Beim Thema EDV-Betrieb in der Arztpraxis denkt man an regelmäßige Datensicherungen und Updates, aber nicht sofort an Vorkehrungen gegen Diebstähle, Rohrbrüche oder Erpressungen. Zwar sind solche Ereignisse eher selten, die durch sie verursachten Schäden können aber immens sein, insbesondere, wenn dabei die Vertraulichkeit der sensiblen Patientendaten verletzt wird.

Der Anruf kam morgens um halb fünf. "Hier ist die Kriminalpolizei, es ist in Ihre Praxis eingebrochen worden." Vor meinem inneren Auge entstand sofort ein Bild, wie man es aus Kriminalfilmen kennt – die Schränke in der Anmeldung durchwühlt, alles herausgerissen, überall herumfliegende Papiere, und mein erster klarer Gedanke war: "Hoffentlich haben die den Server nicht mitgenommen." Wenn ja, wäre alles weg – Abrechnungsdaten, medizinische Dokumentation, Patientenadressen. Und die Praxis müsste in ein paar Stunden im Handbetrieb öffnen.

Ein Horrorszenario formte sich in meinem Kopf. Wir würden einen neuen Server brauchen, und dessen Beschaffung und Neuinstallation würde mindestens zwei oder drei Tage dauern. Und ohne die Daten der Patienten, die erfassten Leistungen und Diagnosen wäre ein neuer Server nicht viel wert. Natürlich hatten wir pflichtgemäß jede Nacht die Daten gesichert. Aber war die Datensicherung überhaupt noch vorhanden? Die kleinen USB-Festplatten, auf denen jede Nacht die Daten gesichert wurden, lagen an der Anmeldung in einem nicht abgeschlossenen Schrank – leichte Beute für einen Einbrecher. Und selbst wenn sie noch vorhanden wären, wäre unklar, ob die Daten erfolgreich auf einen neuen Server übertragen werden könnten.

Ärger mit dem Datenschutz

Es würde zudem Ärger mit der Landesdatenschutzbehörde geben. Denn die Patientendaten auf den Servern in den Praxen sind nicht nur durch das Strafgesetzbuch besonders geschützt (§ 203 StGB, Verschwiegenheitspflicht), sondern auch durch das Bundesdatenschutzgesetz (personenbezogene Daten gemäß § 3 IX). Gehen solch sensible Daten verloren, muss unverzüglich die zuständige Aufsichtsbehörde informiert werden, und zwar schon dann, wenn mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann, dass diese Daten unrechtmäßig in die Hände unbefugter Dritter gelangt sein können. Da die Patientendaten heutzutage in den Datenbanken der meisten Arzt-Informations-Systeme immer noch im Klartext abgespeichert werden, können sie leicht ausgelesen werden – die Anleitungen dazu gibt es im Internet. Geht ein Datenträger mit Patientendaten verloren, ist deswegen immer davon auszugehen, dass sich die Daten in den Händen Unbefugter befinden. Um die Meldung an die Aufsichtsbehörde kommt man also nicht herum, zumal bei Versäumnis Bußgelder in bis zu sechsstelliger Höhe drohen [1].

Nach der Meldung müssten wir unverzüglich die betroffenen Patienten über den Datenverlust informieren. In unserem Fall wären das allerdings knapp 8.000 Patienten, die im System gespeichert waren. Ist davon auszugehen, dass nicht alle Patienten unverzüglich erreicht werden können, sind nach § 42a Bundesdatenschutzgesetz (BDSG) andere Formen der Benachrichtigung zu verwenden. So musste das Klinikum Mittelbaden nach einem Verlust von Patientendaten Anzeigen in überregionalen Tageszeitungen schalten [2]. Werbung für die Praxis sieht anders aus.

Eine halbe Stunde später in der Praxis dann die Erleichterung. Zwar waren zwei Laptops und die Kaffeekasse gestohlen worden, den Server hatten die Diebe aber entweder nicht entdeckt oder als wertlos betrachtet. Seitdem haben wir Tresor, Türriegel und Alarmanlage angeschafft. Aber reicht ein physischer Schutz des Servers alleine, um die wertvollen und sensiblen Patientendaten wirklich sicher zu schützen?

Bedrohung Cyber-Einbruch

Vor ein paar Wochen wurde gemeldet, dass eine Arztpraxis in Deutschland Ziel eines ausländischen Hacker-Angriffs wurde. Die Angreifer schleusten über den Anhang einer E-Mail einen sogenannten Trojaner auf den Rechner – ein Computerprogramm, das wie das Trojanische Pferd vortäuscht, eine andere Funktion auszuführen, während es in Wirklichkeit, einmal aktiviert, Teile der Festplatte und damit leider auch die Datenbank mit den Patientendaten verschlüsselt (eine ausführliche Darstellung dieses Themas gab es im "Allgemeinarzt" 6/2016). Die Erpresser forderten "Lösegeld" für das Entschlüsseln der Daten [3]. Die Patientendaten konnten jedoch aus der Datensicherung auf einem neuen Server wiederhergestellt werden. Und die Polizei ging davon aus, dass die Täter keine Einsicht in die Daten hatten.

In diesem Fall hat die Praxis zwar den wirtschaftlichen Schaden, ihr bleibt aber zumindest die Benachrichtigung der Patienten erspart. Was aber wäre, wenn das eingeschleuste Trojanische Pferd, statt die Festplatten zu verschlüsseln, Teile der Patientendatenbank an seinen Erbauer geschickt hätte? Wenn die Praxis zum Beweis eine E-Mail mit einem Auszug ihrer Patientendaten erhalten hätte, mit der Drohung, diese dem Landesdatenschützer zuzuspielen, wenn kein Lösegeld gezahlt wird?

Einfache Sicherheitsmaßnahmen

Für gespeicherte sensible Daten gibt es nur einen wirklich sicheren Schutz – die Verschlüsselung mit einem anerkannten Verfahren und natürlich einem Schlüssel, den die Praxis – und nur die Praxis – kennt. So sieht es auch der Gesetzgeber: Kann kein Unbefugter die Daten lesbar machen, dann besteht selbst bei einem Verlust keine Gefahr eines Datenmissbrauchs und die Verpflichtung zur Benachrichtigung der Betroffenen entfällt (§ 109a Datensicherheit TKG). Leider kann man bestehende Software aber nicht einfach so mit einer Datenverschlüsselung nachrüsten. In diesen Fällen bleibt nur die Option, den Server mit seinen sensiblen Klartext-Daten vor unbefugtem Zugriff und Schadsoftware zu beschützen. Hier helfen nicht nur Virenscanner, sondern insbesondere auch ein verantwortungsvolles Handeln:

  • Haben Personen, die nicht zum Praxispersonal gehören, Zugang zum Server – beispielsweise Administratoren, Reinigungskräfte, Vermieter, Handwerker?
  • Können sich Patienten in einem unbeobachteten Moment an einem Arbeitsplatz aktiv Zugang verschaffen und Software installieren oder Daten einsehen?
  • Ist das Team sensibilisiert für "Social Engineering"? So bezeichnet man das Ausnutzen menschlicher Eigenschaften wie Hilfsbereitschaft oder Autorität zur Erlangung unberechtigten Datenzugriffs. Würde eine Person zur Tür hereinkommen, sich als Mitarbeiter des Softwarehauses vorstellen und behaupten, man müsse ganz dringend für notwendige Wartungsarbeiten an den Server, würde man beim Softwarehaus anrufen und sich die Legitimität der Person bestätigen lassen?
  • Werden aktuelle Patches und Updates für Betriebssystem und Virenscanner immer sofort eingespielt oder durchaus schon mal weggeklickt und dann vergessen?
  • Ist sichergestellt, dass Mitarbeiter nicht zusätzliche vermeintlich nützliche Software (Bildschirmschoner, Browser-Erweiterungen) aus dem Internet laden und installieren?
  • Prüft man jeden Anhang einer E-Mail erst durch ein Virenschutzprogramm, bevor man ihn öffnet?

Das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik [4] listet eine ganze Reihe von Punkten auf, die man in das Handbuch Qualitätsmanagement einarbeiten kann.

Aus Schaden wird man klug. Unsere Patientendaten liegen mittlerweile in einem Hochsicherheits-Rechenzentrum – verschlüsselt mit einem Passwort, das nur wir kennen. Dort sind unsere wertvollen Daten nicht nur vor physischen Gefahren wie Bränden, Wasserrohrbrüchen oder Sturmschäden, sondern auch vor Diebstahl oder sonstigem Zugriff unberechtigter Dritter optimal geschützt. Seitdem hat das Telefon auch nachts nicht mehr geklingelt und wir schlafen viel ruhiger.


Literatur
(1) http://https://www.iitr.de/veroeffentlichungen-des-instituts-fuer-it-recht/292-datenschutz-informationspflichten-bei-datenpannen-nach-42a-bdsg.html
(2) http://www.egovernment-computing.de/standards/articles/381589
(3) http://www.swr.de/landesschau-aktuell/bw/suedbaden/freiburg-hackerangriff-auf-arztpraxis/-/id=1552/did=15980602/nid=1552/1vva8qv/index.htmlundhttp://www.aerztezeitung.de/praxis_wirtschaft/praxis_edv/article/891880/firewall-aktuell-halten-hacker-daten-praxis-abgesehen.html?sh=10&h=-1042445632
(4) http://https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html

Autor:

Alexander Wilms

betreut seit mehr als 15 Jahren die allgemeinärztliche Praxis seiner Frau in IT-Fragen und war maßgeblich an der Entwicklung von RED Medical, der ersten webbasierten Arztsoftware, beteiligt. Die Server stehen in einem deutschen Hochsicherheits-Rechenzentrum. Die Patientendaten werden ausschließlich verschlüsselt gespeichert. Die Software hat alle maßgeblichen Zertifizierungen der KBV und das Datenschutzgütesiegel des Unabhängigen Landesdatenschutzzentrums (ULD) und des TÜV Saarland.

Erschienen in: Der Allgemeinarzt, 2016; 38 (7) Seite 66-68