Die Bedrohung durch Cyberangriffe im Gesundheitswesen wächst stetig und wird zunehmend raffinierter und zielgerichteter. Kein System ist mehr automatisch sicher und Angreifer entwickeln immer ausgeklügeltere Methoden, um Schwachstellen auszunutzen.
Cybersicherheit ist ein wesentlicher Bestandteil der Sicherheit, Vertraulichkeit und Zuverlässigkeit von Gesundheitsdienstleistungen. Angesichts dieser zunehmenden Bedrohung durch Cyberangriffe – wie Phishing, Ransomware und anderen digitalen Gefahren – empfehlen wir Ihnen dringend, proaktive Maßnahmen zum Schutz Ihrer IT-Umgebung zu ergreifen.
Neben unseren Empfehlungen möchten wir Sie auch auf die Initiative der Kassenärztlichen Bundesvereinigung (KBV) hinweisen. Diese Richtlinie, die 2025 aktualisiert wurde, umfasst neue Maßnahmen zur Sensibilisierung des Praxispersonals für Informationssicherheit sowie Vorgaben zum Umgang mit Spam in E-Mails. Alle Neuerungen müssen Praxen spätestens ab dem 1. Oktober 2025 umsetzen.
Die folgenden Empfehlungen unterstützen Sie dabei, die Sicherheit Ihrer Systeme und Daten nachhaltig zu gewährleisten:
Zentrale Sicherheitsempfehlungen
1. Vorsicht vor Phishing und Social Engineering
- Öffnen Sie keine verdächtigen E-Mails und klicken Sie nicht auf unbekannte Links oder Anhänge.
- Überprüfen Sie unerwartete Nachrichten sorgfältig – insbesondere solche, die Anmeldedaten, Zahlungen oder Dateidownloads verlangen.
- Seien Sie aufmerksam bei unaufgeforderten Anrufen, die angeblich von einem IT-Support oder Dienstleistern stammen.
- Installieren Sie keine Software und gewähren Sie keinen Zugriff, ohne die Anfrage intern zu verifizieren.
- Kommunizieren Sie klar an alle Mitarbeitenden, wie und wo verdächtige Aktivitäten gemeldet werden sollen.
2. Aktualisierte Sicherheitssoftware verwenden
- Installieren und pflegen Sie eine zuverlässige Antiviren- oder Endpoint-Sicherheitslösung mit Echtzeitschutz.
- Halten Sie Virensignaturen und alle Sicherheitsprogramme stets aktuell – idealerweise mit automatischen Updates.
- Verwenden Sie ausschließlich Software aus vertrauenswürdigen Quellen.
- Vermeiden Sie den Einsatz veralteter oder nicht mehr unterstützter Software.
- Nutzen Sie verhaltensbasierte Bedrohungserkennung, um ungewöhnliche Aktivitäten wie unautorisierte Verschlüsselung frühzeitig zu erkennen.
3. Systeme und Netzwerke absichern
- Spielen Sie regelmäßig alle sicherheitsrelevanten Updates und Patches ein.
- Deaktivieren Sie unnötige Dienste (z. B. RDP), sofern diese nicht zwingend erforderlich und ausreichend geschützt sind.
- Segmentieren Sie Ihr Netzwerk, um die Ausbreitung von Schadsoftware zu verhindern.
- Vermeiden Sie den Einsatz veralteter oder nicht mehr unterstützter Systeme.
4. Backup- und Zugriffsschutz
- Erstellen Sie regelmäßige Sicherungskopien aller wichtigen Daten – mindestens eine Kopie sollte offline oder netzwerkisoliert aufbewahrt werden.
- Testen Sie Ihre Backups regelmäßig auf Wiederherstellbarkeit.
- Verwenden Sie für alle Benutzerkonten sichere Passwörter, die eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
- Nutzen Sie keine privilegierten Konten für tägliche Arbeiten.
- Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA), wo immer möglich.
5. Beachtung der KBV-Informationen und Nutzung der Angebote
Die Kassenärztliche Bundesvereinigung (KBV) stellt wichtige Vorgaben und Empfehlungen bereit, um die IT-Sicherheit in medizinischen Einrichtungen zu stärken. Wir empfehlen allen Praxen dringend, sich regelmäßig zu informieren und diese Ressourcen aktiv zu nutzen.
Wichtige Inhalte der IT-Sicherheitsrichtlinie der KBV umfassen:
- Sicherer Umgang mit der Praxis-IT: Das Praxispersonal wird entsprechend seiner Aufgaben im sicheren Umgang mit der IT geschult und sensibilisiert.
- Schulung des Praxispersonals: Mitarbeitende werden regelmäßig zur eingesetzten Technik geschult und weitergebildet. Es gibt betriebliche Regelungen, um das Wissen aktuell zu halten.
- Umgang mit Spam bei E-Mails: Die Praxis sollte regeln, wie mit Spam umgegangen wird. Grundsätzlich gilt: Spam-E-Mails ignorieren, löschen, keine Links anklicken oder antworten.
- Einarbeitung in die Praxis-IT: Neue Mitarbeitende werden in die Praxis-IT eingearbeitet und über geltende Regelungen informiert.
- Praxis-Austritt: Beim Ausscheiden von Mitarbeitenden sind Geräte, Schlüssel, Ausweise und Zugänge zurückzugeben sowie bekannte Passwörter und Zugangsdaten zu deaktivieren oder zu ändern.
- Externes Personal: Auch externes Personal muss die IT-Sicherheitsvorgaben der Praxis einhalten.
Diese und weitere Anforderungen gelten für alle Praxen. Zusätzliche Maßnahmen betreffen größere Praxen (mehr als sechs Personen mit Datenverarbeitung oder Einsatz medizinischer Großgeräte). Weitere Informationen finden Sie auf der offiziellen Website der KBV: https://www.kbv.de/praxis/digitalisierung/it-sicherheit.
Vielen Dank für Ihre aktive Mitarbeit bei der Aufrechterhaltung einer sicheren und widerstandsfähigen IT-Umgebung im Gesundheitswesen.
Kostenfreie Webinare
Schützen Sie Ihre Praxis vor Cybergefahren – Werden Sie IT-sicher!
Unsere Webinare helfen Ihnen dabei, die IT-Sicherheit Ihrer Praxis zu erhöhen.