Neue Anforderungen für IT-Sicherheit in Praxen
Die Digitalisierung schreitet auch im Gesundheitsbereich schnell voran. Das eröffnet viele Vorteile, bringt aber auch großen Herausforderungen mit sich. Doch trotz der hohen Arbeitsbelastung sollten die Verantwortlichen dabei auf keinen Fall die Sicherheit der IT-Systeme in Arzt- und Zahnarztpraxen aus den Augen verlieren. Denn durch die Digitalisierung wird auch der Schutz sensibler Gesundheits- und Patientendaten immer wichtiger.
Die Kassenärztliche Bundesvereinigung (KBV) hat daher zum 01.01.2022 ihre Richtlinie zur IT-Sicherheit in den Praxen aktualisiert. Im Mittelpunkt stehen dabei zwei Punkte, die in vielen Praxen vernachlässigt werden: die Themen Firewall-Setup und Backup-Handling.
"Viele Ärzte glauben, dass sie in diesen Punkten bereits sehr gut aufgestellt sind und sich keine zusätzlichen Gedanken aufgrund der neuen KBV-Richtlinie machen müssen", sagt Sascha Gebhardt, KBV-zertifizierter IT-Sicherheitsexperte der NetAachen GmbH. "Tatsächlich erfordern die Richtlinien aber genau das Gegenteil, nämlich eine intensive Auseinandersetzung mit der eigenen IT-Security."
Neue Richtlinie ist eine große Chance
Die vergangenen zwei Jahre waren für den ganzen Gesundheitsbereich extrem anstrengend. Kein Wunder, dass da das Thema IT-Infrastruktur für viele Ärzte aus dem Fokus gerückt ist – die Versorgung der Patienten hat verständlicherweise immer Vorrang. Doch Experte Sascha Gebhardt betont: "Die neue Richtlinie birgt vor allem eine große Chance. In den letzten Jahren hat sich bei der IT-Sicherheit unheimlich viel getan. Sicherheitslücken, von denen viele vielleicht noch gar nichts ahnen, können jetzt geschlossen werden."
Zugleich sollte die Richtlinie auch ein Anlass sein, die IT-Sicherheit in den Praxen zu professionalisieren. Denn entgegen einer weitverbreiteten Ansicht ist ein WLAN-Router wie z. B. eine Fritz!Box keine professionelle Firewall. Und ein Backup ist nicht damit erledigt, alle Daten auf eine externe Festplatte zu speichern und diese mit nach Hause zu nehmen - ganz im Gegenteil: Denn wer so vorgeht, schafft neue Risiken in Bezug auf Datenverlust und Zugriff Dritter.
Professionalisierung bedeutet meist auch, sich Unterstützung durch externe Experten zu sichern. Zusammen mit der neuen Richtlinie hat die KBV deshalb auch Vorgaben für die Zertifizierung von IT-Dienstleistern beschlossen, die medizinisches Personal in Sicherheitsfragen beraten und bei der Umsetzung der Vorgaben aus der Sicherheitsrichtlinie unterstützen. Zu den so zertifizierten Experten zählt auch Sascha Gebhardt, IT-Verantwortlicher bei NetAachen.
IT-Sicherheit wird oft unterschätzt
"Wir wissen, dass viele Unternehmen und Einrichtungen das Thema IT-Sicherheit noch enorm unterschätzen. Das ist kein spezifisches Problem aus dem medizinischen Bereich", erklärt Sascha Gebhardt. "Doch gerade hier sprechen wir von besonders sensiblen und schützenswerten Daten – und nicht zuletzt von hohen Kosten, die im Falle von Sicherheitslücken und Cyberattacken plötzlich im Raum stehen."
Als IT-Dienstleister mit zahlreichen zertifizierten Sicherheitsexperten steht die NetAachen GmbH auch Arztpraxen und medizinischen Einrichtungen zur Seite, analysiert Ihre IT, spricht Handlungsempfehlungen aus und kümmert sich um die kontinuierliche Betreuung und Wartung der IT-Infrastruktur.
"Es ist zum Beispiel enorm wichtig, eine Firewall nicht einfach bloß zu installieren und dann das Thema liegenzulassen. Eine professionelle Firewall muss mindestens alle 30 Tage gewartet werden. Deshalb ist eine langfristige Betreuung durch IT-Experten so wichtig", weiß Sascha Gebhardt. Diese Betreuung bietet NetAachen stufenweise modulierbar an - individuell abgestimmt auf die Bedürfnisse seiner Kunden.
Planung statt Panik
Auch wenn die neue IT-Richtlinie der KBV seit Januar in Kraft ist - es geht dabei keineswegs darum, von jetzt auf gleich sämtliche Vorgaben umgesetzt zu haben. Ähnlich wie bei der Datenschutzverordnung DSGVO, die vor ein paar Jahren in Kraft trat und weitreichende Folgen mit sich brachte, ist es vor allem wichtig, nachweisen zu können, dass man einen Plan hat und auf dem Weg ist, diesen umzusetzen.
"Deshalb arbeiten wir bei NetAachen auch nicht mit IT-Konzepten von der Stange", erklärt Sascha Gebhardt. "Wir sind in erster Linie ein Lösungsanbieter und schauen uns die Situation in jeder einzelnen Arztpraxis ganz genau an, bevor wir einen umsetzbaren Fahrplan entwickeln. Wir begleiten Veränderungsprozesse langfristig, verlässlich und so engmaschig wie gewünscht."