Die Digitalisierung des Gesundheitssystems ist in vollem Gange: Online-Terminvereinbarung, Gesundheits-Apps und sogar Videochats mit Ärzt*innen sind heute bereits Standard. Aber was ist mit dem Schutz unserer Daten? Wir sprechen mit dem Cyberschutz-Experten Mike Amelang.
Hallo Mike. Ich frage mal ganz direkt: Wie hoch ist die Gefahr von Cyberkriminalität im Gesundheitsbereich?
Man geht davon aus, dass minütlich hunderttausende Angriffe und ähnliche Bedrohungsszenarien im Netz geschehen. So natürlich auch auf Praxis- und Apothekercomputern. Die finden mit unterschiedlichsten Intentionen, Attacken und Stärken statt. Man kann sich dagegen schützen, indem man ein gutes Virenprogramm hat, regelmäßig Updates macht, die neueste Soft- und Hardware nutzt und bei einem Schadenfall gut abgesichert ist.
Die Gefahr und deren Wahrnehmung steigt mit der steten Zunahme der Digitalisierung der Gesellschaft. Es ist eben nur eine Frage der Zeit, wann etwas passiert.
Wie kann man sich das vorstellen? Sitzen irgendwo fünfzehnjährige Hacker und vertauschen in einer Berliner Arztpraxis die Medikation von Patient*innen?
Das gibt es schon. Wenn man sich die Karrieren von Hackern anschaut, findet man viele interessante Aspekte. Oft beginnt so etwas damit, dass sich junge technik-affine Menschen mit ersten Angriffen und Hackversuchen profilieren wollen.
Es gibt sogar eine Art Rangliste oder Stellenausschreibungen für bestimmte Cyberverbrechen, die man im Darknet bewerben kann.
Die größte Gefahr geht allerdings von automatisierten Angriffen aus. Dabei werden Systeme automatisch nach offenen Lücken abgesucht. Das ist etwa einer der wichtigsten Gründe, warum man die Updates machen soll.
Eine andere Form von Cyberkriminalität geht von entlassenen oder unzufriedenen Mitarbeitern aus, die reihenweise Patient*innen oder Kund*innendaten mitnehmen und diese dann an Dritte weitergeben. In einer solchen Situation sind Ärzt*innen und Apotheker*innen erpressbar, denn sie haben nicht mehr die Datenhoheit. Hier kann man sich schützen, indem man seine Mitarbeiter*innen die Richtlinien zum Schutz von Patient*innen-Daten unterzeichnen lässt.
Schäden durch Cyberkriminalität in Deutschland von 2006 bis 2019
Cyberkriminalität verursachte im Jahr 2019 in Deutschland Kosten in Höhe von ungefähr 87,7 Millionen Euro.
Der / die Mitarbeiter*in kann diese Daten dann zwar mitnehmen, macht sich aber straf- und haftbar. Hieran sieht man deutlich, dass es wichtig ist, ein professionelles Datenschutzkonzept zu haben. Merkblätter der Kammern oder aus dem Internet greifen zu kurz!
Welche Leistungen umfasst dein spezielles Angebot?
Unser Leistungsspektrum unterstützen Ärzt*innen und Apotheker*innen im Bereich des Datenschutzes, des IT-Schutzes und der Schadenfolgen-Absicherung bei Informationsschäden. Das bedeutet, dass die Arztpraxen und Apotheken in Zukunft haftungssicher und Schaden minimierend arbeiten können.
Wir erleben, dass unsere Dienstleistungen Druck und Angst aus den Praxen in Bezug auf den Datenschutz nehmen, denn die Dinge sind geregelt. Eine wichtige Unterscheidung ist in Bezug auf die Arbeit der bestehenden IT-Dienstleister*innen zu machen. Diese kümmern sich um die Erstellung, Austausch, Erneuerung der IT und den laufenden Betrieb. Datenschutzkonzepte oder ein IT-Sicherheitscheck gehören nicht zu den Aufgaben der klassischen IT-Dienstleister*innen. Folgeschäden wie Betriebsunterbrechung, Ausfallschäden, Bußgelder oder Erpressungsforderungen tragen IT-Dienstleister* innen auch nicht.
Wir helfen unseren Mandant*innen, die Komplexität des Datenschutzes von den Formalien bis zum Schaden zu meistern. Jede Praxis und Apotheke sollte im eigenen Interesse diese Aufgaben eigentlich umsetzen. Die Aufgaben können auch an uns delegiert werden. Damit schafft die Praxis oder Apotheke eine Professionalisierung.
Cyberkriminalität ist eine vielseitige, hoch professionelle und arbeitsteilige Branche, die die Corona-Krise gekonnt für sich nutzt. Unternehmen müssen sich gegen Angriffe wappnen und in die Sicherheit ihrer Daten investieren.
Seit Begin des Jahres gibt es die elektronische Patientenakte, das Gesundheitssystem wird gerade komplett digitalisiert. Ein Beispiel ist die Online-Terminierung. Was sind die Vorteile?
Ich bin ein großer Freund der Digitalisierung. Sie wird den Menschen dabei helfen, schneller ans Ziel zu kommen. Praxen und Apotheken können effizienter und einfacher Daten verwalten, sei es die Medikation, die Abrechnungen und viele andere administrative Dinge. Für die Patient*innen entsteht der Vorteil, dass sämtliche personenbezogene Gesundheitsdaten abrufbar sind. Man hat so alle Diagnosen, Röntgenbilder und Blutbefunde parat und das auf Knopfdruck.
Die Digitalisierung ist eine große Chance, die Prozesse und Ergebnisse zu optimieren. Man muss jedoch betonen, dass sensible Daten über öffentliche Systeme versendet werden. Hier muss man für sehr hohe Sicherheit sorgen.
Dazu gehören Mitarbeiter*innendaten, Praxisdaten, Patient*innendaten, Kund*innendaten wie auch etwa der Austausch von Labordaten.
Wie geht man als Ärzt*in oder Apotheker*in nun vor, wenn man mehr Sicherheit möchte?
Zu allererst muss sich jede Ärzt*in oder Apotheker*in dem Thema Datenschutz stellen und zur Chef*innensache machen. Denn es geht um die Existenz der Praxis oder Apotheke. Wenn die Digitalisierung die Zukunft ist und alles digital verarbeitet wird, dann ist es elementar, den Datenschutz in jeder Arztpraxis und Apotheke professionell abzubilden. Zum Beispiel ist die Einsetzung von Datenschutzbeauftragten durch unausgebildete Ärzt*innen oder Mitarbeiter*innen nur eine Scheinlösung, da Datenschutzbeauftragter*e ohne Kenntnisse bußgeldfähig sind.
Gerade im Schadenfall führt dies in der Folge zu möglichen existenzbedrohenden Auswirkungen. Im Schadenfall ist sofortige Hilfe gefragt. Die Frage, ob Schaden-Assistance- Leistungen 24/7 zur Verfügung stehen, muss mit „Ja“ beantwortet werden. Eine „Aufschieberitis“ geht nicht auf. Allen verantwortungsvollen Ärzt*innen oder Apotheker* innen sollte dies bewusst sein. Es müssen jetzt die entsprechenden Maßnahmen angegangen werden.
Die Entscheidung über die Umsetzung mündet darin, ob Ärzt*innen oder Apotheker*innen die Datenschutz-Maßnahmen intern durch eigene Mitarbeiter*innen regeln oder sich externen Spezialist*innen anvertraut.
Wichtig ist: Man muss aktiv werden!
Doch wie bei allen größeren Vorhaben empfiehlt es sich, einen professionellen Anschieber zu nutzen. Später kann man unter Umständen die notwendigen Aktivitäten selbst regeln, wenn man weiß, worum es geht. Wir bieten etwa an, die Grundlagen für eine sichere Praxis oder Apotheke zu legen und später die vorbereiteten Maßnahmen in die Hände der jeweiligen Praxis zu legen. Letztlich zeigt sich anhand der stetig steigenden Komplexität der Digitalisierung, dass ein Aussitzen am Ende teuer zu stehen kommt. Die Auswirkungen der Digitalisierung sind neu und erwarten neue Antworten.
Mike Amelung, Cyberassistance
Mike Amelang
Mehr Information gibt es bei:
Mike Amelang
Thomasiusstraße 14
10557 Berlin