Awareness in Arztpraxen: Datenpannen vermeiden

Sensibilisierung ist unabdingbar, aber nur die eine Seite der Medaille

[datensicherheit.de, 28.08.2019] Seit Anfang 2019 sind beim baden-württembergischen Datenschutzbeauftragten Dr. Stefan Brink rund 1.000 Meldungen über Datenpannen eingegangen. Die Themen reichen von Ransomware-Vorfällen bis hin zum Fehlversand von Arztberichten. Im Gespräch mit Carsten J. Pinnow für datensicherheit.de (ds) erläutert Matthias Kess, CTO der auf Kommunikationslösungen spezialisierten Cryptshare AG aus Freiburg im Breisgau, was Mitarbeiter in Arztpraxen tun können.

Bild: Cryptshare AG

Matthias Kess, CTO, Cryptshare AG

ds: Wie können Mitarbeiter für das Thema sensibilisiert werden?

Kess: Die Schlussfolgerung aus dem aktuellen Bericht des Datenschutzbeauftragten, ebenso wie aus den bekannt gewordenen Datenpannen der vergangenen Jahre, kann nur lauten: Die Sensibilisierung der Mitarbeiter, idealerweise in Form von regelmäßigen Schulungen, ist unabdingbar. Schließlich spielen die Anwender die zentrale Rolle bei allen Fragen rund um IT-Sicherheit.
Dazu kommt im täglichen Umgang ein gesunder Menschenverstand – was zu gut klingt, um wahr zu sein, ist in der Regel genau das: zu gut, um wahr zu sein! Aber auch andere Auffälligkeiten wie ein seltsames Erscheinungsbild oder ein unerwarteter Absender von ansonsten vertraut wirkenden E-Mails sind verdächtig. Doch das ist nur die eine Seite der Medaille, die auch nicht isoliert betrachtet werden sollte. Die andere ist die Unterstützung durch entsprechende technische Lösungen.

ds: Wie können Prozesse auch in kleinen Strukturen ordentlich gehandhabt werden, um derartige Vorfälle zu reduzieren oder sogar auszuschließen?

Kess: Nicht nur in der Medizin, sondern auch in der IT sollte eine regelmäßige „Vorsorgeuntersuchung“ durchgeführt werden. Um eine fundierte Diagnose stellen zu können, muss man einen genauen Blick in die vorherrschenden Kommunikationsprozesse werfen.

Und hier ist es ganz grundsätzlich nötig, einen Perspektivenwechsel vorzunehmen – hin zu den in vielen medizinischen Einrichtungen vorherrschenden Kommunikationsprozessen. Sie sind ganz offensichtlich ein Teil des Problems und machen bestimmte Bereiche so angreifbar. Der Gesundheitssektor, der wegen verschiedener Ransomware-Vorfälle schon mehrfach die Schlagzeilen bestimmte, hat beispielsweise Eigenheiten wie „Makros“ in Office-Programmen, die in medizinischen Einrichtungen häufig aktiviert sind.

Die gute Nachricht dabei: Es ist nur eine kleine Stelle, an der diese Prozesse anders gehandhabt werden müssten, um Einfallstore zu schließen und das Schutzniveau zu erhöhen. Es genügt eine einfache und schnell umzusetzende Maßnahme: die Umstellung der internen Workflows und der Einsatz entsprechender Lösungen, die dafür sorgen, dass vorab definierte Dateitypen erst gar nicht per E-Mail angenommen werden können. Wenn sie stattdessen über geeignete Dateiübertragungssysteme ausgetauscht werden, wird die massenhafte Verbreitung von Schadcode aufgrund vorhandener Authentifizierungsmaßnahmen für Absender und Empfänger unmöglich gemacht.

ds: Die am häufigsten gemeldeten Datenschutzverletzungen waren Postfehlversand, Hacking-Angriffe/Malware/Trojaner sowie E-Mail-Fehlversand. Welche Rolle spielt E-Mail in diesem Zusammenhang?
Kess: Die E-Mail spielt in der ganzen Thematik eine zentrale Rolle.

Einerseits hat sie sich gerade im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar. Andererseits kommen gerade hier Sicherheitsfragen ins Spiel: E-Mail-Kommunikation ist ein bevorzugter Angriffsvektor von Kriminellen, Hackern und Wirtschaftsspionen – neun von zehn Cyber-Angriffen starten mit einer E-Mail.

Anders ausgedrückt: E-Mails sind ein zentraler Teil des Problems.

ds: Gibt es so etwas wie fünf praktische Tipps für Arztpraxen, die aber auch leicht umsetzbar sind?

Kess: Da ist zum einen die – bereits angesprochene – Sensibilisierung der Mitarbeiter für unterschiedliche Sicherheitsanforderungen zu nennen.

Auch Sensibilisierung bezüglich der Nutzung sozialer Medien ist wichtig – denn Informationen, die Angreifer aus den sozialen Medien oder aus unverschlüsselten E-Mails ziehen, stellen ein Risiko dar. Und selbst bei verschlüsselten E-Mails (S/MIME und PGP) ist noch im Klartext ersichtlich, wer mit wem über welches Thema kommuniziert – über die Betreffzeile. Das kann bereits ausreichen, um einem der beiden Kommunikationsteilnehmer vertrauenswürdig zu erscheinen und im Rahmen eines Social-Engineering-Angriffs vertrauliche Informationen zu entlocken.

E-Mail bietet als Kommunikationsmedium eine sehr große Angriffsfläche, da die Nachrichten von A nach B einen Weg gehen können, den weder Absender noch Empfänger unter Kontrolle haben. Es empfiehlt sich daher, für schutzbedürftige Daten eine Lösung zu wählen, die den Kommunikationsweg direkter gestaltet, die Angriffsfläche so weit wie möglich verringert und so Kriminellen die Arbeit erheblich erschwert.

Mitarbeiter sollten jedoch auch bei Verwendung einer anderen Kommunikationslösung in der Lage sein, mit jedem beliebigen externen Kontakt, der über eine E-Mail Adresse verfügt, spontan verschlüsselt Informationen austauschen zu können, ohne zuvor die IT auf der einen oder anderen Seite beanspruchen zu müssen. In der Praxis ist jede technische Hürde eine zu viel. Eine Integration in die vorhandene E-Mail-Lösung ist also wünschenswert, denn hier muss kein neues Know-How erlernt werden.

Eine solche Lösung sollte zudem in der Lage sein, auf dem gleichen Wege nicht nur Nachrichten, sondern auch große Dateien auszutauschen. Das funktioniert per E-Mail in der Regel ohnehin nicht, ist im Medizinbereich jedoch häufig erforderlich. Man denke nur an Röntgenbilder oder dreidimensionale CT-Scans.

Mit Hilfe einer E-Mail-Schutz-Klassifizierung kann es den Mitarbeitern einfach gemacht werden, mit ein oder zwei Klicks die jeweils angemessenen Schutzmaßnahmen zu ergreifen. Denn natürlich muss nicht jede Nachricht immer verschlüsselt auf den Weg gehen. Streng vertrauliche Patientendaten jedoch sollten zwingend verschlüsselt und mit nachvollziehbarer Empfangsbestätigung zum Empfänger übertragen werden.

Weitere Informationen zum Thema:

datensicherheit.de, 07.06.2019
Ein Jahr DS-GVO: Viel Lärm um nichts?

datensicherheit.de, 21.11.2018
Angriffe auf Krankenhäuser über E-Mails: Problem ist Teil der Lösung