Schützen Sie Ihre Praxis vor Hackern
Schützen Sie Ihre Praxis vor Hackern
In Arztpraxen werden Menschen routinemäßig vor Viren und anderen Krankheiten geschützt. Aber oft setzen Hacker digitale Viren frei und entwickeln andere Bedrohungen, um Gesundheitseinrichtungen und ihren Patienten zu schaden.
Da elektronische Patientenakten (ePA) so viele wertvolle Informationen enthalten, haben es Kriminelle gezielt auf Privatpraxen, Kliniken und Gesundheitssysteme jeder Größe abgesehen. Durch den Diebstahl der Daten können Hacker finanzielle Informationen von Patienten erlangen, darunter Kreditkarten- und Bankkontonummern, Sozialversicherungsnummern, Namen von Familienmitgliedern, Adressen sowie sensible Informationen über den Gesundheitszustand.
Informationen aus gehackten Krankenakten können bis zu 10-mal oder mehr so viel wert sein wie gestohlene Kreditkartennummern. Das Cybersicherheitsunternehmen Trustwave schätzt den Schwarzmarktwert von Krankenakten auf 250 € pro Stück (PDF), während Kreditkartennummern im Dark Web für etwa 5 € pro Stück verkauft werden.
Nach Angaben des Ministeriums für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten gehen Cybersecurity-Bedrohungen im Gesundheitswesen im Allgemeinen von folgenden Faktoren aus:
• Malware – Bösartige Software mit Viren oder gefährlichem Code, die darauf abzielt, ein Computersystem zu stören, zu beschädigen oder sich unbefugten Zugang zu verschaffen.
• Phishing-Angriffe – Ungezielte Massen-E-Mails, die an viele Menschen geschickt werden und in denen sie um vertrauliche Informationen gebeten oder zum Besuch einer gefälschten Website aufgefordert werden.
• Ransomware – Ein Cyberangriff, der die Nutzung von Daten und Systemen blockiert, bis Sie ein Lösegeld zahlen.
Wie häufig sind Sicherheitsverstöße im Internet?
Nach Angaben der US-Regierungsbehörde „Administration for Strategic Preparedness and Response“ (ASPR, zu Dt.: Behörde für strategische Bereitschaft und Reaktion):
• Haben vier von fünf Ärzten in den USA bereits eine Form von Cyberangriff erfahren
• Gab es in den letzten 13 Jahren 5.150 Datenschutzverletzungen im Gesundheitswesen mit 500 oder mehr Datensätzen
• Wurden 382.262.109 Gesundheitsdaten bei diesen Verstößen offengelegt
• Kam es im Jahr 2022 in Gesundheitseinrichtungen zu 700 Sicherheitsverletzungen mit 500 oder mehr Datensätzen
700 klingt zwar nicht nach einer astronomisch hohen Zahl, aber die Statistiken und Chancen stehen schlecht, wenn Hacker Ihre Praxis oder Ihr Gesundheitssystem angreifen. Sie tragen nicht nur die Verantwortung für die Behandlung Ihrer Patienten, sondern auch für den Schutz ihrer sensiblen Daten und Gesundheitsakten. Tatsächlich sollten Sie die Cybersicherheit als eine Erweiterung der Patientensicherheit betrachten, insbesondere weil Hacker auch auf Software zugreifen können, die medizinische Geräte wie Herzschrittmacher oder Infusionspumpen steuert.
Investieren Sie in eine Versicherung für Cyberschutz
Ihr Geschäftsplan und Ihr Budget sollten eine Cyberschutz-Versicherung enthalten, die Ihre Haftung für Datenschutzverletzungen im Zusammenhang mit sensiblen Patientendaten abdecken kann. Online-Betrug kann Ihre Praxis Geldstrafen, Prüfungen, Rechtsstreitigkeiten und Sie Ihr Geschäft und Ihren Ruf kosten. Hacker können auch erhebliche Ransomware-Gebühren verlangen.
Die Kosten für die Wiederherstellung von Daten aus dem Gesundheitswesen sind fast dreimal so hoch wie in anderen Branchen – durchschnittlich 408 € pro gestohlenem Datensatz aus dem Gesundheitswesen gegenüber 148 € pro gestohlenem Datensatz aus anderen Branchen.
Eine Cyberschutz-Versicherung hilft Ihnen in der Regel bei den folgenden Punkten:
• Benachrichtigen von Patienten über eine Datenschutzverletzung
• Rechtsberatung bei Rechtsstreitigkeiten über den Schutz der Privatsphäre
• Schadenersatz für entgangene Geschäftseinnahmen aufgrund einer Datenschutzverletzung
• Wiederherstellung gefährdeter Daten
• Reparatur beschädigter Computersysteme
• Wiederherstellung der privaten Identitäten von betroffenen Kunden
Laut einer Studie von AdvisorSmith, im Rahmen derer Kostenvoranschläge und Tarife von mehr als 43 Versicherungsunternehmen in den gesamten USA zusammengetragen wurden, liegen die Prämien für Cybersecurity-Versicherungen für Unternehmen mit moderaten Risiken zwischen 650 € und 2.357 € pro Monat.
Der Schutz der Daten Ihrer Patienten verhindert nicht nur schädliche Folgen für diese. Es erspart Ihrer Praxis auch Zeit, Stress, finanzielle Einbußen und Rufschädigung.
Überlassen Sie Ihren IT-Bedarf externen Anbietern
Sie sind auf das Gesundheitswesen spezialisiert, nicht auf Informationstechnologie (IT), daher ist es für Sie als kleine Praxis am besten, wenn Sie Ihre IT-Anforderungen auslagern. Eine Internetsuche nach IT-Diensten für Cybersicherheit im Gesundheitswesen liefert viele Ergebnisse, die Ihnen den Einstieg erleichtern. Dieser Leitfaden des U.S. Department of Health and Human Services hilft Ihnen, Ihren IT-Bedarf zu ermitteln.
Erstellen Sie einen Reaktionsplan für Zwischenfälle
Ihr IT-Partner kann Ihnen bei der Entwicklung eines Notfallplans helfen, in dem die Schritte festgelegt sind, die im Falle einer Online-Sicherheitsverletzung zu ergreifen sind. Wenn Sie keinen IT-Berater beauftragen, sollten Sie einen eigenen Notfallplan aufstellen, damit Ihre Praxis vorbereitet ist.
Mitarbeiter, die nur selten mit Cyberangriffen konfrontiert werden, wissen möglicherweise nicht mehr, was zu tun ist, wenn es zu einem Angriff kommt, und die Geschäftsleitung auch nicht. Ein Plan hilft dabei sicherzustellen, dass alle wissen, was zu tun ist.
Bestimmen Sie eine Person in Ihrem Unternehmen, die sich im Rahmen dieses Plans um IT-Sicherheitsfragen kümmert. Selbst wenn Sie einen IT-Berater haben, kann eine vertrauenswürdige Person aus Ihrem Mitarbeiterkreis als Verbindungsperson fungieren. Legen Sie die Prioritäten so fest, dass Ihre Kontaktperson über genügend Autorität, Status und Unabhängigkeit verfügt, um effektiv arbeiten zu können.
Ebenso ist wichtig: Beschränken Sie den Zugriff auf Software-Programme auf diejenigen, die sie benutzen müssen. Diese Sicherheitsmaßnahme wird Ihre Anfälligkeit für mögliche Verstöße verringern.
Wiederholen Sie die Grundlagen der Sicherheit
Während die meisten von uns bei technischen Begriffen abschalten, können Mitarbeiter Ihren Notfallplan durchgehen und die Sicherheitsgrundlagen verstehen. Wenn Sie sicherstellen, dass Ihre Praxen diese grundlegenden technischen Schutzmaßnahmen ergreifen, können Sie dadurch böse Akteure in der Cyberwelt abwehren.
Ihr Plan für die Reaktion auf einen Zwischenfall sollte Sicherheitsvorkehrungen wie diese beinhalten:
• Förderung einer Multifaktor-Authentifizierung und sicherer Passwörter: Diese zusätzlichen Sicherheitsmaßnahmen stellen für Hacker ein größeres Hindernis dar.
• Installation von Antivirus-Software: Angreifer kompromittieren Computer in kleinen Büros hauptsächlich durch Viren und ähnlichen Code, der Schwachstellen ausnutzt.
• Einsatz von Firewalls: Diese Netzwerksicherheitsgeräte überwachen den eingehenden und ausgehenden Netzwerkverkehr. Sie erlauben oder blockieren den Zugriff auf Daten auf der Grundlage einer Reihe von Sicherheitsregeln.
• Säuberung von Computern und anderen Geräten: Löschen Sie gespeicherte Daten, bevor Sie veraltete Computer spenden oder entsorgen.
• Seien Sie vorsichtig bei der Installation von Software – ist sie wirklich notwendig? Akzeptieren Sie die Standardeinstellungen nicht, ohne sie vorher zu überprüfen. Führen Sie außerdem regelmäßige, empfohlene Aktualisierungen durch.
Ein gut vorbereiteter, gründlicher Cybersicherheitsplan sollte ein wesentlicher Bestandteil Ihres Geschäftsplans sein, um Ihre Patienten und das Unternehmen zu schützen, an dessen Aufbau Sie so fleißig gearbeitet haben.