Das Geheimnis gesetzeskonformer Datensicherung für Arzt- und Zahnarztpraxen

Daten spielen in Ihrer Praxis eine entscheidende Rolle. Von Patientenakten bis hin zu Terminkalendern - Ihre Daten sind das Rückgrat Ihres Unternehmens. Und wenn diesen Daten etwas zustößt - eine Datei geht verloren oder das gesamte System einschließlich aller Patienteninformationen wird verschlüsselt oder anderweitig zerstört - sind die rechtlichen und finanziellen Konsequenzen enorm. Ganz zu schweigen von den Patienten, denen Sie möglicherweise nicht helfen können, während Sie versuchen, Ihre Praxis wieder zum Laufen zu bringen.

Mehr als 60 % aller Cyber-Security-Vorfälle haben negative Auswirkungen auf die Patientenversorgung. Dabei geht es nicht nur um den Verlust von Patientendaten, sondern auch um mögliche Verzögerungen bei Operationen oder anderen kritischen Eingriffen und sogar um einfache Erste-Hilfe-Leistungen, die nicht erbracht werden können, weil ihre Patienten/innen zu anderen Ärzten überwiesen werden müssen.

Hier setzt § 75b SGB V bzw. die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) an. Diese Richtlinien befassen sich mit dem Schutz und der Sicherung von Patientendaten und sollen allgemeinmedizinischen, zahnärztlichen, psychotherapeutischen, radiologischen und anderen Praxen eine Hilfestellung in Situationen wie den oben beschriebenen geben.

Das klingt generell gut. Aber was heißt das eigentlich?

Das Problem ist, dass diese Richtlinien nicht eindeutig sind und viele Arzt- und Zahnarztpraxen Schwierigkeiten haben, sie zu interpretieren und damit eine sichere IT-Umgebung einzurichten und zu verwalten. In einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde festgestellt, dass keine von den BSI befragten Arztpraxen über angemessene IT-Sicherheitsmaßnahmen verfügten. D.h. alle Praxen hatten Probleme mit dem Schutz von Patientendaten und deren Systemen gemäß den gesetzlichen Vorgaben der KBV. Unter anderem wurden folgende Sicherheitsrisiken gefunden:

• PCs und Benutzer waren angemeldet, auch wenn keiner den Rechner genutzt wurde.
• Zur Speicherung von Patientendaten wurden externe Speichergeräte verwendet.
• Es wurde keine Antivirenlösung verwendet oder sie war nicht auf dem neuesten Stand.
• Sicherungskopien wurden erstellt, aber nicht getestet und/oder nicht ausgelagert.
• Und viele andere Probleme.

Dank der nicht immer eindeutigen Formulierung des § 75b SGB V bzw. der IT-Sicherheitsrichtlinien der KBV ist es nicht verwunderlich, dass medizinisches Personal weltweit damit zu kämpfen hat. Ärztinnen und Ärzte, Praxismitarbeitende, medizinische Fachangestellte und Angestellte in der Verwaltung sowie dem Praxis-Management sind eben keine IT-Experten (und sollen es auch nicht sein).

55% geben an, dass die IT-Sicherheitsrichtlinien der KBV wenig oder gar nicht verständlich sind.

Anforderungen für Datensicherung im Gesundheitswesen

Wir alle wissen (hoffentlich), dass eine Datensicherung für Arztpraxen, Zahnärzte und andere im Gesundheitswesen Tätige unerlässlich ist. Es reicht nicht aus, ihre Daten „mal so eben“ woanders hinzukopieren. Ihre Daten und Systeme müssen nach z.B. einem Datenverlust durch Ransomware, einem Festplattenausfall, einer Naturkatastrophe usw. in kürzester Zeit wiederhergestellt werden können, um die Unterbrechung des Praxisbetriebs und damit der Patientenversorgung so kurz wie möglich zu halten.

Wenn Sie beispielsweise einmal pro Woche alle Ihre Dateien auf ein direkt angeschlossenes USB-Laufwerk kopieren, haben Sie keinen Zugriff mehr auf Ihre wichtigen Patientendaten, wenn Ransomware dieses USB-Laufwerk verschlüsselt oder die Festplatte anderweitig verloren geht oder zerstört wird.

Schauen wir uns die IT-Sicherheitsrichtlinien der KBV bezüglich Datensicherung und -wiederherstellung einmal näher an. Diese setzen den Standard für den Schutz sensibler Patientendaten und stellen sicher, dass es im Falle eines Datenverlusts nur zu minimalen Ausfallzeiten kommt, unabhängig davon, wie die Daten verloren gegangen sind.

Gemäß den IT-Sicherheitsrichtlinien der KBV müssen Praxen über ein Datensicherungskonzept verfügen, das regelmäßige Sicherungen, ein sicheres Backup und die Möglichkeit der Datenwiederherstellung im Katastrophenfall umfasst. Die wichtigsten Merkmale und Funktionen, die eine gesetzeskonforme Datensicherungslösung für Arztpraxen beinhalten sollte, sind daher:

• Regelmäßige Backups: Ihre Backup-Lösung sollte Ihre Daten automatisch sichern und das am besten täglich (wenn nicht sogar häufiger), damit das Backup immer die letzten Änderungen enthält. Außerdem sollte die Lösung sicherstellen, dass immer mehrere Versionen Ihrer Daten vorhanden sind, z.B. von vor einer Stunde, vor einem Tag, einer Woche, usw. Auf diese Weise können Sie eine ältere Version Ihrer Daten wiederherstellen, falls die aktuellste Version bereits beschädigt ist.
• Auslagerung: Jede Sicherungsstrategie sollte aus mehreren Backup-Jobs bestehen, die Daten auf verschiedene Speichermedien senden. Diese Backup-Medien befinden sich in der Praxis, z. B. ein lokales NAS-Gerät, aber mindestens ein Backup sollte extern abgelegt werden. Dies stellt sicher, dass Ihre Daten auch im Falle einer Naturkatastrophe, wie z.B. einem Brand, noch verfügbar sind. Der externe Backup-Speicher sollte außerdem von Ihrer Produktionsumgebung getrennt sein, um sicherzustellen, dass Ransomware keinen Zugriff darauf hat und ihn nicht verschlüsseln kann.
• Verschlüsselung: Zum Schutz sensibler Daten, insbesondere patientenbezogenen Daten, sollte eine gesetzeskonforme Backup-Lösung für das Gesundheitswesen die Verschlüsselung der Backups während der Übertragung zum Backup-Speicher und auf dem Speicher selbst gewährleisten. Damit ist sichergestellt, dass die Daten auch im Falle eines Cyber-Angriffs für Unbefugte unlesbar bleiben.
• Datenwiederherstellung und Disaster Recovery: Ihre Backup-Lösung sollte es Ihnen ermöglichen, Ihre Daten und Ihr System zuverlässig, schnell und einfach wiederherzustellen. Die Möglichkeit, Ihr Unternehmen wieder zum Laufen zu bringen oder auch nur eine wichtige verlorene Datei schnell wiederherzustellen, kann für Ihre Patienten den entscheidenden Unterschied ausmachen.

Zu einer Backup-Lösung, die den IT-Sicherheitsrichtlinien der KBV entspricht, gehört noch etwas mehr. Lesen Sie unseren Blog-Beitrag „Backup-Lösungen für das Gesundheitswesen: Worauf Sie achten sollten“ für weitere Details.

Best Practices für die Implementierung und Überwachung von Backups die den IT-Sicherheitsrichtlinien der KBV entsprechen

Eine benutzerfreundliche und skalierbare Datensicherungssoftware, die den IT-Sicherheitsrichtlinien der KBV entspricht, ist nur ein Teil der Lösung. Die ordnungsgemäße Implementierung und Überwachung einer gesetzeskonformen Datensicherungslösung ist für die Sicherheit und Integrität Ihrer Daten ebenso wichtiger. Einige der zu berücksichtigenden Punkte und bewährten Verfahren sind:

• Regelmäßige Backup Tests: So stellen Sie sicher, dass alles einwandfrei funktioniert und Sie Ihre Daten im Notfall erfolgreich wiederherstellen können. Noch wichtiger ist jedoch, dass Sie durch diese regelmäßigen Tests dann wissen, wie Sie Ihre Daten wiederherstellen können, so dass Sie keine Zeit damit verschwenden, herauszufinden, wie die Software zu bedienen ist.
• Überprüfung und Aktualisierung Ihrer Backup-Strategie: Jedes IT-System wächst und passt sich dem täglichen Gebrauch an. Systeme und Dateien ändern sich, neue Hardware kommt hinzu, neue Software wird installiert und vieles mehr. Es ist daher wichtig, dass Sie Ihre Backup-Strategie regelmäßig überprüfen und sicherstellen, dass alle wichtigen Dateien und Systeme in Ihren Backup-Jobs enthalten sind.
• Überwachung Ihrer Backups: Dies kann über ein zentrales Verwaltungstool oder durch den Erhalt von Warnungen und Benachrichtigungen per E-Mail erfolgen. Potenzielle Probleme oder Schwachstellen können so leicht kommuniziert werden und helfen Ihnen, den Überblick über Ihre Backups zu behalten.
• Sicherheitsupdates und Patches: Ihre Backup-Software (und wenn wir schon dabei sind, auch jede andere Software) sollte immer auf dem neuesten Stand sein und die neuesten Updates verwenden. Dies stellt sicher, dass Sie die neuesten Funktionen aktiviert haben und die neuesten Sicherheitsupdates und Patches installiert sind, um zu verhindern, dass potenzielle Schwachstellen ausgenutzt werden (dies ist einer der fünf Hauptgründe, warum Ransomware überhaupt in Ihr System gelangen kann).
• Schulung und Kommunikation für Ihre Mitarbeiter: Informieren Sie Ihre Mitarbeiter über die Bedeutung einer Datensicherung und die Einhaltung der IT-Sicherheitsrichtlinien der KBV. Stellen Sie sicher, dass sie ihre Rolle bei der Sicherung von Patientendaten verstehen und informieren Sie sie regelmäßig über Aktualisierungen.

In unserer Ransomware-Checkliste finden Sie eine Auflistung aller wichtigen Punkte, die Sie beachten sollten.

Wenn Sie mit einem IT-Systemhaus, Managed Service Provider oder einem Anbieter von Datensicherungslösungen zusammenarbeiten, nutzen Sie deren Expertise, damit Sie sich nicht selbst um alles kümmern müssen. Schließlich sollten Sie sich auf Ihre Patienten konzentrieren und nicht auf Ihre IT-Umgebung oder Ihre Datensicherungslösung. Und wenn Sie noch nicht mit einem IT-Systemhaus oder Managed Service Provider zusammenarbeiten, der Ihre IT-Umgebung verwaltet, verweisen wir Sie gerne an einen unserer Partner.

Sie sind sich nicht sicher, womit Sie anfangen sollen? Kontaktieren Sie uns und wir helfen Ihnen gerne weiter.

Der neue Backup-Standard im Gesundheitswesen: Datensicherung und Wiederherstellung für Arztpraxen und Zahnärzte.