undefined cover
undefined cover
IT-Sicherheit in der Arztpraxis cover
IT-Sicherheit in der Arztpraxis cover
Digital Health Dialogues

IT-Sicherheit in der Arztpraxis

IT-Sicherheit in der Arztpraxis

21min |20/11/2025
Play
undefined cover
undefined cover
IT-Sicherheit in der Arztpraxis cover
IT-Sicherheit in der Arztpraxis cover
Digital Health Dialogues

IT-Sicherheit in der Arztpraxis

IT-Sicherheit in der Arztpraxis

21min |20/11/2025
Play

Description

In dieser Episode spricht Daniel mit Jan Kreimeyer von Lambda IT Systems über ein brandaktuelles und kritisches Thema: Cybersecurity in Arztpraxen! Die beiden beleuchten die zunehmende Bedrohung durch Erpressersoftware (Ransomware), die nicht nur Praxisdaten verschlüsselt, sondern diese auch ausleitet und im Dark Web verkauft. Arztpraxen sind längst ins Visier von Cyberkriminellen geraten – höchste Zeit, sich besser zu schützen!

Daniel und Jan erklären, warum Datensicherheit für jede Praxis absolute Priorität haben muss und welche präventiven Maßnahmen wirklich helfen. Von Verschlüsselungstrojanern über gestohlene Patientendaten bis hin zu praktischen Sicherheitstipps – diese Episode sensibilisiert für die realen Cyberrisiken im Praxisalltag und zeigt, wie technologische Lösungen und das richtige Know-how Praxen schützen können.

Checkliste IT-Sicherheit der KBV: Hier findet ihr wichtige Richtlinien und Maßnahmen zum Schutz eurer Praxis: https://www.kbv.de/documents/praxis/digitalisierung/checkliste-it-sicherheit.pdf

Du bist interessiert an einer Partnerschaft? Kontaktiere uns gerne: https://info.doctolib.de/commercial-partnerships/

Bis zum nächsten Mal – und bleibt sicher! 🔒


Hosted by Ausha. See ausha.co/privacy-policy for more information.

Transcription

  • Speaker #0

    Hallo und herzlich willkommen beim Digital Health Dialogs. Falls ihr uns zum ersten Mal hört, vergesst nicht, unseren Podcast zu abonnieren, damit du keine wertvollen Insider aus der Gesundheitsbranche verpasst. Und für alle, die uns noch nicht kennen, Doctolib transformiert seit 2013 das Gesundheitswesen für 400.000 Gesundheitsfachkräfte und 80 Millionen PatientInnen in ganz Europa. Wir unterstützen Praxen mit innovativen Softwarelösungen und helfen PatientInnen dabei, einfach und sicher den Zugang zur Gesundheitsversorgung zu erhalten. Mein Name ist Daniel Henschke. Und in der heutigen Folge dreht sich alles um IT-Sicherheit in Arztpraxen. Was Praxissinhaber jetzt wissen müssen. Und heute habe ich Jan von Lambda IT Systems zu Gast. Hallo Jan, schön, dass du da bist. Stell dich und Lambda doch gerne einmal kurz vor.

  • Speaker #1

    Ja, hi Daniel. Danke für die Einladung. Ich bin Jan Kreimeyer, bin einer der Geschäftsführer von Lambda IT Systems. Wir sind ein IT-Systemhaus aus dem Ruhrgebiet, was allerdings deutschlandweit Gesundheitseinrichtungen unterstützt in der... In der Digitalisierung und auch in der weiterführenden Betreuung. Und von daher freue ich mich sehr, dass wir heute hier gemeinsam diesen Podcast machen dürfen.

  • Speaker #0

    Ja, sehr cool. Schön, dass du auf jeden Fall da bist. Und das bringt mich direkt schon so ein bisschen zu der aktuellen Situation, die wir ja natürlich in Deutschland haben. Die Bedrohungslage hat sich deutlich verändert. Irgendwie Cyberangriffe nehmen weiter zu. Arztpraxen sind da besonders betroffen, auch von Hackerangriffen. weil ja alles um Patientendaten geht, um den Verkauf etc. Was kannst du dazu sagen?

  • Speaker #1

    Ja, da bin ich total bei dir. Vor allen Dingen haben wir ein ganz, ganz großes Problem generell in allen Unternehmen und dazu gehören nun mal auch Arztpraxen mit Verschlüsselungstrojanern, also Erpressersoftware, die die Daten verschlüsseln oder sogar ausleiten und an verschiedene Institutionen im Dark Web verkaufen und damit dann halt eben die Praxis erpressen. Und wir reden ja hier nun mal von den sensibelsten Daten, die es so eigentlich gibt. Und deswegen müssen Arztpraxen da entsprechend auch reagieren und sich besser schützen.

  • Speaker #0

    Ja, und ich finde, das ist auch immer nur eine Seite. Wir haben ja inzwischen auch Phishing, wir haben Social Engineering, gefälschte E-Mails, manchmal Bewerbungen oder Rechnungen, die einfach reinkommen und gar nicht im ersten Moment auffallen.

  • Speaker #1

    Ja, das ist absolut richtig. Und viele glauben halt einfach, ach, ich werde davon kein Opfer, mich betrifft das nicht, das betrifft nur die großen Unternehmen und das ist einfach falsch. Also wir haben hunderte Vorfälle, gerade auch im Gesundheitssektor in Deutschland im Jahr 2025 schon gehabt und ja, das ist vielen einfach gar nicht so bewusst und da wollen wir jetzt heute vielleicht auch mal drüber sprechen, dass man da einfach die Sensibilisierung nochmal stärker mit einem größeren Fokus auf dieses Thema IT-Sicherheit bringt und die Arztpraxen dahingehend abholt. Wir haben halt auch im Moment das Problem einfach, dass Angriffe auch immer professioneller werden. Also das Problem ist einfach, früher musste man richtig, richtig viel Ahnung haben, um überhaupt Unternehmen zu hacken. Heute gibt es Ransomware-as-a-service. Das bedeutet, man kann sich wirklich im Dark Web einen Verschlüsselungstrojaner zusammenklicken. Man braucht also gar keine Ahnung mehr zu haben, wie man sowas programmiert, sondern man klickt sich den einfach zusammen, packt den in eine E-Mail, schickt den an verschiedenste Leute und irgendeiner wird schon draufklicken und schon kann man erpresst werden. Und das ist natürlich wirklich extrem. Und genauso gibt es natürlich auch staatlich unterstützte Hackergruppen. Die sehen es dann in der Tat wirklich nicht auf die einzelne Arztpraxis ab, aber nahezu alle Arztpraxen sind ja an die Telematik-Infrastruktur angeschlossen. Und wenn diese mal angegriffen werden würde, naja, was ist dann das schwächste Glied? Natürlich die Arztpraxis. Die großen Server im Rechenzentrum sind gut geschützt, aber die Arztpraxis, die hat dann häufig gar keine Sicherheitsfunktion oder wenige. Und die werden dann halt eben angegriffen. Und was dann passiert, ja, das wollen wir uns vielleicht gar nicht ausmalen.

  • Speaker #0

    Ja, also... Auch da natürlich statistisch inzwischen. Jede zehnte Praxis ist irgendwie bereits betroffen, wo irgendwie schon mal jeweils ein IT-Sicherheitsvorfall stattgefunden hat. Du hast es gerade gesagt, auch hunderte Fälle, die man da irgendwie hat. Oft liegt das aber ja auch so ein bisschen irgendwie an den Umsetzungsdefiziten. Irgendwie nur ein Drittel der Praxen hat KBV-IT-Sicherheitsrichtlinien vollständig umgesetzt. Das liegt gar nicht daran, dass es oft an denen ist, sondern es ist oft eine mangelnde Verständlichkeit. Es gibt super viele Ressourcenprobleme oder auch... Das fehlende Dringlichkeitsbewusstsein. Auch bezüglich der Risikowahrnehmung. Da hat man über 36 Prozent der Heilberufe schätzen ein Risiko ein, dass man halt von Cyberattacken betroffen werden sein kann, auch in den nächsten zwei Jahren. Und eigentlich bringt mich das genau direkt zu der ersten Frage, die ich heute mitgebracht habe für dich. Warum ist IT-Sicherheit für meine Praxis so wichtig?

  • Speaker #1

    Das ergibt sich ja im Prinzip genau aus dem, was wir ja gerade auch schon besprochen haben. Immer mehr medizinische Einrichtungen sind halt eben Ziel von Cyberangriffen oder werden es noch. Du hast es ja gerade auch gesagt mit den 36 Prozent. Ja, und Patientendaten, auch das hatten wir gerade ja schon, sind nun mal die sensibelsten personenbezogenen Daten und die unterliegen auch strengen Datenschutzvorgaben. Nicht nur der DSGVO, sondern halt auch der ärztlichen Schweigepflicht. Und das Ganze führt ja auch zu einem wahnsinnigen Reputationsschaden, wenn jetzt medizinische Daten abfließen. Es gab zum Beispiel mal die Situation, dass eine psychiatrische Institution gehackt wurde und nicht an den Arzt selbst herangetreten worden ist mit den Daten, sondern die Patienten beispielsweise über Instagram kontaktiert wurden und dort dann erpresst worden sind und dort halt eben mit der Veröffentlichung der Daten gedroht wurde. und das ist natürlich ein Vertrauensverlust, der ist irreversibel. Das muss man halt als Arzt auch erst mal verstehen, wie schnell so etwas passieren kann. Und deswegen ist dieses Bewusstsein für IT-Sicherheit auch gar nicht so sehr geschärft. Und was halt auch klar ist, der Arzt ist nun mal jemand, der sich um die Patienten kümmert und nicht um seine Praxis-IT. Und dementsprechend gehen auch viele Ärzte einfach davon aus, dass die IT schon sicher sein wird und kümmern sich da gar nicht weiter drum und hinterfragen das auch nicht. Und deswegen ist auch die KBV-IT-Sicherheitsrichtlinie ins Leben gerufen worden. Interessanterweise haben wir immer wieder die Situation, dass viele Ärzte diese Richtlinie gar nicht kennen. Damit sollte sich aber jeder Arzt mal auseinandergesetzt haben und auch einfach selber prüfen, vielleicht auch mit unabhängigen Experten, wenn man eben sagt, ich will mal mein eigenes betreuendes IT-Systemhaus hinterfragen oder überprüfen, dass man sich da nochmal einen unabhängigen IT-Experten mit reinholt, der eben die Praxis auf oder nach den Standards der KBV-IT-Sicherheitsrichtlinie dann überprüft. Und die Sicherheitsrichtlinie ist im Prinzip dafür ins Leben gerufen worden, zumindest ein Mindestmaß an Standardisierung in Arztpraxen reinzubekommen. Und man muss ganz klar sagen, man sollte als Arzt die IT-Sicherheit zur Chefsache erklären. Das ist super, super wichtig. Das ist essentiell. Nicht nur eben wegen des Reputationsschadens, der theoretisch auftreten kann, weil... Patientendaten abfließen, sondern auch, womit verdiene ich denn mein Geld? Ich rechne ja jegliche Leistung in meinem Praxisverwaltungssystem ab. Und wenn das dann gehackt ist oder verschlüsselt ist oder wie auch immer, dann habe ich auch massive finanzielle Einbußen. Das darf einem halt nicht entgehen. Und deswegen ganz klar, man muss diese Systeme regelmäßig prüfen, die Prozesse hinterfragen. Und dazu gehört gar nicht, steckt mein Netzwerkkabel jetzt an der richtigen Stelle. Oder ist mein Virenschutz richtig programmiert? Sondern auch, wie laufen meine Prozesse ab? Bedeutet das, sind meine Bildschirmsperren immer aktiv? Sind meine Passwörter nicht 123456 oder Praxis oder wie auch immer, sondern sind das schon vernünftige Passwörter? Und geht auch mein Praxisteam damit sensibel um? Das sind alles Themen, die sollten auf jeden Fall auf den Tisch und die sollten dann auch entsprechend dokumentiert werden. Einfach auch als Nachweis für das Qualitätsmanagement.

  • Speaker #0

    Du hast jetzt schon super viel über Kernanforderungen der KBV-IT-Sicherheitsrichtlinien gesprochen. Kommt immer wieder als Thema auf. Hast du so ein bisschen für mich, was sind so die Grundanforderungen dafür, sowohl technisch als auch organisatorisch?

  • Speaker #1

    Also technisch ist ganz klar, eine Firewall muss in der Praxis vorhanden sein. Und das Schlimme ist, in ganz vielen Praxen ist das nicht der Fall. Da steht einfach eine Fritzbox, die kennt jeder, die steht aber auch zu Hause oder ein Telekom Speedport-Router etc. Das reicht einfach nicht mehr aus. Dann ganz, ganz wichtig, egal ob man Windows benutzt oder ob man auch Mac benutzt, es sollte immer ein aktueller Virenschutz vorhanden sein. Alle Systeme sollten auf dem aktuellen Stand gehalten werden. Das heißt, regelmäßige Updates sollten auf jeden Fall durchgeführt werden. Wenn man das als Praxis nicht selber machen kann, sollte man sich an seinen betreuenden IT-Dienstleister wenden, der dann gegebenenfalls ein automatisches Patch-Management nennt man das, also Update-Management, was durch das IT-Systemhaus kontrolliert wird, einführt. Und natürlich Backups. Aber das Schlimme bei Backups ist auch, die Backups werden zwar gemacht, werden aber nicht überprüft. Also man sollte diese Backups definitiv auch überprüfen und man sollte eine sichere Netzwerkkonfiguration auf jeden Fall durchführen lassen, damit man mit einer Netzwerksegmentierung zum Beispiel alte Geräte, die keine Updates mehr bekommen kann, dazu zählen häufig Sono-Geräte zum Beispiel, aber auch andere medizinische Geräte, so vom Rest der Praxis trennt, dass die Geräte nicht einfach im Netzwerk machen können, was sie wollen. Wenn man diese technischen Voraussetzungen schon mal geschaffen hat, muss man aber eben auch an sein Praxisteam denken. Und dazu gehört halt organisatorisch, man sollte klare Passwortrichtlinien festlegen, man sollte klare Zugriffsrechte festlegen. Das gilt sowohl für das System an sich, also ich sage mal jetzt für Dateien, die man einfach auf der Windows-Oberfläche gespeichert hat oder auf dem Server, aber genauso sollte man auch vernünftige Zugriffsrechte im AIS, also im Arztinformationssystem hinterlegen und dort auch nicht für jeden Mitarbeiter einfach alles öffnen. Und man sollte eben regelmäßige Schulungen für alle Mitarbeitenden organisieren. Das ist jetzt auch Bestandteil eben der KBV-IT-Sicherheitsrichtlinie ganz klar geworden seit Oktober diesen Jahres. Dazu gehören eben einmal das Vertrautmachen mit der Praxis IT an sich, aber auch Cybersecurity-Awareness-Schulung, wo man einfach lernt, worauf man achten muss, wenn man gute E-Mails von bösen E-Mails unterscheiden will. Von daher, ich kann nur empfehlen, man kann auf der Website der KBV sich eine Checkliste herunterladen zum Thema KBV IT-Sicherheitsrichtlinie. Die sollte man einfach durchgehen, wenn man da Nachfragen hat, sich an sein betreuendes IT-Systemhaus wenden. Natürlich immer gerne auch an uns. Unser Team steht da auch jederzeit zur Verfügung. Wenn man diese Checkliste eben durchgegangen ist, sollte man dann auch mit seinem IT-Dienstleister ein entsprechendes Agreement vereinbaren, dass der halt regelmäßig überprüft, ob die Sicherheitsanforderungen auch noch passen.

  • Speaker #0

    Vielleicht verlinken wir direkt mal in den Shownotes die Checkliste von der KBV, für die, die es noch nicht gehört haben, dass man da mal direkt so einen Überblick hat und man selber für sich mal prüfen kann, hey, bin ich da überhaupt aktuellsten Stand, sowohl technisch als auch organisatorisch, gehe ich der Sache letztendlich nach. Du hast eben von dem zeitlichen Raum gesprochen, den 1. Oktober diesen Jahres in den Raum geschmissen, wo so ein bisschen die Anforderungen umgesetzt werden müssen. Gibt es da irgendwie eine Übergangsfrist? Ist das super streng? Was empfiehlst du da?

  • Speaker #1

    Also es gibt keine Übergangsfrist. Die Richtlinie muss eigentlich bis zum 1. Oktober diesen Jahres vollständig umgesetzt worden sein. Allerdings gibt es keine wirklichen Konsequenzen, wenn man das nicht getan hat. Es gibt wohl vereinzelt Praxen, die entsprechend auch schon besucht worden sind, wo da durchaus das mal überprüft worden ist, aber nichtsdestotrotz gibt es keine Konsequenzen. Was einem aber bewusst sein muss, ist, wenn dann doch mal ein IT-Sicherheitsvorfall auftritt und man kann nicht belegen, dass man die KBV-IT-Sicherheitsrichtlinie beachtet hat. Dann wird es natürlich schwierig zu argumentieren gegenüber der Landesdatenschutzbehörde oder auch gegenüber eventuellen Cyberversicherern, dass man wirklich alles getan hat, um seine Praxis da entsprechend zu schützen. Und deswegen kann ich wirklich nur empfehlen, so schnell wie möglich mit der Planung der Umsetzung starten, sich die entsprechenden Experten heranholen. Man sollte definitiv auch gucken, dass man schnell das... Team auf Vordermann bringt. Da gibt es diverse Plattformen im Internet, auch E-Learnings, YouTube-Videos, aber eben auch, wenn man mit seinem IT-Dienstleister spricht, kann der in der Regel auch weiter vermitteln oder bietet in-house auch diese Schulungen an. Und wenn man das dann eben gemacht hat, sollte man auf jeden Fall auch darauf achten, dass das systemtechnisch auf dem aktuellen Stand ist. Da habe ich wirklich alle Windows-Updates eingespielt. Ganz besonders auch ist auf dem Server auch alles an Windows-Updates eingespielt, weil wir sehen ganz, ganz oft, wenn wir Praxen übernehmen, Dass so ein Server noch auf dem Update-Stand von 2023 ist oder sogar noch früher, weil sich halt keiner damit auseinandergesetzt hat und man gedacht hat, dass sein IT-Dienstleister das macht?

  • Speaker #0

    Also Leute, die es jetzt gehört haben und sich vielleicht gerade zum ersten Mal die Gedanken nochmal ein bisschen darüber machen, weil es so ein bisschen weiter nach hinten geschoben worden ist, startet am besten sofort mit der Planung. Geht das Thema an. Es ist eigentlich schon ein bisschen überfällig. Guckt einfach auch, wie Schulungen und technische Updates stehen. Und am Ende, wie es in Deutschland immer so gerne ist, wer schreibt, der bleibt. Also dokumentiert gerne Schulungs... Konzepte, habt einfach den Nachweis dabei. Du hast jetzt auch über das Praxispersonal gesprochen. Ist natürlich immer die, die eigentlich sehr stark am Patienten arbeiten und auch dafür natürlich ausgebildet worden sind. Aber am Ende, wie schule ich am besten mein Praxispersonal effektiv, damit ich genau solche Themen in meiner Praxis sensibilisiert habe?

  • Speaker #1

    Ich hatte ja gerade schon kurz angesprochen, es gibt da verschiedene Möglichkeiten über E-Learning oder externe Anbieter. Das Wichtigste Was man direkt umsetzen kann, ist, man sollte auf jeden Fall eben den sicheren Passwortumgang lernen. Das heißt also der Name des Sohnes oder ein Geburtsdatum oder so sind einfach keine sicheren Passwörter. 1, 2, 3, 4, 5, 6 etc. sowieso nicht. Leider sehen wir ganz, ganz häufig, dass selbst die IT-Systemhäuser in den Arztpraxen sehr einfache Passwörter vergeben. Und da sollte jeder Arzt einfach zur Not, wenn er nicht weiß, wie er es selber machen soll, direkt seinen IT-Dienstleister ansprechen. sprechen und sagen, ich möchte jetzt meine Passwörter geändert haben auf sichere Passwörter. Ein sicheres Passwort besteht in der Regel immer aus einem Großbuchstaben, einem Kleinbuchstaben, einer Zahl und einem Sonderzeichen und sollte schon eigentlich acht Zeichen umfassen. Jetzt höre ich schon von ganz vielen, die hier Podcast hören, einen großen Aufschrei. Ja, wie soll ich das denn in der Praxis im Alltag ständig eingeben? Vor allen Dingen, wenn ich da noch eine Bildschirmsperre habe, die alle zwei Minuten angeht, das ist ja völlig Topisch, das kann ich nicht. Auch da gibt es natürlich Möglichkeiten. Es gibt die Möglichkeit, dass man, ich sag mal, wie beim Auto das schlüssellose Startsystem nutzt, dass man so Schlüssel in der Tasche hat und so Transponder dann entsprechend und Empfänger an den Computern, die dann automatisch den PC sperren oder entsperren, je nachdem, ob ich an den Platz gehe oder nicht. Oder es gibt auch die Möglichkeit, das Ganze über eine kamerabasierte Erkennung zu machen oder auch über den Fingerabdruck. wenn man eben sagt, man kann diese Passwörter so nicht eingeben. Auch da gibt es Möglichkeiten. Auf jeden Fall 1, 2, 3, 4 muss vermieden werden. Dann ganz, ganz wichtig ist, wenn egal wem, irgendwas Verdächtiges am Computer auffällt, was nicht normal ist, irgendwelche Fenster poppen auf, sofort Bescheid sagen und das nicht unter den Tisch kehren, sondern wirklich dann zur Not einmal den IT-Dienstleister anrufen. Ja, ich weiß, das kostet in der Regel ein bisschen Geld, aber das ist im Verhältnis viel weniger. als wenn ich das einfach ignoriere und hinterher verschlüsselt bin und am besten noch die Daten abgeflossen sind. Und das ist halt auch eben das Thema, man muss lernen, wie man Two-Mails von schlechten Mails unterscheidet. Das ist enorm schwierig geworden inzwischen, gerade auch im Zuge von Chat-GPT. Aber auch da gibt es eben vor allen Dingen E-Learnings oder Phishing-Simulationen, die man buchen kann. Das ist eigentlich das Wichtigste. Sensibilisierung, Sensibilisierung, Sensibilisierung. Schwieriges Wort, ich kann es aber trotzdem dreimal hintereinander aussprechen, weil es so wichtig ist.

  • Speaker #0

    Okay, also Handlungsbedarf sagst du einfach, ne? Dokumentiert, seid nicht ängstlich, wenn irgendwas auffällt oder irgendwas unnatürlich vorkommt auf deinem PC, nehmt den Kontakt auf, seid da einfach sensibilisiert zu, dass einfach da hinter allem Bescheid ist, hey, wenn hier irgendwas nicht nach meiner Vorstellung ist oder ich hier was zum ersten Mal sehe, dann geht bitte auf den IT-Dienstleister zu, sprecht jemanden darauf an, er kann einfach mal drüber gucken und sagen, hey, hier ist alles in Ordnung. Manchmal ist ein Schritt nach hinten immer noch... gut, um drei nach vorne zu kommen, als wenn man da irgendwie dann am Ende was sich eingefangen hat. Wir haben schon über Risiken so ein Stück weit gesprochen in Praxen. Was denkst du so ist aus deiner Sicht, aus deiner Erfahrung, die häufigsten Bedrohungen, die man eigentlich hat? Wir haben jetzt schon über ein paar Dinge gesprochen, aber vielleicht nochmal so ein kleines Resümee dazu.

  • Speaker #1

    Das wollen bestimmt auch viele nicht hören, aber das größte Problem ist, dass häufig die Praxis-IT nicht in der Hand von Profis liegt. Das bedeutet, das Heimnetzwerk kann ich alleine managen. Und wenn ich auch gute technische Expertise habe, ist das auch wunderbar. Und dann könnte ich das natürlich auch auf die Praxis übertragen. Aber wir haben ja schon von Anfang an gesagt, Praxisdaten sind die sensibelsten überhaupt. Und dementsprechend sollte das Netzwerk auch so behandelt werden. Und ich gehe ja auch nicht jetzt zu meinem Bruder, wenn ich Probleme mit meinen Herzen habe, sondern da gehe ich ja auch eher zu meinem Kardiologen des Vertrauens. Und dementsprechend kann ich wirklich nur empfehlen, die Praxis-IT in die Hand von zertifizierten Anbietern, von Experten zu legen, die auch wirklich Ahnung im Bereich Cyber Security haben. Das heißt also definitiv auch eine professionelle Firewall einbauen und keine Fritzbox.

  • Speaker #0

    Was meinst du passiert, wenn ich so Richtlinien irgendwie nicht richtig umsetze, vielleicht nicht richtig einhalte? Was ist so ein bisschen der Worst Case dahinter, den ich auch irgendwie als Praxis erfahren kann? Nicht nur, dass ich dann am Ende mir was eingefangen habe. Oder an meinem System irgendwas nicht funktioniert, sondern gibt es da irgendwie noch andere Sachen, wo du sagst, hey, man riskiert hier doch ordentlich etwas?

  • Speaker #1

    Wir haben zwar gesagt, dass die KBV-IT-Sicherheitsrichtlinie ja nicht geahndet wird, aber die DSGVO sehr wohl. Und bei einem entsprechenden Datenschutzverstoß, der dann automatisch ja dann entsteht, wenn irgendwelche Daten abfließen, haben wir neben dem Reputationsschaden im schlimmsten Fall bei grober Fahrlässigkeit auch 4% des Jahresumsatzes, die einfach weg sind. Weil das ist das, was als eine Strafe von der Datenschutzbehörde auch verhängt werden kann als Bußgeld. Und das sollte einem klar sein und deswegen sollte man die Umsetzung nicht als Pflichtübung sehen, sondern wirklich als Investition in die Sicherheit und in das Vertrauen der Patienten, aber auch des Personals und allem, was so an der Praxis dran hängt. Man sollte auch durchaus überlegen, weil auch das natürlich mit einem finanziellen Risiko behaftet ist, unabhängig von Bußgeldern. Ich sage mal, bei einer Verschlüsselungsattacke kann man vielleicht, je nachdem, ob die Backups funktionieren oder nicht, zwischen wenigen Tagen, aber auch mehreren Wochen Praxisstillstand haben. Und da sollte man durchaus überlegen, ob man sich mal mit einem Cyberversicherer zusammensetzt, der eben diese Risiken absichern kann. Aber Vorsicht, auch die Cyberversicherer versichern jetzt nicht einfach so, sondern auch die stellen entsprechende Anforderungen an das Praxis-IT-System. Und das sollte man sich im Kleingedruckten... auch genau durchlesen, was sind die Anforderungen und die muss ich natürlich erfüllt haben, ansonsten bringt mir die beste Cyberversicherung nichts.

  • Speaker #0

    Natürlich, da muss auch wieder alles passen letztendlich. Okay, wenn wir so zusammenfassen über das, was wir so gesprochen haben, so die wichtigsten Schritte für Praxisinhaber, würde ich sagen, haben wir als erstes technische Basis schaffen. Also was fällt da für dich darunter, was auf jeden Fall sein muss?

  • Speaker #1

    Firewall, ganz, ganz wichtig. Virenschutz, Updates und funktionierende Backups.

  • Speaker #0

    Okay. Wir haben super viel über organisatorische Regeln gesprochen. Was findest du gehört dazu?

  • Speaker #1

    Ganz wichtig, die Passwortrichtlinien. Keine 1, 2, 3, 4 Passwörter. Zugriffsrechte regulieren und in die E-Mail-Sicherheit investieren.

  • Speaker #0

    Okay. Drittens würde ich vielleicht noch Schulungen mit reinnehmen. Haben wir auch eben drüber gesprochen.

  • Speaker #1

    Unbedingt. Also Sensibilisierung ist ja mein Lieblingswort. Haben wir ja schon festgestellt.

  • Speaker #0

    Am Ende, wer schreibt, der bleibt. Dokumentation.

  • Speaker #1

    Definitiv, gerade auch im Hinblick auf die Cyberversicherung und auch eben im Hinblick auf die Landesdatenschutzbehörde.

  • Speaker #0

    Genau und natürlich externe Unterstützung ist das A und O.

  • Speaker #1

    Genau, also unbedingt einen IT-Dienstleister mit einbeziehen, bitte nicht das Ganze weiter in Freundeshand lassen oder in der Familie und gegebenenfalls eben eine Cyberversicherung mit einbinden, damit man da dann auch die finanziellen Risiken abfängt.

  • Speaker #0

    Okay. Ja, also da gute Richtlinien für alle, die dir heute zugehört haben und für alle Zuhörer und Zuhörerinnen, die mehr über Lambda erfahren wollen, aber natürlich auch über die IT-Sicherheit. Wir verlinken alles ein Stück weit in den Shownotes. Natürlich auch alle Informationen zu Dr.Lib, unseren Lösungen, findest du auf drlib.de. Da kannst du dir auch einen kostenlosen Beratungstermin bei uns vereinbaren. Und wenn dir die Folge gefallen hat, dann abonniere doch gerne unseren Podcast und bewerte uns gerne. Und am Ende ist natürlich entscheidend, was interessiert euch. Also welche Themen beschäftigen dich in deiner Praxis? Schreibe uns gerne Vorschläge für die kommende Folge. Wir freuen uns auf jeden Fall drauf. Auch heute die Folge ist quasi daraus entstanden. IT-Sicherheit war ein großes Thema, über das man gerne mal sprechen sollte. Deswegen bin ich froh. Jan, danke, dass du da warst. Danke für diesen Einblick als Experte. Spannender Austausch. Und natürlich auch vielen Dank an die Zuhörer, die heute dabei waren.

  • Speaker #1

    Ja, auch vielen Dank nochmal von mir und auf bald. Tschüss. Tschüss.

Description

In dieser Episode spricht Daniel mit Jan Kreimeyer von Lambda IT Systems über ein brandaktuelles und kritisches Thema: Cybersecurity in Arztpraxen! Die beiden beleuchten die zunehmende Bedrohung durch Erpressersoftware (Ransomware), die nicht nur Praxisdaten verschlüsselt, sondern diese auch ausleitet und im Dark Web verkauft. Arztpraxen sind längst ins Visier von Cyberkriminellen geraten – höchste Zeit, sich besser zu schützen!

Daniel und Jan erklären, warum Datensicherheit für jede Praxis absolute Priorität haben muss und welche präventiven Maßnahmen wirklich helfen. Von Verschlüsselungstrojanern über gestohlene Patientendaten bis hin zu praktischen Sicherheitstipps – diese Episode sensibilisiert für die realen Cyberrisiken im Praxisalltag und zeigt, wie technologische Lösungen und das richtige Know-how Praxen schützen können.

Checkliste IT-Sicherheit der KBV: Hier findet ihr wichtige Richtlinien und Maßnahmen zum Schutz eurer Praxis: https://www.kbv.de/documents/praxis/digitalisierung/checkliste-it-sicherheit.pdf

Du bist interessiert an einer Partnerschaft? Kontaktiere uns gerne: https://info.doctolib.de/commercial-partnerships/

Bis zum nächsten Mal – und bleibt sicher! 🔒


Hosted by Ausha. See ausha.co/privacy-policy for more information.

Transcription

  • Speaker #0

    Hallo und herzlich willkommen beim Digital Health Dialogs. Falls ihr uns zum ersten Mal hört, vergesst nicht, unseren Podcast zu abonnieren, damit du keine wertvollen Insider aus der Gesundheitsbranche verpasst. Und für alle, die uns noch nicht kennen, Doctolib transformiert seit 2013 das Gesundheitswesen für 400.000 Gesundheitsfachkräfte und 80 Millionen PatientInnen in ganz Europa. Wir unterstützen Praxen mit innovativen Softwarelösungen und helfen PatientInnen dabei, einfach und sicher den Zugang zur Gesundheitsversorgung zu erhalten. Mein Name ist Daniel Henschke. Und in der heutigen Folge dreht sich alles um IT-Sicherheit in Arztpraxen. Was Praxissinhaber jetzt wissen müssen. Und heute habe ich Jan von Lambda IT Systems zu Gast. Hallo Jan, schön, dass du da bist. Stell dich und Lambda doch gerne einmal kurz vor.

  • Speaker #1

    Ja, hi Daniel. Danke für die Einladung. Ich bin Jan Kreimeyer, bin einer der Geschäftsführer von Lambda IT Systems. Wir sind ein IT-Systemhaus aus dem Ruhrgebiet, was allerdings deutschlandweit Gesundheitseinrichtungen unterstützt in der... In der Digitalisierung und auch in der weiterführenden Betreuung. Und von daher freue ich mich sehr, dass wir heute hier gemeinsam diesen Podcast machen dürfen.

  • Speaker #0

    Ja, sehr cool. Schön, dass du auf jeden Fall da bist. Und das bringt mich direkt schon so ein bisschen zu der aktuellen Situation, die wir ja natürlich in Deutschland haben. Die Bedrohungslage hat sich deutlich verändert. Irgendwie Cyberangriffe nehmen weiter zu. Arztpraxen sind da besonders betroffen, auch von Hackerangriffen. weil ja alles um Patientendaten geht, um den Verkauf etc. Was kannst du dazu sagen?

  • Speaker #1

    Ja, da bin ich total bei dir. Vor allen Dingen haben wir ein ganz, ganz großes Problem generell in allen Unternehmen und dazu gehören nun mal auch Arztpraxen mit Verschlüsselungstrojanern, also Erpressersoftware, die die Daten verschlüsseln oder sogar ausleiten und an verschiedene Institutionen im Dark Web verkaufen und damit dann halt eben die Praxis erpressen. Und wir reden ja hier nun mal von den sensibelsten Daten, die es so eigentlich gibt. Und deswegen müssen Arztpraxen da entsprechend auch reagieren und sich besser schützen.

  • Speaker #0

    Ja, und ich finde, das ist auch immer nur eine Seite. Wir haben ja inzwischen auch Phishing, wir haben Social Engineering, gefälschte E-Mails, manchmal Bewerbungen oder Rechnungen, die einfach reinkommen und gar nicht im ersten Moment auffallen.

  • Speaker #1

    Ja, das ist absolut richtig. Und viele glauben halt einfach, ach, ich werde davon kein Opfer, mich betrifft das nicht, das betrifft nur die großen Unternehmen und das ist einfach falsch. Also wir haben hunderte Vorfälle, gerade auch im Gesundheitssektor in Deutschland im Jahr 2025 schon gehabt und ja, das ist vielen einfach gar nicht so bewusst und da wollen wir jetzt heute vielleicht auch mal drüber sprechen, dass man da einfach die Sensibilisierung nochmal stärker mit einem größeren Fokus auf dieses Thema IT-Sicherheit bringt und die Arztpraxen dahingehend abholt. Wir haben halt auch im Moment das Problem einfach, dass Angriffe auch immer professioneller werden. Also das Problem ist einfach, früher musste man richtig, richtig viel Ahnung haben, um überhaupt Unternehmen zu hacken. Heute gibt es Ransomware-as-a-service. Das bedeutet, man kann sich wirklich im Dark Web einen Verschlüsselungstrojaner zusammenklicken. Man braucht also gar keine Ahnung mehr zu haben, wie man sowas programmiert, sondern man klickt sich den einfach zusammen, packt den in eine E-Mail, schickt den an verschiedenste Leute und irgendeiner wird schon draufklicken und schon kann man erpresst werden. Und das ist natürlich wirklich extrem. Und genauso gibt es natürlich auch staatlich unterstützte Hackergruppen. Die sehen es dann in der Tat wirklich nicht auf die einzelne Arztpraxis ab, aber nahezu alle Arztpraxen sind ja an die Telematik-Infrastruktur angeschlossen. Und wenn diese mal angegriffen werden würde, naja, was ist dann das schwächste Glied? Natürlich die Arztpraxis. Die großen Server im Rechenzentrum sind gut geschützt, aber die Arztpraxis, die hat dann häufig gar keine Sicherheitsfunktion oder wenige. Und die werden dann halt eben angegriffen. Und was dann passiert, ja, das wollen wir uns vielleicht gar nicht ausmalen.

  • Speaker #0

    Ja, also... Auch da natürlich statistisch inzwischen. Jede zehnte Praxis ist irgendwie bereits betroffen, wo irgendwie schon mal jeweils ein IT-Sicherheitsvorfall stattgefunden hat. Du hast es gerade gesagt, auch hunderte Fälle, die man da irgendwie hat. Oft liegt das aber ja auch so ein bisschen irgendwie an den Umsetzungsdefiziten. Irgendwie nur ein Drittel der Praxen hat KBV-IT-Sicherheitsrichtlinien vollständig umgesetzt. Das liegt gar nicht daran, dass es oft an denen ist, sondern es ist oft eine mangelnde Verständlichkeit. Es gibt super viele Ressourcenprobleme oder auch... Das fehlende Dringlichkeitsbewusstsein. Auch bezüglich der Risikowahrnehmung. Da hat man über 36 Prozent der Heilberufe schätzen ein Risiko ein, dass man halt von Cyberattacken betroffen werden sein kann, auch in den nächsten zwei Jahren. Und eigentlich bringt mich das genau direkt zu der ersten Frage, die ich heute mitgebracht habe für dich. Warum ist IT-Sicherheit für meine Praxis so wichtig?

  • Speaker #1

    Das ergibt sich ja im Prinzip genau aus dem, was wir ja gerade auch schon besprochen haben. Immer mehr medizinische Einrichtungen sind halt eben Ziel von Cyberangriffen oder werden es noch. Du hast es ja gerade auch gesagt mit den 36 Prozent. Ja, und Patientendaten, auch das hatten wir gerade ja schon, sind nun mal die sensibelsten personenbezogenen Daten und die unterliegen auch strengen Datenschutzvorgaben. Nicht nur der DSGVO, sondern halt auch der ärztlichen Schweigepflicht. Und das Ganze führt ja auch zu einem wahnsinnigen Reputationsschaden, wenn jetzt medizinische Daten abfließen. Es gab zum Beispiel mal die Situation, dass eine psychiatrische Institution gehackt wurde und nicht an den Arzt selbst herangetreten worden ist mit den Daten, sondern die Patienten beispielsweise über Instagram kontaktiert wurden und dort dann erpresst worden sind und dort halt eben mit der Veröffentlichung der Daten gedroht wurde. und das ist natürlich ein Vertrauensverlust, der ist irreversibel. Das muss man halt als Arzt auch erst mal verstehen, wie schnell so etwas passieren kann. Und deswegen ist dieses Bewusstsein für IT-Sicherheit auch gar nicht so sehr geschärft. Und was halt auch klar ist, der Arzt ist nun mal jemand, der sich um die Patienten kümmert und nicht um seine Praxis-IT. Und dementsprechend gehen auch viele Ärzte einfach davon aus, dass die IT schon sicher sein wird und kümmern sich da gar nicht weiter drum und hinterfragen das auch nicht. Und deswegen ist auch die KBV-IT-Sicherheitsrichtlinie ins Leben gerufen worden. Interessanterweise haben wir immer wieder die Situation, dass viele Ärzte diese Richtlinie gar nicht kennen. Damit sollte sich aber jeder Arzt mal auseinandergesetzt haben und auch einfach selber prüfen, vielleicht auch mit unabhängigen Experten, wenn man eben sagt, ich will mal mein eigenes betreuendes IT-Systemhaus hinterfragen oder überprüfen, dass man sich da nochmal einen unabhängigen IT-Experten mit reinholt, der eben die Praxis auf oder nach den Standards der KBV-IT-Sicherheitsrichtlinie dann überprüft. Und die Sicherheitsrichtlinie ist im Prinzip dafür ins Leben gerufen worden, zumindest ein Mindestmaß an Standardisierung in Arztpraxen reinzubekommen. Und man muss ganz klar sagen, man sollte als Arzt die IT-Sicherheit zur Chefsache erklären. Das ist super, super wichtig. Das ist essentiell. Nicht nur eben wegen des Reputationsschadens, der theoretisch auftreten kann, weil... Patientendaten abfließen, sondern auch, womit verdiene ich denn mein Geld? Ich rechne ja jegliche Leistung in meinem Praxisverwaltungssystem ab. Und wenn das dann gehackt ist oder verschlüsselt ist oder wie auch immer, dann habe ich auch massive finanzielle Einbußen. Das darf einem halt nicht entgehen. Und deswegen ganz klar, man muss diese Systeme regelmäßig prüfen, die Prozesse hinterfragen. Und dazu gehört gar nicht, steckt mein Netzwerkkabel jetzt an der richtigen Stelle. Oder ist mein Virenschutz richtig programmiert? Sondern auch, wie laufen meine Prozesse ab? Bedeutet das, sind meine Bildschirmsperren immer aktiv? Sind meine Passwörter nicht 123456 oder Praxis oder wie auch immer, sondern sind das schon vernünftige Passwörter? Und geht auch mein Praxisteam damit sensibel um? Das sind alles Themen, die sollten auf jeden Fall auf den Tisch und die sollten dann auch entsprechend dokumentiert werden. Einfach auch als Nachweis für das Qualitätsmanagement.

  • Speaker #0

    Du hast jetzt schon super viel über Kernanforderungen der KBV-IT-Sicherheitsrichtlinien gesprochen. Kommt immer wieder als Thema auf. Hast du so ein bisschen für mich, was sind so die Grundanforderungen dafür, sowohl technisch als auch organisatorisch?

  • Speaker #1

    Also technisch ist ganz klar, eine Firewall muss in der Praxis vorhanden sein. Und das Schlimme ist, in ganz vielen Praxen ist das nicht der Fall. Da steht einfach eine Fritzbox, die kennt jeder, die steht aber auch zu Hause oder ein Telekom Speedport-Router etc. Das reicht einfach nicht mehr aus. Dann ganz, ganz wichtig, egal ob man Windows benutzt oder ob man auch Mac benutzt, es sollte immer ein aktueller Virenschutz vorhanden sein. Alle Systeme sollten auf dem aktuellen Stand gehalten werden. Das heißt, regelmäßige Updates sollten auf jeden Fall durchgeführt werden. Wenn man das als Praxis nicht selber machen kann, sollte man sich an seinen betreuenden IT-Dienstleister wenden, der dann gegebenenfalls ein automatisches Patch-Management nennt man das, also Update-Management, was durch das IT-Systemhaus kontrolliert wird, einführt. Und natürlich Backups. Aber das Schlimme bei Backups ist auch, die Backups werden zwar gemacht, werden aber nicht überprüft. Also man sollte diese Backups definitiv auch überprüfen und man sollte eine sichere Netzwerkkonfiguration auf jeden Fall durchführen lassen, damit man mit einer Netzwerksegmentierung zum Beispiel alte Geräte, die keine Updates mehr bekommen kann, dazu zählen häufig Sono-Geräte zum Beispiel, aber auch andere medizinische Geräte, so vom Rest der Praxis trennt, dass die Geräte nicht einfach im Netzwerk machen können, was sie wollen. Wenn man diese technischen Voraussetzungen schon mal geschaffen hat, muss man aber eben auch an sein Praxisteam denken. Und dazu gehört halt organisatorisch, man sollte klare Passwortrichtlinien festlegen, man sollte klare Zugriffsrechte festlegen. Das gilt sowohl für das System an sich, also ich sage mal jetzt für Dateien, die man einfach auf der Windows-Oberfläche gespeichert hat oder auf dem Server, aber genauso sollte man auch vernünftige Zugriffsrechte im AIS, also im Arztinformationssystem hinterlegen und dort auch nicht für jeden Mitarbeiter einfach alles öffnen. Und man sollte eben regelmäßige Schulungen für alle Mitarbeitenden organisieren. Das ist jetzt auch Bestandteil eben der KBV-IT-Sicherheitsrichtlinie ganz klar geworden seit Oktober diesen Jahres. Dazu gehören eben einmal das Vertrautmachen mit der Praxis IT an sich, aber auch Cybersecurity-Awareness-Schulung, wo man einfach lernt, worauf man achten muss, wenn man gute E-Mails von bösen E-Mails unterscheiden will. Von daher, ich kann nur empfehlen, man kann auf der Website der KBV sich eine Checkliste herunterladen zum Thema KBV IT-Sicherheitsrichtlinie. Die sollte man einfach durchgehen, wenn man da Nachfragen hat, sich an sein betreuendes IT-Systemhaus wenden. Natürlich immer gerne auch an uns. Unser Team steht da auch jederzeit zur Verfügung. Wenn man diese Checkliste eben durchgegangen ist, sollte man dann auch mit seinem IT-Dienstleister ein entsprechendes Agreement vereinbaren, dass der halt regelmäßig überprüft, ob die Sicherheitsanforderungen auch noch passen.

  • Speaker #0

    Vielleicht verlinken wir direkt mal in den Shownotes die Checkliste von der KBV, für die, die es noch nicht gehört haben, dass man da mal direkt so einen Überblick hat und man selber für sich mal prüfen kann, hey, bin ich da überhaupt aktuellsten Stand, sowohl technisch als auch organisatorisch, gehe ich der Sache letztendlich nach. Du hast eben von dem zeitlichen Raum gesprochen, den 1. Oktober diesen Jahres in den Raum geschmissen, wo so ein bisschen die Anforderungen umgesetzt werden müssen. Gibt es da irgendwie eine Übergangsfrist? Ist das super streng? Was empfiehlst du da?

  • Speaker #1

    Also es gibt keine Übergangsfrist. Die Richtlinie muss eigentlich bis zum 1. Oktober diesen Jahres vollständig umgesetzt worden sein. Allerdings gibt es keine wirklichen Konsequenzen, wenn man das nicht getan hat. Es gibt wohl vereinzelt Praxen, die entsprechend auch schon besucht worden sind, wo da durchaus das mal überprüft worden ist, aber nichtsdestotrotz gibt es keine Konsequenzen. Was einem aber bewusst sein muss, ist, wenn dann doch mal ein IT-Sicherheitsvorfall auftritt und man kann nicht belegen, dass man die KBV-IT-Sicherheitsrichtlinie beachtet hat. Dann wird es natürlich schwierig zu argumentieren gegenüber der Landesdatenschutzbehörde oder auch gegenüber eventuellen Cyberversicherern, dass man wirklich alles getan hat, um seine Praxis da entsprechend zu schützen. Und deswegen kann ich wirklich nur empfehlen, so schnell wie möglich mit der Planung der Umsetzung starten, sich die entsprechenden Experten heranholen. Man sollte definitiv auch gucken, dass man schnell das... Team auf Vordermann bringt. Da gibt es diverse Plattformen im Internet, auch E-Learnings, YouTube-Videos, aber eben auch, wenn man mit seinem IT-Dienstleister spricht, kann der in der Regel auch weiter vermitteln oder bietet in-house auch diese Schulungen an. Und wenn man das dann eben gemacht hat, sollte man auf jeden Fall auch darauf achten, dass das systemtechnisch auf dem aktuellen Stand ist. Da habe ich wirklich alle Windows-Updates eingespielt. Ganz besonders auch ist auf dem Server auch alles an Windows-Updates eingespielt, weil wir sehen ganz, ganz oft, wenn wir Praxen übernehmen, Dass so ein Server noch auf dem Update-Stand von 2023 ist oder sogar noch früher, weil sich halt keiner damit auseinandergesetzt hat und man gedacht hat, dass sein IT-Dienstleister das macht?

  • Speaker #0

    Also Leute, die es jetzt gehört haben und sich vielleicht gerade zum ersten Mal die Gedanken nochmal ein bisschen darüber machen, weil es so ein bisschen weiter nach hinten geschoben worden ist, startet am besten sofort mit der Planung. Geht das Thema an. Es ist eigentlich schon ein bisschen überfällig. Guckt einfach auch, wie Schulungen und technische Updates stehen. Und am Ende, wie es in Deutschland immer so gerne ist, wer schreibt, der bleibt. Also dokumentiert gerne Schulungs... Konzepte, habt einfach den Nachweis dabei. Du hast jetzt auch über das Praxispersonal gesprochen. Ist natürlich immer die, die eigentlich sehr stark am Patienten arbeiten und auch dafür natürlich ausgebildet worden sind. Aber am Ende, wie schule ich am besten mein Praxispersonal effektiv, damit ich genau solche Themen in meiner Praxis sensibilisiert habe?

  • Speaker #1

    Ich hatte ja gerade schon kurz angesprochen, es gibt da verschiedene Möglichkeiten über E-Learning oder externe Anbieter. Das Wichtigste Was man direkt umsetzen kann, ist, man sollte auf jeden Fall eben den sicheren Passwortumgang lernen. Das heißt also der Name des Sohnes oder ein Geburtsdatum oder so sind einfach keine sicheren Passwörter. 1, 2, 3, 4, 5, 6 etc. sowieso nicht. Leider sehen wir ganz, ganz häufig, dass selbst die IT-Systemhäuser in den Arztpraxen sehr einfache Passwörter vergeben. Und da sollte jeder Arzt einfach zur Not, wenn er nicht weiß, wie er es selber machen soll, direkt seinen IT-Dienstleister ansprechen. sprechen und sagen, ich möchte jetzt meine Passwörter geändert haben auf sichere Passwörter. Ein sicheres Passwort besteht in der Regel immer aus einem Großbuchstaben, einem Kleinbuchstaben, einer Zahl und einem Sonderzeichen und sollte schon eigentlich acht Zeichen umfassen. Jetzt höre ich schon von ganz vielen, die hier Podcast hören, einen großen Aufschrei. Ja, wie soll ich das denn in der Praxis im Alltag ständig eingeben? Vor allen Dingen, wenn ich da noch eine Bildschirmsperre habe, die alle zwei Minuten angeht, das ist ja völlig Topisch, das kann ich nicht. Auch da gibt es natürlich Möglichkeiten. Es gibt die Möglichkeit, dass man, ich sag mal, wie beim Auto das schlüssellose Startsystem nutzt, dass man so Schlüssel in der Tasche hat und so Transponder dann entsprechend und Empfänger an den Computern, die dann automatisch den PC sperren oder entsperren, je nachdem, ob ich an den Platz gehe oder nicht. Oder es gibt auch die Möglichkeit, das Ganze über eine kamerabasierte Erkennung zu machen oder auch über den Fingerabdruck. wenn man eben sagt, man kann diese Passwörter so nicht eingeben. Auch da gibt es Möglichkeiten. Auf jeden Fall 1, 2, 3, 4 muss vermieden werden. Dann ganz, ganz wichtig ist, wenn egal wem, irgendwas Verdächtiges am Computer auffällt, was nicht normal ist, irgendwelche Fenster poppen auf, sofort Bescheid sagen und das nicht unter den Tisch kehren, sondern wirklich dann zur Not einmal den IT-Dienstleister anrufen. Ja, ich weiß, das kostet in der Regel ein bisschen Geld, aber das ist im Verhältnis viel weniger. als wenn ich das einfach ignoriere und hinterher verschlüsselt bin und am besten noch die Daten abgeflossen sind. Und das ist halt auch eben das Thema, man muss lernen, wie man Two-Mails von schlechten Mails unterscheidet. Das ist enorm schwierig geworden inzwischen, gerade auch im Zuge von Chat-GPT. Aber auch da gibt es eben vor allen Dingen E-Learnings oder Phishing-Simulationen, die man buchen kann. Das ist eigentlich das Wichtigste. Sensibilisierung, Sensibilisierung, Sensibilisierung. Schwieriges Wort, ich kann es aber trotzdem dreimal hintereinander aussprechen, weil es so wichtig ist.

  • Speaker #0

    Okay, also Handlungsbedarf sagst du einfach, ne? Dokumentiert, seid nicht ängstlich, wenn irgendwas auffällt oder irgendwas unnatürlich vorkommt auf deinem PC, nehmt den Kontakt auf, seid da einfach sensibilisiert zu, dass einfach da hinter allem Bescheid ist, hey, wenn hier irgendwas nicht nach meiner Vorstellung ist oder ich hier was zum ersten Mal sehe, dann geht bitte auf den IT-Dienstleister zu, sprecht jemanden darauf an, er kann einfach mal drüber gucken und sagen, hey, hier ist alles in Ordnung. Manchmal ist ein Schritt nach hinten immer noch... gut, um drei nach vorne zu kommen, als wenn man da irgendwie dann am Ende was sich eingefangen hat. Wir haben schon über Risiken so ein Stück weit gesprochen in Praxen. Was denkst du so ist aus deiner Sicht, aus deiner Erfahrung, die häufigsten Bedrohungen, die man eigentlich hat? Wir haben jetzt schon über ein paar Dinge gesprochen, aber vielleicht nochmal so ein kleines Resümee dazu.

  • Speaker #1

    Das wollen bestimmt auch viele nicht hören, aber das größte Problem ist, dass häufig die Praxis-IT nicht in der Hand von Profis liegt. Das bedeutet, das Heimnetzwerk kann ich alleine managen. Und wenn ich auch gute technische Expertise habe, ist das auch wunderbar. Und dann könnte ich das natürlich auch auf die Praxis übertragen. Aber wir haben ja schon von Anfang an gesagt, Praxisdaten sind die sensibelsten überhaupt. Und dementsprechend sollte das Netzwerk auch so behandelt werden. Und ich gehe ja auch nicht jetzt zu meinem Bruder, wenn ich Probleme mit meinen Herzen habe, sondern da gehe ich ja auch eher zu meinem Kardiologen des Vertrauens. Und dementsprechend kann ich wirklich nur empfehlen, die Praxis-IT in die Hand von zertifizierten Anbietern, von Experten zu legen, die auch wirklich Ahnung im Bereich Cyber Security haben. Das heißt also definitiv auch eine professionelle Firewall einbauen und keine Fritzbox.

  • Speaker #0

    Was meinst du passiert, wenn ich so Richtlinien irgendwie nicht richtig umsetze, vielleicht nicht richtig einhalte? Was ist so ein bisschen der Worst Case dahinter, den ich auch irgendwie als Praxis erfahren kann? Nicht nur, dass ich dann am Ende mir was eingefangen habe. Oder an meinem System irgendwas nicht funktioniert, sondern gibt es da irgendwie noch andere Sachen, wo du sagst, hey, man riskiert hier doch ordentlich etwas?

  • Speaker #1

    Wir haben zwar gesagt, dass die KBV-IT-Sicherheitsrichtlinie ja nicht geahndet wird, aber die DSGVO sehr wohl. Und bei einem entsprechenden Datenschutzverstoß, der dann automatisch ja dann entsteht, wenn irgendwelche Daten abfließen, haben wir neben dem Reputationsschaden im schlimmsten Fall bei grober Fahrlässigkeit auch 4% des Jahresumsatzes, die einfach weg sind. Weil das ist das, was als eine Strafe von der Datenschutzbehörde auch verhängt werden kann als Bußgeld. Und das sollte einem klar sein und deswegen sollte man die Umsetzung nicht als Pflichtübung sehen, sondern wirklich als Investition in die Sicherheit und in das Vertrauen der Patienten, aber auch des Personals und allem, was so an der Praxis dran hängt. Man sollte auch durchaus überlegen, weil auch das natürlich mit einem finanziellen Risiko behaftet ist, unabhängig von Bußgeldern. Ich sage mal, bei einer Verschlüsselungsattacke kann man vielleicht, je nachdem, ob die Backups funktionieren oder nicht, zwischen wenigen Tagen, aber auch mehreren Wochen Praxisstillstand haben. Und da sollte man durchaus überlegen, ob man sich mal mit einem Cyberversicherer zusammensetzt, der eben diese Risiken absichern kann. Aber Vorsicht, auch die Cyberversicherer versichern jetzt nicht einfach so, sondern auch die stellen entsprechende Anforderungen an das Praxis-IT-System. Und das sollte man sich im Kleingedruckten... auch genau durchlesen, was sind die Anforderungen und die muss ich natürlich erfüllt haben, ansonsten bringt mir die beste Cyberversicherung nichts.

  • Speaker #0

    Natürlich, da muss auch wieder alles passen letztendlich. Okay, wenn wir so zusammenfassen über das, was wir so gesprochen haben, so die wichtigsten Schritte für Praxisinhaber, würde ich sagen, haben wir als erstes technische Basis schaffen. Also was fällt da für dich darunter, was auf jeden Fall sein muss?

  • Speaker #1

    Firewall, ganz, ganz wichtig. Virenschutz, Updates und funktionierende Backups.

  • Speaker #0

    Okay. Wir haben super viel über organisatorische Regeln gesprochen. Was findest du gehört dazu?

  • Speaker #1

    Ganz wichtig, die Passwortrichtlinien. Keine 1, 2, 3, 4 Passwörter. Zugriffsrechte regulieren und in die E-Mail-Sicherheit investieren.

  • Speaker #0

    Okay. Drittens würde ich vielleicht noch Schulungen mit reinnehmen. Haben wir auch eben drüber gesprochen.

  • Speaker #1

    Unbedingt. Also Sensibilisierung ist ja mein Lieblingswort. Haben wir ja schon festgestellt.

  • Speaker #0

    Am Ende, wer schreibt, der bleibt. Dokumentation.

  • Speaker #1

    Definitiv, gerade auch im Hinblick auf die Cyberversicherung und auch eben im Hinblick auf die Landesdatenschutzbehörde.

  • Speaker #0

    Genau und natürlich externe Unterstützung ist das A und O.

  • Speaker #1

    Genau, also unbedingt einen IT-Dienstleister mit einbeziehen, bitte nicht das Ganze weiter in Freundeshand lassen oder in der Familie und gegebenenfalls eben eine Cyberversicherung mit einbinden, damit man da dann auch die finanziellen Risiken abfängt.

  • Speaker #0

    Okay. Ja, also da gute Richtlinien für alle, die dir heute zugehört haben und für alle Zuhörer und Zuhörerinnen, die mehr über Lambda erfahren wollen, aber natürlich auch über die IT-Sicherheit. Wir verlinken alles ein Stück weit in den Shownotes. Natürlich auch alle Informationen zu Dr.Lib, unseren Lösungen, findest du auf drlib.de. Da kannst du dir auch einen kostenlosen Beratungstermin bei uns vereinbaren. Und wenn dir die Folge gefallen hat, dann abonniere doch gerne unseren Podcast und bewerte uns gerne. Und am Ende ist natürlich entscheidend, was interessiert euch. Also welche Themen beschäftigen dich in deiner Praxis? Schreibe uns gerne Vorschläge für die kommende Folge. Wir freuen uns auf jeden Fall drauf. Auch heute die Folge ist quasi daraus entstanden. IT-Sicherheit war ein großes Thema, über das man gerne mal sprechen sollte. Deswegen bin ich froh. Jan, danke, dass du da warst. Danke für diesen Einblick als Experte. Spannender Austausch. Und natürlich auch vielen Dank an die Zuhörer, die heute dabei waren.

  • Speaker #1

    Ja, auch vielen Dank nochmal von mir und auf bald. Tschüss. Tschüss.

Share

Embed

You may also like

Description

In dieser Episode spricht Daniel mit Jan Kreimeyer von Lambda IT Systems über ein brandaktuelles und kritisches Thema: Cybersecurity in Arztpraxen! Die beiden beleuchten die zunehmende Bedrohung durch Erpressersoftware (Ransomware), die nicht nur Praxisdaten verschlüsselt, sondern diese auch ausleitet und im Dark Web verkauft. Arztpraxen sind längst ins Visier von Cyberkriminellen geraten – höchste Zeit, sich besser zu schützen!

Daniel und Jan erklären, warum Datensicherheit für jede Praxis absolute Priorität haben muss und welche präventiven Maßnahmen wirklich helfen. Von Verschlüsselungstrojanern über gestohlene Patientendaten bis hin zu praktischen Sicherheitstipps – diese Episode sensibilisiert für die realen Cyberrisiken im Praxisalltag und zeigt, wie technologische Lösungen und das richtige Know-how Praxen schützen können.

Checkliste IT-Sicherheit der KBV: Hier findet ihr wichtige Richtlinien und Maßnahmen zum Schutz eurer Praxis: https://www.kbv.de/documents/praxis/digitalisierung/checkliste-it-sicherheit.pdf

Du bist interessiert an einer Partnerschaft? Kontaktiere uns gerne: https://info.doctolib.de/commercial-partnerships/

Bis zum nächsten Mal – und bleibt sicher! 🔒


Hosted by Ausha. See ausha.co/privacy-policy for more information.

Transcription

  • Speaker #0

    Hallo und herzlich willkommen beim Digital Health Dialogs. Falls ihr uns zum ersten Mal hört, vergesst nicht, unseren Podcast zu abonnieren, damit du keine wertvollen Insider aus der Gesundheitsbranche verpasst. Und für alle, die uns noch nicht kennen, Doctolib transformiert seit 2013 das Gesundheitswesen für 400.000 Gesundheitsfachkräfte und 80 Millionen PatientInnen in ganz Europa. Wir unterstützen Praxen mit innovativen Softwarelösungen und helfen PatientInnen dabei, einfach und sicher den Zugang zur Gesundheitsversorgung zu erhalten. Mein Name ist Daniel Henschke. Und in der heutigen Folge dreht sich alles um IT-Sicherheit in Arztpraxen. Was Praxissinhaber jetzt wissen müssen. Und heute habe ich Jan von Lambda IT Systems zu Gast. Hallo Jan, schön, dass du da bist. Stell dich und Lambda doch gerne einmal kurz vor.

  • Speaker #1

    Ja, hi Daniel. Danke für die Einladung. Ich bin Jan Kreimeyer, bin einer der Geschäftsführer von Lambda IT Systems. Wir sind ein IT-Systemhaus aus dem Ruhrgebiet, was allerdings deutschlandweit Gesundheitseinrichtungen unterstützt in der... In der Digitalisierung und auch in der weiterführenden Betreuung. Und von daher freue ich mich sehr, dass wir heute hier gemeinsam diesen Podcast machen dürfen.

  • Speaker #0

    Ja, sehr cool. Schön, dass du auf jeden Fall da bist. Und das bringt mich direkt schon so ein bisschen zu der aktuellen Situation, die wir ja natürlich in Deutschland haben. Die Bedrohungslage hat sich deutlich verändert. Irgendwie Cyberangriffe nehmen weiter zu. Arztpraxen sind da besonders betroffen, auch von Hackerangriffen. weil ja alles um Patientendaten geht, um den Verkauf etc. Was kannst du dazu sagen?

  • Speaker #1

    Ja, da bin ich total bei dir. Vor allen Dingen haben wir ein ganz, ganz großes Problem generell in allen Unternehmen und dazu gehören nun mal auch Arztpraxen mit Verschlüsselungstrojanern, also Erpressersoftware, die die Daten verschlüsseln oder sogar ausleiten und an verschiedene Institutionen im Dark Web verkaufen und damit dann halt eben die Praxis erpressen. Und wir reden ja hier nun mal von den sensibelsten Daten, die es so eigentlich gibt. Und deswegen müssen Arztpraxen da entsprechend auch reagieren und sich besser schützen.

  • Speaker #0

    Ja, und ich finde, das ist auch immer nur eine Seite. Wir haben ja inzwischen auch Phishing, wir haben Social Engineering, gefälschte E-Mails, manchmal Bewerbungen oder Rechnungen, die einfach reinkommen und gar nicht im ersten Moment auffallen.

  • Speaker #1

    Ja, das ist absolut richtig. Und viele glauben halt einfach, ach, ich werde davon kein Opfer, mich betrifft das nicht, das betrifft nur die großen Unternehmen und das ist einfach falsch. Also wir haben hunderte Vorfälle, gerade auch im Gesundheitssektor in Deutschland im Jahr 2025 schon gehabt und ja, das ist vielen einfach gar nicht so bewusst und da wollen wir jetzt heute vielleicht auch mal drüber sprechen, dass man da einfach die Sensibilisierung nochmal stärker mit einem größeren Fokus auf dieses Thema IT-Sicherheit bringt und die Arztpraxen dahingehend abholt. Wir haben halt auch im Moment das Problem einfach, dass Angriffe auch immer professioneller werden. Also das Problem ist einfach, früher musste man richtig, richtig viel Ahnung haben, um überhaupt Unternehmen zu hacken. Heute gibt es Ransomware-as-a-service. Das bedeutet, man kann sich wirklich im Dark Web einen Verschlüsselungstrojaner zusammenklicken. Man braucht also gar keine Ahnung mehr zu haben, wie man sowas programmiert, sondern man klickt sich den einfach zusammen, packt den in eine E-Mail, schickt den an verschiedenste Leute und irgendeiner wird schon draufklicken und schon kann man erpresst werden. Und das ist natürlich wirklich extrem. Und genauso gibt es natürlich auch staatlich unterstützte Hackergruppen. Die sehen es dann in der Tat wirklich nicht auf die einzelne Arztpraxis ab, aber nahezu alle Arztpraxen sind ja an die Telematik-Infrastruktur angeschlossen. Und wenn diese mal angegriffen werden würde, naja, was ist dann das schwächste Glied? Natürlich die Arztpraxis. Die großen Server im Rechenzentrum sind gut geschützt, aber die Arztpraxis, die hat dann häufig gar keine Sicherheitsfunktion oder wenige. Und die werden dann halt eben angegriffen. Und was dann passiert, ja, das wollen wir uns vielleicht gar nicht ausmalen.

  • Speaker #0

    Ja, also... Auch da natürlich statistisch inzwischen. Jede zehnte Praxis ist irgendwie bereits betroffen, wo irgendwie schon mal jeweils ein IT-Sicherheitsvorfall stattgefunden hat. Du hast es gerade gesagt, auch hunderte Fälle, die man da irgendwie hat. Oft liegt das aber ja auch so ein bisschen irgendwie an den Umsetzungsdefiziten. Irgendwie nur ein Drittel der Praxen hat KBV-IT-Sicherheitsrichtlinien vollständig umgesetzt. Das liegt gar nicht daran, dass es oft an denen ist, sondern es ist oft eine mangelnde Verständlichkeit. Es gibt super viele Ressourcenprobleme oder auch... Das fehlende Dringlichkeitsbewusstsein. Auch bezüglich der Risikowahrnehmung. Da hat man über 36 Prozent der Heilberufe schätzen ein Risiko ein, dass man halt von Cyberattacken betroffen werden sein kann, auch in den nächsten zwei Jahren. Und eigentlich bringt mich das genau direkt zu der ersten Frage, die ich heute mitgebracht habe für dich. Warum ist IT-Sicherheit für meine Praxis so wichtig?

  • Speaker #1

    Das ergibt sich ja im Prinzip genau aus dem, was wir ja gerade auch schon besprochen haben. Immer mehr medizinische Einrichtungen sind halt eben Ziel von Cyberangriffen oder werden es noch. Du hast es ja gerade auch gesagt mit den 36 Prozent. Ja, und Patientendaten, auch das hatten wir gerade ja schon, sind nun mal die sensibelsten personenbezogenen Daten und die unterliegen auch strengen Datenschutzvorgaben. Nicht nur der DSGVO, sondern halt auch der ärztlichen Schweigepflicht. Und das Ganze führt ja auch zu einem wahnsinnigen Reputationsschaden, wenn jetzt medizinische Daten abfließen. Es gab zum Beispiel mal die Situation, dass eine psychiatrische Institution gehackt wurde und nicht an den Arzt selbst herangetreten worden ist mit den Daten, sondern die Patienten beispielsweise über Instagram kontaktiert wurden und dort dann erpresst worden sind und dort halt eben mit der Veröffentlichung der Daten gedroht wurde. und das ist natürlich ein Vertrauensverlust, der ist irreversibel. Das muss man halt als Arzt auch erst mal verstehen, wie schnell so etwas passieren kann. Und deswegen ist dieses Bewusstsein für IT-Sicherheit auch gar nicht so sehr geschärft. Und was halt auch klar ist, der Arzt ist nun mal jemand, der sich um die Patienten kümmert und nicht um seine Praxis-IT. Und dementsprechend gehen auch viele Ärzte einfach davon aus, dass die IT schon sicher sein wird und kümmern sich da gar nicht weiter drum und hinterfragen das auch nicht. Und deswegen ist auch die KBV-IT-Sicherheitsrichtlinie ins Leben gerufen worden. Interessanterweise haben wir immer wieder die Situation, dass viele Ärzte diese Richtlinie gar nicht kennen. Damit sollte sich aber jeder Arzt mal auseinandergesetzt haben und auch einfach selber prüfen, vielleicht auch mit unabhängigen Experten, wenn man eben sagt, ich will mal mein eigenes betreuendes IT-Systemhaus hinterfragen oder überprüfen, dass man sich da nochmal einen unabhängigen IT-Experten mit reinholt, der eben die Praxis auf oder nach den Standards der KBV-IT-Sicherheitsrichtlinie dann überprüft. Und die Sicherheitsrichtlinie ist im Prinzip dafür ins Leben gerufen worden, zumindest ein Mindestmaß an Standardisierung in Arztpraxen reinzubekommen. Und man muss ganz klar sagen, man sollte als Arzt die IT-Sicherheit zur Chefsache erklären. Das ist super, super wichtig. Das ist essentiell. Nicht nur eben wegen des Reputationsschadens, der theoretisch auftreten kann, weil... Patientendaten abfließen, sondern auch, womit verdiene ich denn mein Geld? Ich rechne ja jegliche Leistung in meinem Praxisverwaltungssystem ab. Und wenn das dann gehackt ist oder verschlüsselt ist oder wie auch immer, dann habe ich auch massive finanzielle Einbußen. Das darf einem halt nicht entgehen. Und deswegen ganz klar, man muss diese Systeme regelmäßig prüfen, die Prozesse hinterfragen. Und dazu gehört gar nicht, steckt mein Netzwerkkabel jetzt an der richtigen Stelle. Oder ist mein Virenschutz richtig programmiert? Sondern auch, wie laufen meine Prozesse ab? Bedeutet das, sind meine Bildschirmsperren immer aktiv? Sind meine Passwörter nicht 123456 oder Praxis oder wie auch immer, sondern sind das schon vernünftige Passwörter? Und geht auch mein Praxisteam damit sensibel um? Das sind alles Themen, die sollten auf jeden Fall auf den Tisch und die sollten dann auch entsprechend dokumentiert werden. Einfach auch als Nachweis für das Qualitätsmanagement.

  • Speaker #0

    Du hast jetzt schon super viel über Kernanforderungen der KBV-IT-Sicherheitsrichtlinien gesprochen. Kommt immer wieder als Thema auf. Hast du so ein bisschen für mich, was sind so die Grundanforderungen dafür, sowohl technisch als auch organisatorisch?

  • Speaker #1

    Also technisch ist ganz klar, eine Firewall muss in der Praxis vorhanden sein. Und das Schlimme ist, in ganz vielen Praxen ist das nicht der Fall. Da steht einfach eine Fritzbox, die kennt jeder, die steht aber auch zu Hause oder ein Telekom Speedport-Router etc. Das reicht einfach nicht mehr aus. Dann ganz, ganz wichtig, egal ob man Windows benutzt oder ob man auch Mac benutzt, es sollte immer ein aktueller Virenschutz vorhanden sein. Alle Systeme sollten auf dem aktuellen Stand gehalten werden. Das heißt, regelmäßige Updates sollten auf jeden Fall durchgeführt werden. Wenn man das als Praxis nicht selber machen kann, sollte man sich an seinen betreuenden IT-Dienstleister wenden, der dann gegebenenfalls ein automatisches Patch-Management nennt man das, also Update-Management, was durch das IT-Systemhaus kontrolliert wird, einführt. Und natürlich Backups. Aber das Schlimme bei Backups ist auch, die Backups werden zwar gemacht, werden aber nicht überprüft. Also man sollte diese Backups definitiv auch überprüfen und man sollte eine sichere Netzwerkkonfiguration auf jeden Fall durchführen lassen, damit man mit einer Netzwerksegmentierung zum Beispiel alte Geräte, die keine Updates mehr bekommen kann, dazu zählen häufig Sono-Geräte zum Beispiel, aber auch andere medizinische Geräte, so vom Rest der Praxis trennt, dass die Geräte nicht einfach im Netzwerk machen können, was sie wollen. Wenn man diese technischen Voraussetzungen schon mal geschaffen hat, muss man aber eben auch an sein Praxisteam denken. Und dazu gehört halt organisatorisch, man sollte klare Passwortrichtlinien festlegen, man sollte klare Zugriffsrechte festlegen. Das gilt sowohl für das System an sich, also ich sage mal jetzt für Dateien, die man einfach auf der Windows-Oberfläche gespeichert hat oder auf dem Server, aber genauso sollte man auch vernünftige Zugriffsrechte im AIS, also im Arztinformationssystem hinterlegen und dort auch nicht für jeden Mitarbeiter einfach alles öffnen. Und man sollte eben regelmäßige Schulungen für alle Mitarbeitenden organisieren. Das ist jetzt auch Bestandteil eben der KBV-IT-Sicherheitsrichtlinie ganz klar geworden seit Oktober diesen Jahres. Dazu gehören eben einmal das Vertrautmachen mit der Praxis IT an sich, aber auch Cybersecurity-Awareness-Schulung, wo man einfach lernt, worauf man achten muss, wenn man gute E-Mails von bösen E-Mails unterscheiden will. Von daher, ich kann nur empfehlen, man kann auf der Website der KBV sich eine Checkliste herunterladen zum Thema KBV IT-Sicherheitsrichtlinie. Die sollte man einfach durchgehen, wenn man da Nachfragen hat, sich an sein betreuendes IT-Systemhaus wenden. Natürlich immer gerne auch an uns. Unser Team steht da auch jederzeit zur Verfügung. Wenn man diese Checkliste eben durchgegangen ist, sollte man dann auch mit seinem IT-Dienstleister ein entsprechendes Agreement vereinbaren, dass der halt regelmäßig überprüft, ob die Sicherheitsanforderungen auch noch passen.

  • Speaker #0

    Vielleicht verlinken wir direkt mal in den Shownotes die Checkliste von der KBV, für die, die es noch nicht gehört haben, dass man da mal direkt so einen Überblick hat und man selber für sich mal prüfen kann, hey, bin ich da überhaupt aktuellsten Stand, sowohl technisch als auch organisatorisch, gehe ich der Sache letztendlich nach. Du hast eben von dem zeitlichen Raum gesprochen, den 1. Oktober diesen Jahres in den Raum geschmissen, wo so ein bisschen die Anforderungen umgesetzt werden müssen. Gibt es da irgendwie eine Übergangsfrist? Ist das super streng? Was empfiehlst du da?

  • Speaker #1

    Also es gibt keine Übergangsfrist. Die Richtlinie muss eigentlich bis zum 1. Oktober diesen Jahres vollständig umgesetzt worden sein. Allerdings gibt es keine wirklichen Konsequenzen, wenn man das nicht getan hat. Es gibt wohl vereinzelt Praxen, die entsprechend auch schon besucht worden sind, wo da durchaus das mal überprüft worden ist, aber nichtsdestotrotz gibt es keine Konsequenzen. Was einem aber bewusst sein muss, ist, wenn dann doch mal ein IT-Sicherheitsvorfall auftritt und man kann nicht belegen, dass man die KBV-IT-Sicherheitsrichtlinie beachtet hat. Dann wird es natürlich schwierig zu argumentieren gegenüber der Landesdatenschutzbehörde oder auch gegenüber eventuellen Cyberversicherern, dass man wirklich alles getan hat, um seine Praxis da entsprechend zu schützen. Und deswegen kann ich wirklich nur empfehlen, so schnell wie möglich mit der Planung der Umsetzung starten, sich die entsprechenden Experten heranholen. Man sollte definitiv auch gucken, dass man schnell das... Team auf Vordermann bringt. Da gibt es diverse Plattformen im Internet, auch E-Learnings, YouTube-Videos, aber eben auch, wenn man mit seinem IT-Dienstleister spricht, kann der in der Regel auch weiter vermitteln oder bietet in-house auch diese Schulungen an. Und wenn man das dann eben gemacht hat, sollte man auf jeden Fall auch darauf achten, dass das systemtechnisch auf dem aktuellen Stand ist. Da habe ich wirklich alle Windows-Updates eingespielt. Ganz besonders auch ist auf dem Server auch alles an Windows-Updates eingespielt, weil wir sehen ganz, ganz oft, wenn wir Praxen übernehmen, Dass so ein Server noch auf dem Update-Stand von 2023 ist oder sogar noch früher, weil sich halt keiner damit auseinandergesetzt hat und man gedacht hat, dass sein IT-Dienstleister das macht?

  • Speaker #0

    Also Leute, die es jetzt gehört haben und sich vielleicht gerade zum ersten Mal die Gedanken nochmal ein bisschen darüber machen, weil es so ein bisschen weiter nach hinten geschoben worden ist, startet am besten sofort mit der Planung. Geht das Thema an. Es ist eigentlich schon ein bisschen überfällig. Guckt einfach auch, wie Schulungen und technische Updates stehen. Und am Ende, wie es in Deutschland immer so gerne ist, wer schreibt, der bleibt. Also dokumentiert gerne Schulungs... Konzepte, habt einfach den Nachweis dabei. Du hast jetzt auch über das Praxispersonal gesprochen. Ist natürlich immer die, die eigentlich sehr stark am Patienten arbeiten und auch dafür natürlich ausgebildet worden sind. Aber am Ende, wie schule ich am besten mein Praxispersonal effektiv, damit ich genau solche Themen in meiner Praxis sensibilisiert habe?

  • Speaker #1

    Ich hatte ja gerade schon kurz angesprochen, es gibt da verschiedene Möglichkeiten über E-Learning oder externe Anbieter. Das Wichtigste Was man direkt umsetzen kann, ist, man sollte auf jeden Fall eben den sicheren Passwortumgang lernen. Das heißt also der Name des Sohnes oder ein Geburtsdatum oder so sind einfach keine sicheren Passwörter. 1, 2, 3, 4, 5, 6 etc. sowieso nicht. Leider sehen wir ganz, ganz häufig, dass selbst die IT-Systemhäuser in den Arztpraxen sehr einfache Passwörter vergeben. Und da sollte jeder Arzt einfach zur Not, wenn er nicht weiß, wie er es selber machen soll, direkt seinen IT-Dienstleister ansprechen. sprechen und sagen, ich möchte jetzt meine Passwörter geändert haben auf sichere Passwörter. Ein sicheres Passwort besteht in der Regel immer aus einem Großbuchstaben, einem Kleinbuchstaben, einer Zahl und einem Sonderzeichen und sollte schon eigentlich acht Zeichen umfassen. Jetzt höre ich schon von ganz vielen, die hier Podcast hören, einen großen Aufschrei. Ja, wie soll ich das denn in der Praxis im Alltag ständig eingeben? Vor allen Dingen, wenn ich da noch eine Bildschirmsperre habe, die alle zwei Minuten angeht, das ist ja völlig Topisch, das kann ich nicht. Auch da gibt es natürlich Möglichkeiten. Es gibt die Möglichkeit, dass man, ich sag mal, wie beim Auto das schlüssellose Startsystem nutzt, dass man so Schlüssel in der Tasche hat und so Transponder dann entsprechend und Empfänger an den Computern, die dann automatisch den PC sperren oder entsperren, je nachdem, ob ich an den Platz gehe oder nicht. Oder es gibt auch die Möglichkeit, das Ganze über eine kamerabasierte Erkennung zu machen oder auch über den Fingerabdruck. wenn man eben sagt, man kann diese Passwörter so nicht eingeben. Auch da gibt es Möglichkeiten. Auf jeden Fall 1, 2, 3, 4 muss vermieden werden. Dann ganz, ganz wichtig ist, wenn egal wem, irgendwas Verdächtiges am Computer auffällt, was nicht normal ist, irgendwelche Fenster poppen auf, sofort Bescheid sagen und das nicht unter den Tisch kehren, sondern wirklich dann zur Not einmal den IT-Dienstleister anrufen. Ja, ich weiß, das kostet in der Regel ein bisschen Geld, aber das ist im Verhältnis viel weniger. als wenn ich das einfach ignoriere und hinterher verschlüsselt bin und am besten noch die Daten abgeflossen sind. Und das ist halt auch eben das Thema, man muss lernen, wie man Two-Mails von schlechten Mails unterscheidet. Das ist enorm schwierig geworden inzwischen, gerade auch im Zuge von Chat-GPT. Aber auch da gibt es eben vor allen Dingen E-Learnings oder Phishing-Simulationen, die man buchen kann. Das ist eigentlich das Wichtigste. Sensibilisierung, Sensibilisierung, Sensibilisierung. Schwieriges Wort, ich kann es aber trotzdem dreimal hintereinander aussprechen, weil es so wichtig ist.

  • Speaker #0

    Okay, also Handlungsbedarf sagst du einfach, ne? Dokumentiert, seid nicht ängstlich, wenn irgendwas auffällt oder irgendwas unnatürlich vorkommt auf deinem PC, nehmt den Kontakt auf, seid da einfach sensibilisiert zu, dass einfach da hinter allem Bescheid ist, hey, wenn hier irgendwas nicht nach meiner Vorstellung ist oder ich hier was zum ersten Mal sehe, dann geht bitte auf den IT-Dienstleister zu, sprecht jemanden darauf an, er kann einfach mal drüber gucken und sagen, hey, hier ist alles in Ordnung. Manchmal ist ein Schritt nach hinten immer noch... gut, um drei nach vorne zu kommen, als wenn man da irgendwie dann am Ende was sich eingefangen hat. Wir haben schon über Risiken so ein Stück weit gesprochen in Praxen. Was denkst du so ist aus deiner Sicht, aus deiner Erfahrung, die häufigsten Bedrohungen, die man eigentlich hat? Wir haben jetzt schon über ein paar Dinge gesprochen, aber vielleicht nochmal so ein kleines Resümee dazu.

  • Speaker #1

    Das wollen bestimmt auch viele nicht hören, aber das größte Problem ist, dass häufig die Praxis-IT nicht in der Hand von Profis liegt. Das bedeutet, das Heimnetzwerk kann ich alleine managen. Und wenn ich auch gute technische Expertise habe, ist das auch wunderbar. Und dann könnte ich das natürlich auch auf die Praxis übertragen. Aber wir haben ja schon von Anfang an gesagt, Praxisdaten sind die sensibelsten überhaupt. Und dementsprechend sollte das Netzwerk auch so behandelt werden. Und ich gehe ja auch nicht jetzt zu meinem Bruder, wenn ich Probleme mit meinen Herzen habe, sondern da gehe ich ja auch eher zu meinem Kardiologen des Vertrauens. Und dementsprechend kann ich wirklich nur empfehlen, die Praxis-IT in die Hand von zertifizierten Anbietern, von Experten zu legen, die auch wirklich Ahnung im Bereich Cyber Security haben. Das heißt also definitiv auch eine professionelle Firewall einbauen und keine Fritzbox.

  • Speaker #0

    Was meinst du passiert, wenn ich so Richtlinien irgendwie nicht richtig umsetze, vielleicht nicht richtig einhalte? Was ist so ein bisschen der Worst Case dahinter, den ich auch irgendwie als Praxis erfahren kann? Nicht nur, dass ich dann am Ende mir was eingefangen habe. Oder an meinem System irgendwas nicht funktioniert, sondern gibt es da irgendwie noch andere Sachen, wo du sagst, hey, man riskiert hier doch ordentlich etwas?

  • Speaker #1

    Wir haben zwar gesagt, dass die KBV-IT-Sicherheitsrichtlinie ja nicht geahndet wird, aber die DSGVO sehr wohl. Und bei einem entsprechenden Datenschutzverstoß, der dann automatisch ja dann entsteht, wenn irgendwelche Daten abfließen, haben wir neben dem Reputationsschaden im schlimmsten Fall bei grober Fahrlässigkeit auch 4% des Jahresumsatzes, die einfach weg sind. Weil das ist das, was als eine Strafe von der Datenschutzbehörde auch verhängt werden kann als Bußgeld. Und das sollte einem klar sein und deswegen sollte man die Umsetzung nicht als Pflichtübung sehen, sondern wirklich als Investition in die Sicherheit und in das Vertrauen der Patienten, aber auch des Personals und allem, was so an der Praxis dran hängt. Man sollte auch durchaus überlegen, weil auch das natürlich mit einem finanziellen Risiko behaftet ist, unabhängig von Bußgeldern. Ich sage mal, bei einer Verschlüsselungsattacke kann man vielleicht, je nachdem, ob die Backups funktionieren oder nicht, zwischen wenigen Tagen, aber auch mehreren Wochen Praxisstillstand haben. Und da sollte man durchaus überlegen, ob man sich mal mit einem Cyberversicherer zusammensetzt, der eben diese Risiken absichern kann. Aber Vorsicht, auch die Cyberversicherer versichern jetzt nicht einfach so, sondern auch die stellen entsprechende Anforderungen an das Praxis-IT-System. Und das sollte man sich im Kleingedruckten... auch genau durchlesen, was sind die Anforderungen und die muss ich natürlich erfüllt haben, ansonsten bringt mir die beste Cyberversicherung nichts.

  • Speaker #0

    Natürlich, da muss auch wieder alles passen letztendlich. Okay, wenn wir so zusammenfassen über das, was wir so gesprochen haben, so die wichtigsten Schritte für Praxisinhaber, würde ich sagen, haben wir als erstes technische Basis schaffen. Also was fällt da für dich darunter, was auf jeden Fall sein muss?

  • Speaker #1

    Firewall, ganz, ganz wichtig. Virenschutz, Updates und funktionierende Backups.

  • Speaker #0

    Okay. Wir haben super viel über organisatorische Regeln gesprochen. Was findest du gehört dazu?

  • Speaker #1

    Ganz wichtig, die Passwortrichtlinien. Keine 1, 2, 3, 4 Passwörter. Zugriffsrechte regulieren und in die E-Mail-Sicherheit investieren.

  • Speaker #0

    Okay. Drittens würde ich vielleicht noch Schulungen mit reinnehmen. Haben wir auch eben drüber gesprochen.

  • Speaker #1

    Unbedingt. Also Sensibilisierung ist ja mein Lieblingswort. Haben wir ja schon festgestellt.

  • Speaker #0

    Am Ende, wer schreibt, der bleibt. Dokumentation.

  • Speaker #1

    Definitiv, gerade auch im Hinblick auf die Cyberversicherung und auch eben im Hinblick auf die Landesdatenschutzbehörde.

  • Speaker #0

    Genau und natürlich externe Unterstützung ist das A und O.

  • Speaker #1

    Genau, also unbedingt einen IT-Dienstleister mit einbeziehen, bitte nicht das Ganze weiter in Freundeshand lassen oder in der Familie und gegebenenfalls eben eine Cyberversicherung mit einbinden, damit man da dann auch die finanziellen Risiken abfängt.

  • Speaker #0

    Okay. Ja, also da gute Richtlinien für alle, die dir heute zugehört haben und für alle Zuhörer und Zuhörerinnen, die mehr über Lambda erfahren wollen, aber natürlich auch über die IT-Sicherheit. Wir verlinken alles ein Stück weit in den Shownotes. Natürlich auch alle Informationen zu Dr.Lib, unseren Lösungen, findest du auf drlib.de. Da kannst du dir auch einen kostenlosen Beratungstermin bei uns vereinbaren. Und wenn dir die Folge gefallen hat, dann abonniere doch gerne unseren Podcast und bewerte uns gerne. Und am Ende ist natürlich entscheidend, was interessiert euch. Also welche Themen beschäftigen dich in deiner Praxis? Schreibe uns gerne Vorschläge für die kommende Folge. Wir freuen uns auf jeden Fall drauf. Auch heute die Folge ist quasi daraus entstanden. IT-Sicherheit war ein großes Thema, über das man gerne mal sprechen sollte. Deswegen bin ich froh. Jan, danke, dass du da warst. Danke für diesen Einblick als Experte. Spannender Austausch. Und natürlich auch vielen Dank an die Zuhörer, die heute dabei waren.

  • Speaker #1

    Ja, auch vielen Dank nochmal von mir und auf bald. Tschüss. Tschüss.

Description

In dieser Episode spricht Daniel mit Jan Kreimeyer von Lambda IT Systems über ein brandaktuelles und kritisches Thema: Cybersecurity in Arztpraxen! Die beiden beleuchten die zunehmende Bedrohung durch Erpressersoftware (Ransomware), die nicht nur Praxisdaten verschlüsselt, sondern diese auch ausleitet und im Dark Web verkauft. Arztpraxen sind längst ins Visier von Cyberkriminellen geraten – höchste Zeit, sich besser zu schützen!

Daniel und Jan erklären, warum Datensicherheit für jede Praxis absolute Priorität haben muss und welche präventiven Maßnahmen wirklich helfen. Von Verschlüsselungstrojanern über gestohlene Patientendaten bis hin zu praktischen Sicherheitstipps – diese Episode sensibilisiert für die realen Cyberrisiken im Praxisalltag und zeigt, wie technologische Lösungen und das richtige Know-how Praxen schützen können.

Checkliste IT-Sicherheit der KBV: Hier findet ihr wichtige Richtlinien und Maßnahmen zum Schutz eurer Praxis: https://www.kbv.de/documents/praxis/digitalisierung/checkliste-it-sicherheit.pdf

Du bist interessiert an einer Partnerschaft? Kontaktiere uns gerne: https://info.doctolib.de/commercial-partnerships/

Bis zum nächsten Mal – und bleibt sicher! 🔒


Hosted by Ausha. See ausha.co/privacy-policy for more information.

Transcription

  • Speaker #0

    Hallo und herzlich willkommen beim Digital Health Dialogs. Falls ihr uns zum ersten Mal hört, vergesst nicht, unseren Podcast zu abonnieren, damit du keine wertvollen Insider aus der Gesundheitsbranche verpasst. Und für alle, die uns noch nicht kennen, Doctolib transformiert seit 2013 das Gesundheitswesen für 400.000 Gesundheitsfachkräfte und 80 Millionen PatientInnen in ganz Europa. Wir unterstützen Praxen mit innovativen Softwarelösungen und helfen PatientInnen dabei, einfach und sicher den Zugang zur Gesundheitsversorgung zu erhalten. Mein Name ist Daniel Henschke. Und in der heutigen Folge dreht sich alles um IT-Sicherheit in Arztpraxen. Was Praxissinhaber jetzt wissen müssen. Und heute habe ich Jan von Lambda IT Systems zu Gast. Hallo Jan, schön, dass du da bist. Stell dich und Lambda doch gerne einmal kurz vor.

  • Speaker #1

    Ja, hi Daniel. Danke für die Einladung. Ich bin Jan Kreimeyer, bin einer der Geschäftsführer von Lambda IT Systems. Wir sind ein IT-Systemhaus aus dem Ruhrgebiet, was allerdings deutschlandweit Gesundheitseinrichtungen unterstützt in der... In der Digitalisierung und auch in der weiterführenden Betreuung. Und von daher freue ich mich sehr, dass wir heute hier gemeinsam diesen Podcast machen dürfen.

  • Speaker #0

    Ja, sehr cool. Schön, dass du auf jeden Fall da bist. Und das bringt mich direkt schon so ein bisschen zu der aktuellen Situation, die wir ja natürlich in Deutschland haben. Die Bedrohungslage hat sich deutlich verändert. Irgendwie Cyberangriffe nehmen weiter zu. Arztpraxen sind da besonders betroffen, auch von Hackerangriffen. weil ja alles um Patientendaten geht, um den Verkauf etc. Was kannst du dazu sagen?

  • Speaker #1

    Ja, da bin ich total bei dir. Vor allen Dingen haben wir ein ganz, ganz großes Problem generell in allen Unternehmen und dazu gehören nun mal auch Arztpraxen mit Verschlüsselungstrojanern, also Erpressersoftware, die die Daten verschlüsseln oder sogar ausleiten und an verschiedene Institutionen im Dark Web verkaufen und damit dann halt eben die Praxis erpressen. Und wir reden ja hier nun mal von den sensibelsten Daten, die es so eigentlich gibt. Und deswegen müssen Arztpraxen da entsprechend auch reagieren und sich besser schützen.

  • Speaker #0

    Ja, und ich finde, das ist auch immer nur eine Seite. Wir haben ja inzwischen auch Phishing, wir haben Social Engineering, gefälschte E-Mails, manchmal Bewerbungen oder Rechnungen, die einfach reinkommen und gar nicht im ersten Moment auffallen.

  • Speaker #1

    Ja, das ist absolut richtig. Und viele glauben halt einfach, ach, ich werde davon kein Opfer, mich betrifft das nicht, das betrifft nur die großen Unternehmen und das ist einfach falsch. Also wir haben hunderte Vorfälle, gerade auch im Gesundheitssektor in Deutschland im Jahr 2025 schon gehabt und ja, das ist vielen einfach gar nicht so bewusst und da wollen wir jetzt heute vielleicht auch mal drüber sprechen, dass man da einfach die Sensibilisierung nochmal stärker mit einem größeren Fokus auf dieses Thema IT-Sicherheit bringt und die Arztpraxen dahingehend abholt. Wir haben halt auch im Moment das Problem einfach, dass Angriffe auch immer professioneller werden. Also das Problem ist einfach, früher musste man richtig, richtig viel Ahnung haben, um überhaupt Unternehmen zu hacken. Heute gibt es Ransomware-as-a-service. Das bedeutet, man kann sich wirklich im Dark Web einen Verschlüsselungstrojaner zusammenklicken. Man braucht also gar keine Ahnung mehr zu haben, wie man sowas programmiert, sondern man klickt sich den einfach zusammen, packt den in eine E-Mail, schickt den an verschiedenste Leute und irgendeiner wird schon draufklicken und schon kann man erpresst werden. Und das ist natürlich wirklich extrem. Und genauso gibt es natürlich auch staatlich unterstützte Hackergruppen. Die sehen es dann in der Tat wirklich nicht auf die einzelne Arztpraxis ab, aber nahezu alle Arztpraxen sind ja an die Telematik-Infrastruktur angeschlossen. Und wenn diese mal angegriffen werden würde, naja, was ist dann das schwächste Glied? Natürlich die Arztpraxis. Die großen Server im Rechenzentrum sind gut geschützt, aber die Arztpraxis, die hat dann häufig gar keine Sicherheitsfunktion oder wenige. Und die werden dann halt eben angegriffen. Und was dann passiert, ja, das wollen wir uns vielleicht gar nicht ausmalen.

  • Speaker #0

    Ja, also... Auch da natürlich statistisch inzwischen. Jede zehnte Praxis ist irgendwie bereits betroffen, wo irgendwie schon mal jeweils ein IT-Sicherheitsvorfall stattgefunden hat. Du hast es gerade gesagt, auch hunderte Fälle, die man da irgendwie hat. Oft liegt das aber ja auch so ein bisschen irgendwie an den Umsetzungsdefiziten. Irgendwie nur ein Drittel der Praxen hat KBV-IT-Sicherheitsrichtlinien vollständig umgesetzt. Das liegt gar nicht daran, dass es oft an denen ist, sondern es ist oft eine mangelnde Verständlichkeit. Es gibt super viele Ressourcenprobleme oder auch... Das fehlende Dringlichkeitsbewusstsein. Auch bezüglich der Risikowahrnehmung. Da hat man über 36 Prozent der Heilberufe schätzen ein Risiko ein, dass man halt von Cyberattacken betroffen werden sein kann, auch in den nächsten zwei Jahren. Und eigentlich bringt mich das genau direkt zu der ersten Frage, die ich heute mitgebracht habe für dich. Warum ist IT-Sicherheit für meine Praxis so wichtig?

  • Speaker #1

    Das ergibt sich ja im Prinzip genau aus dem, was wir ja gerade auch schon besprochen haben. Immer mehr medizinische Einrichtungen sind halt eben Ziel von Cyberangriffen oder werden es noch. Du hast es ja gerade auch gesagt mit den 36 Prozent. Ja, und Patientendaten, auch das hatten wir gerade ja schon, sind nun mal die sensibelsten personenbezogenen Daten und die unterliegen auch strengen Datenschutzvorgaben. Nicht nur der DSGVO, sondern halt auch der ärztlichen Schweigepflicht. Und das Ganze führt ja auch zu einem wahnsinnigen Reputationsschaden, wenn jetzt medizinische Daten abfließen. Es gab zum Beispiel mal die Situation, dass eine psychiatrische Institution gehackt wurde und nicht an den Arzt selbst herangetreten worden ist mit den Daten, sondern die Patienten beispielsweise über Instagram kontaktiert wurden und dort dann erpresst worden sind und dort halt eben mit der Veröffentlichung der Daten gedroht wurde. und das ist natürlich ein Vertrauensverlust, der ist irreversibel. Das muss man halt als Arzt auch erst mal verstehen, wie schnell so etwas passieren kann. Und deswegen ist dieses Bewusstsein für IT-Sicherheit auch gar nicht so sehr geschärft. Und was halt auch klar ist, der Arzt ist nun mal jemand, der sich um die Patienten kümmert und nicht um seine Praxis-IT. Und dementsprechend gehen auch viele Ärzte einfach davon aus, dass die IT schon sicher sein wird und kümmern sich da gar nicht weiter drum und hinterfragen das auch nicht. Und deswegen ist auch die KBV-IT-Sicherheitsrichtlinie ins Leben gerufen worden. Interessanterweise haben wir immer wieder die Situation, dass viele Ärzte diese Richtlinie gar nicht kennen. Damit sollte sich aber jeder Arzt mal auseinandergesetzt haben und auch einfach selber prüfen, vielleicht auch mit unabhängigen Experten, wenn man eben sagt, ich will mal mein eigenes betreuendes IT-Systemhaus hinterfragen oder überprüfen, dass man sich da nochmal einen unabhängigen IT-Experten mit reinholt, der eben die Praxis auf oder nach den Standards der KBV-IT-Sicherheitsrichtlinie dann überprüft. Und die Sicherheitsrichtlinie ist im Prinzip dafür ins Leben gerufen worden, zumindest ein Mindestmaß an Standardisierung in Arztpraxen reinzubekommen. Und man muss ganz klar sagen, man sollte als Arzt die IT-Sicherheit zur Chefsache erklären. Das ist super, super wichtig. Das ist essentiell. Nicht nur eben wegen des Reputationsschadens, der theoretisch auftreten kann, weil... Patientendaten abfließen, sondern auch, womit verdiene ich denn mein Geld? Ich rechne ja jegliche Leistung in meinem Praxisverwaltungssystem ab. Und wenn das dann gehackt ist oder verschlüsselt ist oder wie auch immer, dann habe ich auch massive finanzielle Einbußen. Das darf einem halt nicht entgehen. Und deswegen ganz klar, man muss diese Systeme regelmäßig prüfen, die Prozesse hinterfragen. Und dazu gehört gar nicht, steckt mein Netzwerkkabel jetzt an der richtigen Stelle. Oder ist mein Virenschutz richtig programmiert? Sondern auch, wie laufen meine Prozesse ab? Bedeutet das, sind meine Bildschirmsperren immer aktiv? Sind meine Passwörter nicht 123456 oder Praxis oder wie auch immer, sondern sind das schon vernünftige Passwörter? Und geht auch mein Praxisteam damit sensibel um? Das sind alles Themen, die sollten auf jeden Fall auf den Tisch und die sollten dann auch entsprechend dokumentiert werden. Einfach auch als Nachweis für das Qualitätsmanagement.

  • Speaker #0

    Du hast jetzt schon super viel über Kernanforderungen der KBV-IT-Sicherheitsrichtlinien gesprochen. Kommt immer wieder als Thema auf. Hast du so ein bisschen für mich, was sind so die Grundanforderungen dafür, sowohl technisch als auch organisatorisch?

  • Speaker #1

    Also technisch ist ganz klar, eine Firewall muss in der Praxis vorhanden sein. Und das Schlimme ist, in ganz vielen Praxen ist das nicht der Fall. Da steht einfach eine Fritzbox, die kennt jeder, die steht aber auch zu Hause oder ein Telekom Speedport-Router etc. Das reicht einfach nicht mehr aus. Dann ganz, ganz wichtig, egal ob man Windows benutzt oder ob man auch Mac benutzt, es sollte immer ein aktueller Virenschutz vorhanden sein. Alle Systeme sollten auf dem aktuellen Stand gehalten werden. Das heißt, regelmäßige Updates sollten auf jeden Fall durchgeführt werden. Wenn man das als Praxis nicht selber machen kann, sollte man sich an seinen betreuenden IT-Dienstleister wenden, der dann gegebenenfalls ein automatisches Patch-Management nennt man das, also Update-Management, was durch das IT-Systemhaus kontrolliert wird, einführt. Und natürlich Backups. Aber das Schlimme bei Backups ist auch, die Backups werden zwar gemacht, werden aber nicht überprüft. Also man sollte diese Backups definitiv auch überprüfen und man sollte eine sichere Netzwerkkonfiguration auf jeden Fall durchführen lassen, damit man mit einer Netzwerksegmentierung zum Beispiel alte Geräte, die keine Updates mehr bekommen kann, dazu zählen häufig Sono-Geräte zum Beispiel, aber auch andere medizinische Geräte, so vom Rest der Praxis trennt, dass die Geräte nicht einfach im Netzwerk machen können, was sie wollen. Wenn man diese technischen Voraussetzungen schon mal geschaffen hat, muss man aber eben auch an sein Praxisteam denken. Und dazu gehört halt organisatorisch, man sollte klare Passwortrichtlinien festlegen, man sollte klare Zugriffsrechte festlegen. Das gilt sowohl für das System an sich, also ich sage mal jetzt für Dateien, die man einfach auf der Windows-Oberfläche gespeichert hat oder auf dem Server, aber genauso sollte man auch vernünftige Zugriffsrechte im AIS, also im Arztinformationssystem hinterlegen und dort auch nicht für jeden Mitarbeiter einfach alles öffnen. Und man sollte eben regelmäßige Schulungen für alle Mitarbeitenden organisieren. Das ist jetzt auch Bestandteil eben der KBV-IT-Sicherheitsrichtlinie ganz klar geworden seit Oktober diesen Jahres. Dazu gehören eben einmal das Vertrautmachen mit der Praxis IT an sich, aber auch Cybersecurity-Awareness-Schulung, wo man einfach lernt, worauf man achten muss, wenn man gute E-Mails von bösen E-Mails unterscheiden will. Von daher, ich kann nur empfehlen, man kann auf der Website der KBV sich eine Checkliste herunterladen zum Thema KBV IT-Sicherheitsrichtlinie. Die sollte man einfach durchgehen, wenn man da Nachfragen hat, sich an sein betreuendes IT-Systemhaus wenden. Natürlich immer gerne auch an uns. Unser Team steht da auch jederzeit zur Verfügung. Wenn man diese Checkliste eben durchgegangen ist, sollte man dann auch mit seinem IT-Dienstleister ein entsprechendes Agreement vereinbaren, dass der halt regelmäßig überprüft, ob die Sicherheitsanforderungen auch noch passen.

  • Speaker #0

    Vielleicht verlinken wir direkt mal in den Shownotes die Checkliste von der KBV, für die, die es noch nicht gehört haben, dass man da mal direkt so einen Überblick hat und man selber für sich mal prüfen kann, hey, bin ich da überhaupt aktuellsten Stand, sowohl technisch als auch organisatorisch, gehe ich der Sache letztendlich nach. Du hast eben von dem zeitlichen Raum gesprochen, den 1. Oktober diesen Jahres in den Raum geschmissen, wo so ein bisschen die Anforderungen umgesetzt werden müssen. Gibt es da irgendwie eine Übergangsfrist? Ist das super streng? Was empfiehlst du da?

  • Speaker #1

    Also es gibt keine Übergangsfrist. Die Richtlinie muss eigentlich bis zum 1. Oktober diesen Jahres vollständig umgesetzt worden sein. Allerdings gibt es keine wirklichen Konsequenzen, wenn man das nicht getan hat. Es gibt wohl vereinzelt Praxen, die entsprechend auch schon besucht worden sind, wo da durchaus das mal überprüft worden ist, aber nichtsdestotrotz gibt es keine Konsequenzen. Was einem aber bewusst sein muss, ist, wenn dann doch mal ein IT-Sicherheitsvorfall auftritt und man kann nicht belegen, dass man die KBV-IT-Sicherheitsrichtlinie beachtet hat. Dann wird es natürlich schwierig zu argumentieren gegenüber der Landesdatenschutzbehörde oder auch gegenüber eventuellen Cyberversicherern, dass man wirklich alles getan hat, um seine Praxis da entsprechend zu schützen. Und deswegen kann ich wirklich nur empfehlen, so schnell wie möglich mit der Planung der Umsetzung starten, sich die entsprechenden Experten heranholen. Man sollte definitiv auch gucken, dass man schnell das... Team auf Vordermann bringt. Da gibt es diverse Plattformen im Internet, auch E-Learnings, YouTube-Videos, aber eben auch, wenn man mit seinem IT-Dienstleister spricht, kann der in der Regel auch weiter vermitteln oder bietet in-house auch diese Schulungen an. Und wenn man das dann eben gemacht hat, sollte man auf jeden Fall auch darauf achten, dass das systemtechnisch auf dem aktuellen Stand ist. Da habe ich wirklich alle Windows-Updates eingespielt. Ganz besonders auch ist auf dem Server auch alles an Windows-Updates eingespielt, weil wir sehen ganz, ganz oft, wenn wir Praxen übernehmen, Dass so ein Server noch auf dem Update-Stand von 2023 ist oder sogar noch früher, weil sich halt keiner damit auseinandergesetzt hat und man gedacht hat, dass sein IT-Dienstleister das macht?

  • Speaker #0

    Also Leute, die es jetzt gehört haben und sich vielleicht gerade zum ersten Mal die Gedanken nochmal ein bisschen darüber machen, weil es so ein bisschen weiter nach hinten geschoben worden ist, startet am besten sofort mit der Planung. Geht das Thema an. Es ist eigentlich schon ein bisschen überfällig. Guckt einfach auch, wie Schulungen und technische Updates stehen. Und am Ende, wie es in Deutschland immer so gerne ist, wer schreibt, der bleibt. Also dokumentiert gerne Schulungs... Konzepte, habt einfach den Nachweis dabei. Du hast jetzt auch über das Praxispersonal gesprochen. Ist natürlich immer die, die eigentlich sehr stark am Patienten arbeiten und auch dafür natürlich ausgebildet worden sind. Aber am Ende, wie schule ich am besten mein Praxispersonal effektiv, damit ich genau solche Themen in meiner Praxis sensibilisiert habe?

  • Speaker #1

    Ich hatte ja gerade schon kurz angesprochen, es gibt da verschiedene Möglichkeiten über E-Learning oder externe Anbieter. Das Wichtigste Was man direkt umsetzen kann, ist, man sollte auf jeden Fall eben den sicheren Passwortumgang lernen. Das heißt also der Name des Sohnes oder ein Geburtsdatum oder so sind einfach keine sicheren Passwörter. 1, 2, 3, 4, 5, 6 etc. sowieso nicht. Leider sehen wir ganz, ganz häufig, dass selbst die IT-Systemhäuser in den Arztpraxen sehr einfache Passwörter vergeben. Und da sollte jeder Arzt einfach zur Not, wenn er nicht weiß, wie er es selber machen soll, direkt seinen IT-Dienstleister ansprechen. sprechen und sagen, ich möchte jetzt meine Passwörter geändert haben auf sichere Passwörter. Ein sicheres Passwort besteht in der Regel immer aus einem Großbuchstaben, einem Kleinbuchstaben, einer Zahl und einem Sonderzeichen und sollte schon eigentlich acht Zeichen umfassen. Jetzt höre ich schon von ganz vielen, die hier Podcast hören, einen großen Aufschrei. Ja, wie soll ich das denn in der Praxis im Alltag ständig eingeben? Vor allen Dingen, wenn ich da noch eine Bildschirmsperre habe, die alle zwei Minuten angeht, das ist ja völlig Topisch, das kann ich nicht. Auch da gibt es natürlich Möglichkeiten. Es gibt die Möglichkeit, dass man, ich sag mal, wie beim Auto das schlüssellose Startsystem nutzt, dass man so Schlüssel in der Tasche hat und so Transponder dann entsprechend und Empfänger an den Computern, die dann automatisch den PC sperren oder entsperren, je nachdem, ob ich an den Platz gehe oder nicht. Oder es gibt auch die Möglichkeit, das Ganze über eine kamerabasierte Erkennung zu machen oder auch über den Fingerabdruck. wenn man eben sagt, man kann diese Passwörter so nicht eingeben. Auch da gibt es Möglichkeiten. Auf jeden Fall 1, 2, 3, 4 muss vermieden werden. Dann ganz, ganz wichtig ist, wenn egal wem, irgendwas Verdächtiges am Computer auffällt, was nicht normal ist, irgendwelche Fenster poppen auf, sofort Bescheid sagen und das nicht unter den Tisch kehren, sondern wirklich dann zur Not einmal den IT-Dienstleister anrufen. Ja, ich weiß, das kostet in der Regel ein bisschen Geld, aber das ist im Verhältnis viel weniger. als wenn ich das einfach ignoriere und hinterher verschlüsselt bin und am besten noch die Daten abgeflossen sind. Und das ist halt auch eben das Thema, man muss lernen, wie man Two-Mails von schlechten Mails unterscheidet. Das ist enorm schwierig geworden inzwischen, gerade auch im Zuge von Chat-GPT. Aber auch da gibt es eben vor allen Dingen E-Learnings oder Phishing-Simulationen, die man buchen kann. Das ist eigentlich das Wichtigste. Sensibilisierung, Sensibilisierung, Sensibilisierung. Schwieriges Wort, ich kann es aber trotzdem dreimal hintereinander aussprechen, weil es so wichtig ist.

  • Speaker #0

    Okay, also Handlungsbedarf sagst du einfach, ne? Dokumentiert, seid nicht ängstlich, wenn irgendwas auffällt oder irgendwas unnatürlich vorkommt auf deinem PC, nehmt den Kontakt auf, seid da einfach sensibilisiert zu, dass einfach da hinter allem Bescheid ist, hey, wenn hier irgendwas nicht nach meiner Vorstellung ist oder ich hier was zum ersten Mal sehe, dann geht bitte auf den IT-Dienstleister zu, sprecht jemanden darauf an, er kann einfach mal drüber gucken und sagen, hey, hier ist alles in Ordnung. Manchmal ist ein Schritt nach hinten immer noch... gut, um drei nach vorne zu kommen, als wenn man da irgendwie dann am Ende was sich eingefangen hat. Wir haben schon über Risiken so ein Stück weit gesprochen in Praxen. Was denkst du so ist aus deiner Sicht, aus deiner Erfahrung, die häufigsten Bedrohungen, die man eigentlich hat? Wir haben jetzt schon über ein paar Dinge gesprochen, aber vielleicht nochmal so ein kleines Resümee dazu.

  • Speaker #1

    Das wollen bestimmt auch viele nicht hören, aber das größte Problem ist, dass häufig die Praxis-IT nicht in der Hand von Profis liegt. Das bedeutet, das Heimnetzwerk kann ich alleine managen. Und wenn ich auch gute technische Expertise habe, ist das auch wunderbar. Und dann könnte ich das natürlich auch auf die Praxis übertragen. Aber wir haben ja schon von Anfang an gesagt, Praxisdaten sind die sensibelsten überhaupt. Und dementsprechend sollte das Netzwerk auch so behandelt werden. Und ich gehe ja auch nicht jetzt zu meinem Bruder, wenn ich Probleme mit meinen Herzen habe, sondern da gehe ich ja auch eher zu meinem Kardiologen des Vertrauens. Und dementsprechend kann ich wirklich nur empfehlen, die Praxis-IT in die Hand von zertifizierten Anbietern, von Experten zu legen, die auch wirklich Ahnung im Bereich Cyber Security haben. Das heißt also definitiv auch eine professionelle Firewall einbauen und keine Fritzbox.

  • Speaker #0

    Was meinst du passiert, wenn ich so Richtlinien irgendwie nicht richtig umsetze, vielleicht nicht richtig einhalte? Was ist so ein bisschen der Worst Case dahinter, den ich auch irgendwie als Praxis erfahren kann? Nicht nur, dass ich dann am Ende mir was eingefangen habe. Oder an meinem System irgendwas nicht funktioniert, sondern gibt es da irgendwie noch andere Sachen, wo du sagst, hey, man riskiert hier doch ordentlich etwas?

  • Speaker #1

    Wir haben zwar gesagt, dass die KBV-IT-Sicherheitsrichtlinie ja nicht geahndet wird, aber die DSGVO sehr wohl. Und bei einem entsprechenden Datenschutzverstoß, der dann automatisch ja dann entsteht, wenn irgendwelche Daten abfließen, haben wir neben dem Reputationsschaden im schlimmsten Fall bei grober Fahrlässigkeit auch 4% des Jahresumsatzes, die einfach weg sind. Weil das ist das, was als eine Strafe von der Datenschutzbehörde auch verhängt werden kann als Bußgeld. Und das sollte einem klar sein und deswegen sollte man die Umsetzung nicht als Pflichtübung sehen, sondern wirklich als Investition in die Sicherheit und in das Vertrauen der Patienten, aber auch des Personals und allem, was so an der Praxis dran hängt. Man sollte auch durchaus überlegen, weil auch das natürlich mit einem finanziellen Risiko behaftet ist, unabhängig von Bußgeldern. Ich sage mal, bei einer Verschlüsselungsattacke kann man vielleicht, je nachdem, ob die Backups funktionieren oder nicht, zwischen wenigen Tagen, aber auch mehreren Wochen Praxisstillstand haben. Und da sollte man durchaus überlegen, ob man sich mal mit einem Cyberversicherer zusammensetzt, der eben diese Risiken absichern kann. Aber Vorsicht, auch die Cyberversicherer versichern jetzt nicht einfach so, sondern auch die stellen entsprechende Anforderungen an das Praxis-IT-System. Und das sollte man sich im Kleingedruckten... auch genau durchlesen, was sind die Anforderungen und die muss ich natürlich erfüllt haben, ansonsten bringt mir die beste Cyberversicherung nichts.

  • Speaker #0

    Natürlich, da muss auch wieder alles passen letztendlich. Okay, wenn wir so zusammenfassen über das, was wir so gesprochen haben, so die wichtigsten Schritte für Praxisinhaber, würde ich sagen, haben wir als erstes technische Basis schaffen. Also was fällt da für dich darunter, was auf jeden Fall sein muss?

  • Speaker #1

    Firewall, ganz, ganz wichtig. Virenschutz, Updates und funktionierende Backups.

  • Speaker #0

    Okay. Wir haben super viel über organisatorische Regeln gesprochen. Was findest du gehört dazu?

  • Speaker #1

    Ganz wichtig, die Passwortrichtlinien. Keine 1, 2, 3, 4 Passwörter. Zugriffsrechte regulieren und in die E-Mail-Sicherheit investieren.

  • Speaker #0

    Okay. Drittens würde ich vielleicht noch Schulungen mit reinnehmen. Haben wir auch eben drüber gesprochen.

  • Speaker #1

    Unbedingt. Also Sensibilisierung ist ja mein Lieblingswort. Haben wir ja schon festgestellt.

  • Speaker #0

    Am Ende, wer schreibt, der bleibt. Dokumentation.

  • Speaker #1

    Definitiv, gerade auch im Hinblick auf die Cyberversicherung und auch eben im Hinblick auf die Landesdatenschutzbehörde.

  • Speaker #0

    Genau und natürlich externe Unterstützung ist das A und O.

  • Speaker #1

    Genau, also unbedingt einen IT-Dienstleister mit einbeziehen, bitte nicht das Ganze weiter in Freundeshand lassen oder in der Familie und gegebenenfalls eben eine Cyberversicherung mit einbinden, damit man da dann auch die finanziellen Risiken abfängt.

  • Speaker #0

    Okay. Ja, also da gute Richtlinien für alle, die dir heute zugehört haben und für alle Zuhörer und Zuhörerinnen, die mehr über Lambda erfahren wollen, aber natürlich auch über die IT-Sicherheit. Wir verlinken alles ein Stück weit in den Shownotes. Natürlich auch alle Informationen zu Dr.Lib, unseren Lösungen, findest du auf drlib.de. Da kannst du dir auch einen kostenlosen Beratungstermin bei uns vereinbaren. Und wenn dir die Folge gefallen hat, dann abonniere doch gerne unseren Podcast und bewerte uns gerne. Und am Ende ist natürlich entscheidend, was interessiert euch. Also welche Themen beschäftigen dich in deiner Praxis? Schreibe uns gerne Vorschläge für die kommende Folge. Wir freuen uns auf jeden Fall drauf. Auch heute die Folge ist quasi daraus entstanden. IT-Sicherheit war ein großes Thema, über das man gerne mal sprechen sollte. Deswegen bin ich froh. Jan, danke, dass du da warst. Danke für diesen Einblick als Experte. Spannender Austausch. Und natürlich auch vielen Dank an die Zuhörer, die heute dabei waren.

  • Speaker #1

    Ja, auch vielen Dank nochmal von mir und auf bald. Tschüss. Tschüss.

Share

Embed

You may also like

undefined cover
undefined cover