Cyber-Sicherheit in Arztpraxen: BSI-Studien zeigen dringenden Handlungsbedarf

Medizinische Einrichtungen werden immer häufiger das Ziel von Cyber-Attacken

[datensicherheit.de, 25.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweist in einer aktuellen Meldung auf die problematische Lage der Cyber-Sicherheit in Arztpraxen – BSI-Studien zeigen demnach „dringenden Handlungsbedarf“ auf.

Gesundheitswesen: Cyber-Angriffe nehmen zu

Cyber-Angriffe auf das Gesundheitswesen nehmen zu – medizinische Einrichtungen würden immer häufiger das Ziel von Hacker-Angriffen. „Ein zentraler IT-Knotenpunkt unseres Gesundheitswesens ist die Telematikinfrastruktur (TI). Sie ist das Kommunikationsnetzwerk im deutschen Gesundheitssystem, wird regelmäßig kontrolliert und orientiert sich an strengen Spezifikationen.“

Die Sicherheitslage der IT-Infrastruktur von Arztpraxen in Deutschland hingegen werde bisher kaum erfasst, „obwohl sie essenziell für die Verarbeitung sensibler Daten und direkt an die TI angeschlossen sind“. Darum habe das BSI mit zwei aktuellen Studien eine Datengrundlage geschaffen, mittels derer die IT-Sicherheit von Arztpraxen schnell und nachhaltig erhöht werden könne.

SiRiPrax-Studie: Umsetzungsgrad der Richtlinie und Verbesserungspotenziale hinsichtlich Cyber-Sicherheit

In einer deutschlandweiten Umfrage habe das BSI einen Einblick in die Umsetzung der IT-Sicherheitsrichtlinie gem. § 75b SGB V in ca. 1.600 Arztpraxen gewinnen können. Die Richtlinie adressiere Voraussetzungen für die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung und umfasse auch Anforderungen an die sichere Installation und Wartung der in der vertragsärztlichen Versorgung genutzten Komponenten und Dienste der TI. „Ziel der Befragung war es, den Umsetzungsgrad der Richtlinie zu erheben und Verbesserungspotenziale zu identifizieren.“

Lediglich ein Drittel der Befragten habe eine vollständige Umsetzung aller mit der Richtlinie vorgegebenen Schutzmaßnahmen angegeben. „Gleichzeitig ergab die Befragung, dass zehn Prozent der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren.“

Zusätzlich habe sich gezeigt, „dass bei der aktuellen Fassung der IT-Sicherheitsrichtlinie Optimierungsbedarf bezüglich Verständlichkeit und konkreter Hilfestellungen bei der Umsetzung bestehen“. Zudem sei festgestellt worden, dass der Einsatz eines Informationssicherheitsbeauftragten in Arztpraxen sich unmittelbar positiv auf die IT-Sicherheit auswirke.

Ergebnisse der Studie CyberPraxMed weisen auf schwerwiegende Sicherheitsmängel hin

Parallel sei in einer Auswahl von 16 Arztpraxen eine Umfrage mit dem Ziel durchgeführt worden, Cyber-Risikofaktoren und Angriffsmöglichkeiten qualitativ zu erfassen. „Dafür wurden die Netzwerkstruktur, bereits vorhandene Sicherheitsvorkehrungen und der ,Faktor Mensch’, also personelle Aspekte, in den Blick genommen.“ Die Auswahl der Arztpraxen sei nach den Kriterien des Fachgebiets, der Anzahl der und Mitarbeiter sowie der geographischen Lage erfolgt.

Im Rahmen dieses Projekts habe das BSI teils schwerwiegende Sicherheitsmängel – unzureichender Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Back-ups – festgestellt. „So befand sich in allen untersuchten Praxen der Konnektor zur Anbindung an die TI im Parallelbetrieb zu einem gewöhnlichen Router und konnte dadurch seine Schutzwirkung nicht vollständig entfalten.“ Zudem seien in keiner der befragten Praxen sensible Patientendaten durch eine Festplattenverschlüsselung geschützt gewesen.

„Ziel des Projekts ist es, Artpraxen einen Projektbericht, der die gefundenen Schwachstellen zusammen mit einer Risikobewertung und Handlungsempfehlungen auflistet, zur Verfügung zu stellen.“ Darin enthalten sei eine Handreichung mit pragmatischen, schnell umsetzbaren Maßnahmen, deren Umsetzung Ärzten die Möglichkeit biete, ihre Praxen mit geringem Aufwand robuster gegen Cyber-Angriffe zu machen.

Viele Cyber-Sicherheitsmängel könnten schnell und ressourcenschonend behoben werden

BSI-Präsidentin Claudia Plattner kommentiert: „Die gute Nachricht ist: Viele der Sicherheitsmängel, die wir festgestellt haben, können schnell und ressourcenschonend behoben werden. Die Ergebnisse aus den Studien ermöglichen uns, die IT-Sicherheit in Arztpraxen durch pragmatischere Vorgaben gezielt zu verbessern und so die Digitalisierung des Gesundheitswesens weiter voranzutreiben. Damit uns das gelingt, brauchen wir einen festen Schulterschluss zwischen allen Akteuren.“

Gelegenheit zum direkten Austausch mit dem BSI zum Themenkomplex „Digital Health“ gebe es auf der Gesundheits-IT-Fachmesse „DMEA“ vom 9. bis 11. April 2024 in Berlin. Am Messestand 105b in Halle 06.2 sollen Interessierte die Möglichkeit haben, sich zu aktuellen BSI-Aktivitäten rund um die TI und vernetzte Medizinprodukte sowie die Cyber-Sicherheit in Arztpraxen und im Rettungswesen zu informieren.

Weitere Informationen zum Thema:

datensicherheit.de, 07.03.2023
Freie Ärzteschaft warnt vor schutzlosen persönlichsten Medizindaten / Freie Ärzteschaft befürchtet Begehrlichkeiten der Pharma-Forschung, Gesundheitspolitik oder -wirtschaft

datensicherheit.de, 05.05.2020]
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 28.08.2019
Awareness in Arztpraxen: Datenpannen vermeiden / Sensibilisierung ist unabdingbar, aber nur die eine Seite der Medaille