Virtueller Angriff Als Gesundheitsfachperson sind Sie verantwortlich für die sensiblen Daten Ihrer Patienten. Ein zuverlässiger IT-Grundschutz ist somit elementar. Wir geben Tipps, wie Sie die IT-Sicherheit in Ihrer Praxis selber Schritt für Schritt verbessern können.
Patientinnen und Patienten vertrauen ihren Ärztinnen und Ärzten sensible Informationen über sich und ihre Gesundheit an – im Vertrauen darauf, dass diese bei ihnen in sicheren Händen sind. Somit sind Datensicherheit und ein zuverlässiger IT-Grundschutz in Institutionen des Gesundheitswesens elementar. Denn die Sensibilität der im Gesundheitswesen bearbeiteten Daten macht die Branche zu einem attraktiven Ziel für Cyberkriminelle. Wie sieht es bei Ihnen aus, haben Sie einen IT-Schutzplan für Ihre Praxis?
IT-Grundschutz klingt im ersten Moment etwas überfordernd, doch es ist keine Hexerei. Vieles können Sie selber auch ohne grosses IT-Fachwissen umsetzen. In diesem Beitrag unterstützen wir Sie dabei – in einfachen Schritten. Im ersten Teil der Serie haben wir uns auf die Themen IT-Inventar und Backup konzentriert (SAEZ 2023/08 vom 22.02.2023). Heute erklären wir Ihnen, wie Sie Ihr Netzwerk und Ihre Computer schützen.
Netzwerk: Einfallstor für Schadsoftware
In der IT bezeichnet ein Netzwerk die Verbindung von mindestens zwei Computersystemen, entweder per Kabel oder drahtlos über eine Funkverbindung. Beispielsweise werden Computer, Notebooks, Drucker und andere Geräte via Router mit dem Internet verbunden und somit miteinander vernetzt [1]. Netzwerke müssen sorgfältig geschützt werden. Ansonsten können sich unberechtigte Dritte wie kriminelle Hacker Zugang darauf verschaffen, die Kommunikation abhören oder Daten entwenden [2].
Schritt 1: Netzwerkzugang schützen
In einem ersten Schritt gilt es, die Sicherheit des Zugangs zum eigenen Netzwerk zu prüfen. Oft verwenden Arztpraxen für den Internetzugang den Netzwerkadressübersetzungs-Router (NAT-Router), den Sie von Ihrem Internetprovider (z. B. Swisscom, UPC, Sunrise) erhalten haben. Damit fahren Sie schon ganz gut, denn heute verwendete NAT-Router bieten eine sichere Basis. Stellen Sie jedoch sicher, dass Sie Ihren Router genau nach der Anleitung Ihres Providers aufsetzen und ändern Sie das Initialpasswort auf ein neues, sicheres Passwort. Auch ist es wichtig, dass Sie die Verschlüsselung per WPA2 oder WPA3 und einen starken WLAN-Netzwerkschlüssel konfigurieren, falls Sie WLAN auf Ihrem Router aktivieren.
Wer den Zugang zu seinem Netzwerk noch besser schützen möchte, kann dies durch eine Firewall tun. Wenden Sie sich hierfür an eine IT-Fachperson.
Schritt 2: Computer schützen
Mitarbeiterinnen und Mitarbeiter Ihrer Praxis können von ihren Arbeitsstationen aus auf das Internet zugreifen, damit Mails lesen, Links anklicken, und vieles mehr. Somit bietet jedes einzelne Gerät eine Angriffsfläche für Schadsoftware – und muss auch entsprechend geschützt werden. Denn ist ein Computer von Schadsoftware befallen, sind darauf gespeicherte Daten nicht mehr sicher und Angreifer können dadurch auch weitere Computer Ihrer Praxis angreifen.
Erstellen Sie zunächst ein Inventar aller am Netzwerk angeschlossenen Computer. Denn nur wer alle Angriffsflächen kennt, kann diese auch schützen [3]. Hierfür haben wir Ihnen eine Excel-Vorlage [4] erstellt und am Ende dieses Artikels verlinkt. Im Tab «Hardware» erfassen Sie alle in Ihrer Praxis verwendeten Geräte, im Tab «Software» tragen Sie für jedes Gerät die darauf installierten Applikationen ein.
Schritt 3: Schutzmassnahmen definieren
Nachfolgend finden Sie wichtige Schutzmassnahmen, die sich mit überschaubarem Aufwand umsetzen lassen.
Betriebssystem
Moderne Betriebssysteme von Computern und Notebooks verfügen über initial installierte Schutzmassnahmen. Stellen sie sicher, dass diese aktiviert sind.
Zudem sollte auf jedem Gerät stets das aktuellste verfügbare Betriebssystem installiert sein, um neu gefundene Sicherheitslücken schnell zu schliessen. Das von Ihnen erstellte Inventar hilft, den Überblick zu behalten. Optimalerweise konfigurieren Sie die Geräte so, dass die zeitnahe und automatische Installation von Aktualisierungen für Betriebssysteme unterstützt wird.
Software
Installieren Sie auf Ihren Geräten nur Software aus vertrauenswürdigen Quellen, die zum Arbeiten wirklich benötigt wird. Privat genutzte Programme oder Spiele gehören nicht auf einen Computer in Ihrer Praxis. Zudem ist auch bei der Software die Aktualität wichtig: Installieren Sie stets die aktuellen Versionen und führen Sie Updates zeitnah durch.
Virenscanner
Jedes Gerät muss durch ein aktuelles Virenschutzprogramm geschützt sein [5]. Bei Windows-Geräten ist ein genügend sicherer Virenscanner bereits eingerichtet, sofern Sie das Gerät wie vom Hersteller vorgesehen konfigurieren. Bei Mac-Geräten hingegen benötigen Sie einen zusätzlichen Virenscanner. Im erstellen Inventar hilft Ihnen die Spalte «Virenschutz» im Tab «Hardware», den Überblick zu behalten.
Virenschutzprogramme sind so zu konfigurieren, dass alle Dateien beim Zugriff überprüft und regelmässig Aktualisierungen der Virensignaturen vom Hersteller heruntergeladen werden. Auf den Computern sollte regelmässig ein vollständiger Scan (Fullscan) durch das Virenschutzprogramm durchgeführt werden. Zudem dürfen die Benutzenden der Geräte keine Möglichkeit haben, das Antivirusprogramm zu deaktivieren [5].
Passwörter
Alle Geräte sowie jegliche Benutzerkonten im Internet sollten mit einem sicheren Zugangspasswort geschützt sein. Passwort-Manager wie «Keepass», «1Passwort» oder «NordPass» sind hilfreich, um die Passwörter sicher zu speichern. Wichtig: Das sicherste Passwort ist vergebens, wenn es auf einem Post-It neben dem Computer aufgeschrieben wird!
Solide, ausbaubare Basis
Setzen Sie diese Tipps sorgfältig um, legen Sie eine solide Basis für den Schutz des Netzwerks und der Computer in Ihrer Praxis. Es lässt sich nicht leugnen, dass dies initial etwas Zeit und Aufwand erfordert. Doch es lohnt sich – wer sorgfältig vorsorgt, senkt das Risiko von Cyberattacken und Datenverlust. Neben unseren Tipps gibt es zahlreiche weiteren Möglichkeiten, wie Sie die IT-Sicherheit in Ihrer Praxis verbessern können. Möchten Sie noch mehr tun, empfehlen wir Ihnen einen IT-Spezialisten hinzuzuziehen.
Franziska Hubmann
Managerin Marketing & Kommunikation bei Health Info Net AG (HIN).
Uwe Gempp
Security Officer (CSO) und IT-Architekt bei Health Info Net AG (HIN).
Korrespondenz
franziska.hubmann[at]hin.ch
Literatur
1 Digital Guide Ionos. Was ist ein Netzwerk? Definition, Erklärung und Beispiele. (abgerufen am 16.07.2023).
Mit der Kommentarfunktion bieten wir Raum für einen offenen und kritischen Fachaustausch. Dieser steht allen SHW Beta Abonnentinnen und Abonnenten offen. Wir publizieren Kommentare solange sie unseren Richtlinien entsprechen.
Wir brauchen Ihre Unterstützung
Setzen Sie mit dem Abokauf ein Zeichen für die Zukunft unserer Fachzeitschriften!
Mit der Kommentarfunktion bieten wir Raum für einen offenen und kritischen Fachaustausch. Dieser steht allen SHW Beta Abonnentinnen und Abonnenten offen. Wir publizieren Kommentare solange sie unseren Richtlinien entsprechen.