungen

Der Hausarzt um die Ecke, das Labor für den Corona-Test, das Krankenhaus im Landkreis oder das Universitätsklinikum in der Stadt – sie alle können mit der fünfseitigen Liste schnell checken, welche Praxismaßnahmen zur Cybersicherheit sie ergreifen müssen. Wir haben die wichtigsten Punkte für Sie herausgefiltert.

Ist die Software aktuell?

Setzen wir aktuelle Software ein? Führen wir regelmäßige Sicherheitsupdates durch?

Diese beiden Fragen sollten sich medizinische Einrichtungen als Erstes stellen. Denn veraltete Software hat oft Schwachstellen und erhöht damit das Angriffsrisiko.

Unter dem Stichwort „Patch Management“ geht es in der Checkliste deshalb um Betriebssysteme, Software und regelmäßige Updates.

Wer sich noch weiter darüber informieren will, findet auch auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik viele Hinweise:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_3_Patch-_und_Änderungsmanagement.html

Gibt es Malware-Schutz?

Ein Befall mit Schadcode kann zu einer erheblichen IT-Störung führen. Deshalb sind aktuelle Antiviren-Programme überaus wichtig.

Mit der Checkliste können medizinische Einrichtungen ihren sogenannten Malware-Schutz überprüfen. Zum Beispiel:

  • Aktualisieren wir täglich unser Antiviren-Programm?
  • Erfassen wir alle Alarmmeldungen zentral?
  • Haben unsere IT-Administratoren einen Ablaufplan für einen Malware-Befall?

Haben Trojaner eine Chance?

Auch Trojaner können den Betriebsablauf zum Stillstand bringen. Cyberdiebe und Hacker könnten zum Beispiel gezielt Daten von medizinischen Einrichtungen verschlüsseln, um Lösegeld zu erpressen.

Proaktive Maßnahmen zum so genannten „Ransomware-Schutz“ sind deshalb essentiell. Die Checkliste empfiehlt etliche Maßnahmen – vom weitestgehenden Verzicht auf Makros bis zum Notfallplan für den Umgang mit Verschlüsselungstrojanern.

Wie bleiben Laborergebnisse sicher?

Immer mehr Labore bieten auf ihrer Webseite einen Online-Abruf von Laborergebnissen an. Das interessiert oft nicht nur die Einsender der Proben, sondern auch Hacker.

Um keine Angriffsfläche für Hacker zu bieten, brauchen medizinische Einrichtungen vor allem sichere und für jeden Einsender unterschiedliche Zugangsdaten, SSL-Verschlüsselung und regelmäßige Software-Updates sowie die vollständige Protokollierung aller Zugriffe.

Was muss ins Notfall-Konzept?

Wichtige medizinische Geräte müssen rund um die Uhr zur Verfügung stehen. Und auch Kommunikationsprogrammen sowie grundlegende Daten sind für den reibungslosen Betrieb einer medizinischen Einrichtung notwendig.

Doch was passiert im Fall der Fälle, wenn alle Systeme ausfallen? Gibt es ein Notfall-Konzept? Ist es aktuell? Kann eine Notfall-Reserve-Hardware die Ausfälle kompensieren? Wer muss intern und extern informiert werden?

Fragen über Fragen, die medizinische Einrichtungen mit der Checkliste zur Cybersicherheit beantworten – und für den Notfall vorsorgen – können.

Was ist sonst noch wichtig?

Weitere Themenfelder, um die sich medizinische Einrichtungen zu ihrer eigenen Cybersicherheit kümmern sollten, sind:

  • Passwort-Schutz
  • Zwei-Faktor-Authentifizierung
  • E-Mail-Sicherheit
  • Backups
  • Home Office
  • Fernwartung
  • Administratoren
  • Netztrennung
  • Firewall
  • Datenschutzbeauftragter
  • Social Engineering.

Das Bayerische Landesamt für Datenschutzaufsicht und der Bayerische Landesbeauftragte für den Datenschutz haben auch hier viele Vorschläge für eine gezielte Prävention.

Mehr Informationen:

Elke Zapf