Folge #176 – IT-Sicherheit in Arztpraxen

Ja, hallo und herzlich willkommen zu einer weiteren Ausgabe des eHealth-Podcast. Wir wollen heute sprechen über das Thema IT-Sicherheit im ambulanten Sektor oder ganz konkret IT-Sicherheit in Arztpraxen. Das ist ein hochaktuelles Thema, warum, wenn wir gleich auch noch zu kommen. Und das mache ich mal wieder nicht alleine, sondern ich habe mit einem kompetenten Gast und Gesprächspartner eingeladen. Das ist heute der Stephan Zander, der seit Jahren schon sich mit diesem Thema beschäftigt. Wie genau das kann er euch selber sagen, lieber Stefan, herzlich willkommen und max und paar Worte zu dir sein. Wer bist du? Was machst du? Ja, well done. Vielen Dank für die Einladung. Die Möglichkeit wollte ich hier bei dir im Podcast zu weinen. Stephan Zander, mittlerweile 50 Jahre seit ungefähr 30 Jahren in der IT unterwegs, kommen wir im Moment aus dem Hause der IT-One Medical GmbH, die sich tatsächlich auf genau den Bereich, über den wir heute sprechen wollen, spezialisiert hat. Angefangen habe ich wirklich im Gesundheitswesen in der IT, damals noch mit Kupferübertragung und ISDN-Übertragung von Labordaten, was heute ja ein bisschen anders aussieht, aber im Prinzip hüpfig die letzten 30 Jahre durch Arztpraxen und Beschäftige mich explizit genau mit dem Thema. Und das wollen wir mit folgende Agenten, also ein bisschen angehen. Wir werden einmal kurz eingehen auf die aktuelle Situation. Warum ist das wichtig? Warum ist das relevant, sich mit dem Thema zu beschäftigen? Dann wollen wir so ganz allgemein typische Bedrohungsszenarien mal durchsprechen, was kann denn für so eine Arztpraxis eine mögliche Bedrohung eben aus Sicht der IT-Sicherheit sein und wollen dann auf mögliche Lösungen oder Lösungswege angehen. Das heißt, ihr wollt jetzt keine konkreten Produkte vorstellen, sondern einfach sagen, allgemein oder dorsprechend was kann man eigentlich machen, um sich da ein bisschen abzusichern, wollen insbesondere den Faktor Menschen ein bisschen in den Blick nehmen, dass es nicht so eine Nürtfolge wird und natürlich wie immer am Ende so einen kleinen Ausblick geben, wie geht’s vielleicht weiter mit zukünftigen Bedrohungen und zukünftigen Schutzmaßnahmen. 

Dann würde ich sagen, auf geht’s aktuelle Situationen. Ich glaube, wir haben alle noch so auch den CCC-Bericht vom letzten Jahr zum Thema ePA im Kopf, was man da alles machen kann. Da wurde der Konnektor beispielsweise falsch angeschlossen. Da wurden IT-Dienstleister bei eBay gebucht, um da vielleicht zwei Euro zu sparen. Was sind so aus deiner Sicht Stefan, die aktuellsten Bedrohungen, die auf die Arztpraxen gerade zukommen? Ich glaube, bei den Bedrohungen haben die die gleichen Probleme, wie jedes Unternehmen draußen. Wir haben eine geänderte Bedrohungslage, seit Corona, seit so alles ein bisschen dezentral in die Homeoffice ist gewandert, ist die Angriffsszenarien, der Cyberkriminellen haben sich geändert, die gucken nicht mehr gezielt, sondern die schmeißen im Prinzip Netz aus und gucken einfach, was drin hängen bleibt. Der Arztpraxis ist das mittlerweile heutzutage, die E-Mail, die natürlich dort auch in irgendeiner Form beantwortet wird oder gelesen wird, das klassische Thema der Sicherheitslücken in sämtlichen IT-Geräten, Telefonie ist heute ein großer Punkt, Arztpraxen telefonieren, auch über IP-Anlagen, die oft im gleichen Netz hängen und im Prinzip alles, was in irgendeiner Form von außen in der Praxis erreichbar ist, Thema medizinische Geräte, die im gleichen Netzwerk hängen. Im Prinzip alles, was von außen an die Praxis herangehen kann. 

Jetzt sind wir gerade mitten dabei, die elektronische Patientenakte auszugrollen, inwieweit ist die Telematikinfrastrukturinfrastruktur da ein weiteres Risikopotenzial, weil ich natürlich wieder weitere Player anbinde, inwieweit ist es aber auch vielleicht auch eine Schutzmechanismus, weil ich natürlich über mein virtuelles Netzwerk auch eine Möglichkeit habe gezielt, bestimmte Mechanismen einzusetzen, die ich vielleicht im Gesamtinternet nicht habe. Ja, also ich glaube das Thema Telematikinfrastruktur und Epa elektronische Patientenakte ist einfach nur ein Multiplikator an Interesse, weil natürlich jetzt die mehr oder weniger gut oder schlecht geschützte Praxis noch mehr Daten zur Verfügung hat am Tagesende und in dem System der Praxis selber nicht nur die eigenen Patientendaten bzw. Die Patientendaten vorliegen, die man selber erfasst hat, sondern jetzt bekommt man theoretisch praktisch auch weitere Daten von anderen Ärzten über die Telematikinfrastruktur und Epa in die Praxis. Ich glaube die Telematikinfrastruktur ist ein, ich glaube ich, das ist der lecherste Punkt in dem Gesamtkonzept. Da muss man sich, glaube ich, keine Sorgen machen, dass der erste Angriffsweg, so wie es der Computerkausklub gezeigt hat, aufgematik selber, also das Unternehmen, was hinter der Telematikinfrastruktur steht geht, aber tendenziell wird natürlich so eine Arztpraxis mit mehr Daten noch interessanter für ein eventuelles Erdressungs-Scenario oder einen gezielten Angriff. 

Genau und da muss man es vielleicht nochmal so ein bisschen vor Augen führen. Warum ist das eben nochmal von besonderer Relevanz zu haben, bei Patientendaten handelt sich eben um Patienten um Gesundheitsdaten, das sind eben nach Datenschutzdefinitionen, die Daten, die wir am besten schützen müssen, weil sie natürlich eben auch den langfristigen Wert haben. Und da irgendwie eine chronische Erkrankung, die die Atopie bekomme, irgendwas allergien, dann haben die ein Leben langen Auswirkung auf mich und auf mein Leben und dann ist es natürlich schwierig, wenn die in fremde Hände gelangen. Das heißt, da müssen wir besonders darauf achten und ja, was sind die typischen Bedrohungs-Szenarien? Kommt das eher von der technischen Seite, kommt das eher von der menschlichen Seite, wenn ich jetzt auf so eine Arztpraxis drauf kuche, was erlebst du da? Wir sehen aktuell relativ häufig das klassische Verschlüsselungs-Scenario, das eben durch klick an der falschen Stelle in einer E-Mail, im Hintergrund ein Virus, ein Schadcode entsprechend in der Praxis installiert wird. In der Regel ist das nicht so, wie man sich das vorstellt, man fliegt da drauf und es wird dunkel und es kommt ein Smiley und dann ist in der Praxis Ende mitarbeiten, sondern in der Regel ist es so, dass eine ganze Zeit dauert zwischen dem Klick auf die E-Mail und das runterladen des Virus, bis dann irgendwann gerne nach einem langen Wochenende oder generell nach einem Wochenende, wenn man morgens in die Praxis kommt und einfachen Arbeiten nicht mehr möglich ist, weil alle Daten verschlüsselt wurden. Das wird eins der meist gesehenen Szenarien im Moment, was wir im Tagesgeschäft sehen. 

Das bedeutet aber auch, dass es eine Komponente ist, die jetzt etwas Unabhängiger von einem konkreten Praxisverwaltungssystem abhängen. Das heißt, das ist jetzt gar nicht mal so, dass Anbieter A sicherer besser als Anbieter B ist, sondern es ist letztendlich eine Komponente, die über den E-Mail Zugang läuft, den ja nahezu jede Arztpraxis in irgendeiner Form hat, um sowohl mit Patientinnen und Patienten als auch mit anderen Leistungsabreganen zu kommunizieren. Bei den Anbietern der Software ist es so, die haben auch alle schon mehr oder weniger mal Erfahrungen mit angriffen Szenarien gemacht. Es gibt zwei große Anmarkten, die haben 2021 da sehr nett zu kämpfen gehabt, eins der beiden Unternehmen ist, glaube ich, bis heute noch eingeschränkt durch diesen Angriff damals. Im Gegenteil, also da ist tatsächlich so, dass je nachdem wie der Update, wie zum Beispiel bereitsteht, wenn jetzt, heutzutage, werden ja updates nicht mehr auf CD an die Kunden geschickt, sondern die lett man runter, auch wieder aus dem Internet. Und tendenziell hängt es aber überhaupt nicht am PV, also am Praxisverwaltungssystem, sondern das kann jeden treffen. 

Und wenn das sozusagen der größte Wundepunkt ist, was sind dann weitere Punkte, die mit denen ich sozusagen so eine Bedrohung in einer Atpaxe schaffen könnte, wir haben grundsätzlich einmal das Thema Updates und Aktualität von Systemen. Es gibt die immer wieder auftretenden Sicherheitslücken, die fortlaufend entdeckt werden in Systemen und Cyber-Kriminelle nutzen natürlich auch diese bekannten Sicherheitslücken und greifen die gezielt an, sprich Updates von PCs, von Servern, dazu gehören aber auch Updates auf Druckern, auf Routern, auf sändlichen Geräten, die in irgendeiner Form im Netzwerk hängen. Da passiert es dann von außen, dass eben diese Schwachstellen, wenn nicht geschützt, von außen scennbar sind und dann kann auch mal so ein Angriff über eine Schwachstelle in der Telefonanlage passieren, dass dann eben jemand sich unberechtigt Zugriff auf die Praxis verschafft und dann über diese Schwachstelle in der Telefonanlage sich im Netzwerk ausbreitet. 

Und wenn wir dann noch sprechen über den Faktor Mensch sozusagen, das Social Engineering spielt das auch eine Rolle, erlebt ihr solche Dinge oder sind das eher Dinge, die man die vielleicht gar nicht so bekannt werden, weil sie eben sich anders verbreiten. Dann habe ich vielleicht einzelne Personen, die dazu griff bekommen, aber das ist natürlich irgendwie schwerer nachzuweisen. Ja, ich glaube, Social Engineering in der Praxis, da muss man schon recht gezielt rangehen, das erleben wir relativ selten, dass jetzt wirklich jemand der Telefonanruft und sich als Dienstleister zum Beispiel ausgibt und sich dann Zugriff auf die Praxis zu verschaffen. Sicherlichen denkbare Scenario, aber da muss man ganz klar sagen, kann ich nicht sagen, dass die Damen oder auch Herren in der Praxis in irgendeiner Form dafür besonders anfällig sind. Die sind zumindest mal was, jeden kommunikativen Weg an geht extrem kurz angebunden, sicherlich auch dadurch, dass die eben ganz andere Dinge im Tagesfall auf und im Tagesgeschäft zu tun haben, als sich mit irgendeinem Telefon aufzuerhalten, der gerade sich auf irgendein Rechner schalten will. Ja, das ist ja genau der Hauptgrund, dass die Zeit einfach dafür fehlen, also da hat es was Gutes, dass die Praxen überlastet sind, dann habe ich auch keine Zeit, die wenige Zeit mich einem potenziellen Angreifer zu widmen, wenn wir jetzt auf diese, der vielleicht zwei, drei großen Bedrohungs-Szenarien mal schauen, was werden denn mögliche Lösungen, also was könnte ich denn jetzt als Ärztern, als Ärztpraxis-Inhaberin tun, um dem herzuwerten? Also, wenn wir sagen, das liegt vielleicht nicht unbedingt am PVS, sondern eher an der E-Mail-Konfiguration, am Netzwerk oder an anderen Themen, fällt auch aus der Perspektive, ich bin jetzt primär Leistungserbringer Arzt-Behandler und nicht Netzwerk-Experte, was kann ich tun? Ja, also generell kann ich natürlich ein Alarmsystem oder ein Sicherheitssystem in meiner Praxis aufbauen. Das fängt an bei dem Wort, was man vielleicht schon mal gehört hat, Firewall, das geht weiter über die Punkte, Virenschutz, in der heutigen Zeit nennt man das Endpoint-Schutz, weil es nicht mehr nur um den reinen Virus geht, sondern auch darum zu erkennen, passiert da gerade eine Anomalie, ist da irgendwas, was sonst an diesem Rechner nicht passiert, deswegen ist es nicht mehr der klassische Virenschutz. Dazu kommt natürlich ein so genanntes Monitoring, in besten Fall, wenn ähnlich wie bei einem Schlaganfall oder bei einem Herzinfarkt ist auch bei einer Cyberbedrohung, wenn man denn dann betroffen ist, Zeit einfach der essentielle Faktor, wo man ganz klar sagen kann, je früher ich mitbekommen, dass ich angeltwürfen werde und je schneller ich quasi den Stecker ziehen kann, desto gewinger wird, der zu erwartende Schaden ausfallen. Und da gibt es am Markt, viele Systeme, die gut sind, viele Anbieter, die gut sind, wichtig ist an der Stelle halt einfach nur, dass das Fachmännisch durchgeführt wird, dass ich halt eben weiß, was ich dort tue und dass ich eben nicht glaube, da ist ein Gerät, was grün leuchtet und das wird es jetzt sein. Auch in dem Fall ist es so, dass sämtliche Komponenten, die einmal eingerichtet sind, regelmäßiger ab der Etzbedürfen. Das heißt also nur, weil man vielleicht schon eine Firewall hat, die man vor fünf Jahren mal gekauft hat und die funktioniert noch optisch, heißt das noch lange nicht, dass die auch noch ihren Dienst tut und dass die auf aktuelle Bedrohungen reagieren würde. Gleiches gilt natürlich für das Produkt am Arbeitsplatz oder auf dem Server, das installiert ist. Nur weil ich vor fünf Jahren mal einen Wierenschutz gekauft habe und der nicht rot leuchtet, sondern vielleicht noch einen grünen Status anzeigt, bedeutet das nicht, dass er auch noch seinen Dienst tut. Das heißt also auch da ganz wichtig, Aktualität und Professionalität. Okay, also da ist schon mal zu sagen, wenn ich eben da keine Ahnung von Hab, was für die meisten Ärzte wahrscheinlich gilt, weil die natürlich aus nach einem anderen Beruf eben kommen und der für die Behandlung zuständig sind, dann da eben mit entsprechenden Professional Dienstleistern zusammen zu arbeiten, einen System initial gut aufzusetzen oder ein bestehendes System regelmäßig auf Updates hinüber prüfen. Wie ist das mit dieser E-Mailbedrohung, kann ich die irgendwie technisch rausfiltern? Also in einigen Unternehmen gibt es zum Beispiel das Verbot im Beword zu teilen als anderen dran zu hängen, weil da natürlich mit aktiven Elementen schnell was passieren kann. Nen link in der E-Mail könnte man natürlich auch über irgendeinen Netzwerkkomponente oder einen Filter unterbinden, macht sowas Sinn oder ist das eher schwierig zu sagen, weil es könnte ja auch sein, dass jemand einen sinnvollen Link schicken will, indem er sagt, ich habe irgendwie hier da was gelesen oder das werfelt auch spannend. Auch bei dem Thema E-Mail das gehört natürlich mit in das Sicherheitskonzept rein, denn über die E-Mail kommen Daten von außen in meinem geschütztes Netzwerk. Auch da gibt es gute Anbieter am Markt, die vernünftige Sicherheitslösung anbieten, die genau jede Dinge, die du gerade genannt hast, teilweise sogar mit guter KI erkennen können. Das heißt zum Beispiel ein Link Redirection wäre da so ein Begriff für, das heißt jemand schickt ein Link und täuscht damit vor, man geht zum Beispiel auf die Leite von der kassenärztlichen Kunstvereinigung linkt aber im Hintergrund irgendwo anders hin. Das heißt ein vernünftiges, eine vernünftige Schutzlösung würde genau das erkennen und auch unterbinden. Gleiches gilt für den E-Mail-Anhang, wer da jetzt nur Dokument dran, indem ein Markt hochenthalten ist, also um eventuell dann beim Herunterladen einen Code auszuführen auf dem Rechner, würde eine vernünftige Schutzsystem dieses herunterladen, so fortverhindern und es wäre überhaupt nicht mehr möglich als selbst wenn man im Stress im Tagesgeschäft, im Praxisalltag kann man nicht ausversehen, auf sowas klicken, weil es halt eben nicht mehr möglich ist. Dafür gibt es, wie gesagt, am Markt auch gute Systeme, die natürlich auch wieder professionell eingerichtet werden müssen und die regelmäßig auf Sponktionen geprüft werden soll. 

Wie ist das mit dem Faktor Mensch hier, also sollte ich meine Mitarbeiterinnen und Mitarbeiter informieren, Schulen, kann ich das selber machen, soll ich sagen, irgendwie besucht auf den und den Kurs, oder gibt es irgendwie so eine so eine Schnellübersicht, Dus & Dones in der Artspraxis, wie kann ich vielleicht auch dafür sorgen, dass da sich jeder richtig verhält. Grundsätzlich, wenn wir jetzt mal rein auf das Rechtsdüche zurückschauen, dann ist es ja so, dass das eigentlich schon jede Praxis tun müsst. Wenn es Schulungen und entsprechende Einweisungen und Unterweisungen für das Personal sind rechtlich vorgeschrieben, gehen wir mal in den Bereich der Cyberversicherung, würde ich heute entsprechende Cyberversicherung abschließen wollen, dann ist das ein Punkt im Fragebogen. Wie oft schulen Sie Ihre Mitarbeiter, Ihre Mitarbeiterinnen, das wollte auf jeden Fall passieren und man sollte bitte da auch nicht unterschätzen, dass das wichtig ist, weil es geht tatsächlich an der Stelle nicht mehr darum, irgendeine Schulung zu besuchen, um zeltifikat in irgendein Ordner zu heften, sondern es geht wirklich darum, um dort Informationen über eventuell auch sich verändernde Bedrohungslagen zu bekommen. Aber grundsätzlich, die Grundschulung, wie gehe ich mit IT um, was sind Themen, auf die ich zu achten habe, die muss übrigens ab 1. Oktober 25 auch nach Vorschrift für Arztpraxen erfolgen. Das heißt, damit muss ich mich beschäftigen, ob ich das jetzt möchte oder nicht, wenn ich in einer Artspraxis arbeite und nochmal der wichtige Hinweis, es geht da weniger darum, zettifikatet zusammen, sondern generell die Uranus zu sagen, ich muss auf dem Schirm haben, was geht, was geht nicht und vorsicht mit externen Links, vorsicht mit unbekannten Datei anhängen, mit unbekannten Personen etc. 

Wie sieht das mit dem Zugriff von Dienstleistern aus in die Artspraxis? Auch da hat man immer wieder die Situation, es muss sagt, ok für bestimmte Update Vorgänge, vielleicht auch Fehler oder andere Sachen, gibt es mit dem Anbieter der Software, oder dem Anbieter von anderen Komponenten, also von anderen Diensten, oder so die ich dich einsätze. Personen, die dann irgendwie einen Reboat Zugriff mit Team Viewer oder ähnlichen Tools sozusagen auf die Praxis haben, ist das ein Angriff’s Wektor oder ist das vergleichsweise, wenn es gut gemacht ist, klein in der Anwendung. 

Es kommt immer ein bisschen drauf an, also tenenziell sind sicherlich die großen Anbieter am Markt, die werden in Teufel tun, da irgendwas zu machen, was nicht sicher ist. Wir müssen aber auch ganz klar sagen, nicht immer ist es ja der große Anbieter. Manchmal ist es ja auch der Dienstleister aus der Nachbarschaft, der schwarger, der das vielleicht für irgendjemanden tut und ab da wird es dann natürlich schwierig. Generell, wenn man sich da ein bisschen informieren möchte, also der Arzt, also die Leistungserbringer sollten grundsätzlich einen sogenannten AV-Vertrag mit dem Dienstleister schließen, das ist rechtlich so vorgesehen. In diesen AV-Verträgen, wenn sie vernünftig sind, bekommt man im Anhank zwei weitere Informationen und zwar, wie setzt sich technisch meine IT-Sicherheit beim Dienstleister um und mit wem arbeite ich gegebenenfalls zusammen. Daraus kann man dann schon ersehen, wenn diese Anhänge fehlen oder aber wenn da merkwürdige Firmen drinstehen, dann sollte man da vielleicht drüber nachdenken, demjenigen den Zugriff zu geben. Aber das ist natürlich auch ein mögliches Andirf-Scenario, was ist, wenn der Rechner dessen, der sich verbindet, vielleicht kompromittiert ist. Manchmal ist es auch so, dass Teamwürer so eingestellt werden, dass sie unbeaufsichtig aus der Ferne zugreifbar sind, da eben natürlich extrem wichtig, wie Passwörter weise zu wählen und diese regelmäßig zu ändern, wenn ich ein Teamwürer, also einen Fernzugriff, einen Rechner oder einen Server habe, mit einem relativ einfachen Passwort, dann ist die Wahrscheinlichkeit, dass sich das mal jemand anders anguckt, von dem ich nicht weiß, recht hoch. Und dann spät sich natürlich auch eine Rolle, wie viele Komponenten habe ich denn überhaupt in meiner Praxis installiert, habe ich sozusagen eine kleine Hausarztpraxis, auf der ein Praxis Verwaltungssystem läuft und dann vielleicht noch irgendein Router, um in die TI zu kommen. Oder habe ich vielleicht auch noch irgendwie Laborgeräte, habe ich mir die Zien-Technik vor Ort, von was ich mit dem Ultraschall gerät oder vielleicht auch einem Röntgengerät, die auch irgendwie angebunden sind, vielleicht mit weiteren Informationssystemen in einem Praxis-Netzwerk, dann gilt hier in der Regel, das Ganze ist so gut, wie das schwächste Glied dieser Kette. Was ist typischerweise das schwächste Glied der Kette, kann man das sagen, ist das eher, was im Netzwerk, ist das eher ein System, ist das eher so was wie eine Router-Kommunikation Server in der Praxis, oder was wäre so, deiner Erfahrung, vielleicht das schwächste Element in so einer Praxis. 

Oft sind die schwächsten Elemente, die geräte, die am längsten da sind und die am wenigsten aktualisiert werden. Klassiker, so ein Sonografiegerät, kauft sich der Arzt in der Regel nicht alle zwei Jahre und tendenziell wird oft vergessen, da ist natürlich um die Funktion eines Sonografiegerät-Geräts darzustellen, egal ob es jetzt im Netz angebunden ist oder nicht, da ist ja auch ein Computer drin. Also der Monitor, die Schallköpfe und auch das Zusammenspiel von Schallkopf und Bild auf dem Sonografiegerät-Gerät bedarf eines Computers in diesem Gerät und da natürlich heutzutage, und das macht ja auch absolut Sinn, solche Geräte, die Bilder dann auch direkt an die Praxis-Verwaltenssystemen liefern oder an einem Erschiefsystem hängen die im Netzwerk. Was natürlich bedeutet, ich habe ein acht Jahre altes Sonografiegerät, das ist das letzte mal aktualisiert vor und wie es die Praxis zum ersten Mal betreten hat und da drin ist ein Computer, der mit einem Kabel im Netzwerk hängt. Das ist auf jeden Fall mal ein Punkt, den man sich dringend anschauen sollte. 

Das ist ja schon mal auch ein guter Hinweis auch völlig. Es ist immer produktunabhängig zu sagen, okay, ich gucke einfach mal, dass das älteste Gerät an, wann hat das letzte Update erfahren, wenn es eben auch Teil des Gesamtnetzwerks ist. Das ist ja auch ein Punkt, den kann man wahrscheinlich auch in vielen Bereichen für das eigene Heimnetzwerk übernehmen, auch da hängen ja im Smart Home mittlerweile eine ganze Menge Geräte teilweise drin und auch da ist vielleicht die Gesamtkonfiguration in Ordnung, aber das einzelne Gerät vielleicht eine mögliche Schwachstelle. Ja, jetzt hast du zurecht gesagt, so ein Sonografiegerät-Gerät, das kauft man sich nicht alle zwei Jahre und die Lösung kann natürlich auch nicht sein, diese Kauffrequenz zu erhöhen, auch wenn es die deutsche Wirtschaft aktuell gut ankurbeln würde sicherlich. Was könnte man denn machen, wenn ich jetzt so ein älteres Gerät habe in der Hardware, die eigentlich noch funktioniert, mit der ich noch gut arbeiten kann, beim Beispiel Sonografiegerät-Gerät und ich möchte das jetzt nicht neu kaufen. Ich weiß aber auch gar nicht, ob die Updates, die das vielleicht noch gibt, da ausreichender Schutz sind, kann ich dann was machen oder muss das Gerät irgendwie wegsperren, wegschließen oder was anderes damit machen. Und ein Tenenziell kann man da was machen und zwar gibt es die Möglichkeit der sogenannten Netzwerksegmentierung, man kann all diese Geräte, die eigentlich nur im Internet-Netzwerk funktionieren müssen, so in Netzwerk konfigurieren, dass sie halt eben von außen überhaupt nicht erreichbar sind. Ein Sonografiegerät braucht keinen aktiven Internet, keine aktive Internetverbindung in meiner Praxis. Und daher kann man hingehen und kann entsprechend über spezielle Einstellungen, die man zum Beispiel in einer Firewall setzen kann, ganz klar sagen, es gibt dieses internen Netzchen, denn wir ist medizin technische Geräte, da kann alles drin sein, was in irgendeiner Form eben dazu dient gewisse auch seinen EKG-Lungenfunktionen und so weiter und so fort, dass man die Dinge segmentiert und quasi von außen nicht mehr erreichbar macht. 

Jetzt haben wir ein bisschen über die aktuelle Situation gesprochen, was ein Gang schon erwähnt, die erleben vermehrt, dass das Ganze in eine Breite geht, die vielleicht auch teilweise durch KI gesteuert wird in den Angriffszenarien, das ist eben nicht mehr einzelne Personen, sind die ganz gezielt eine einzelne Arztpraxis eingreifen und das ich einfach sage, ich mache irgendwie nen Bruteforce-Angriff einen globale Attacke auf unsichere Systeme auf bestimmte Sicherheitslücken und erstmal völlig egal ob das eine Arztpraxis irgendwie nen mittlerwus unternehmen ist oder sondern einfach da ist irgendwie das Server Schwachsteller, da ist irgendwie nen Netzwerkschwachstelle, die verändern sich die Bedrohungslagen oder was wird dazu künftig noch mehr auf uns zukommen, vielleicht auch durch KI-Arzt. 

Wirklich extrem gute Frage und auch ein Bereich, über den man wirklich sprechen sollte, das hat sich schon verändert. Wie gesagt, wir haben vor Corona ein anderes Angriffszenario gehabt, als wir es mittlerweile haben. Vielleicht um da mal eine Idee von zu haben, die Hecker sind nicht diese Jungs mit diesen dunklen Hoodies, die man so schlecht vor einem Monitor erkennen kann, die im Zwillig sitzen, sondern wir reden da mittlerweile von der weltweit größten und lucratiefsten Industrie, die wir haben. Das heißt KI ist schon längst dort angekommen, das Scannen auf Schwachstellen im Netzen, weltweit nicht nur in einer Stadt, nicht nur in einem Bundesland, sondern weltweit passiert jeden Tag Millionenfach und die andere Szenarien sehen heute schon so aus, dass ich nichts mal ein bisschen übertragen in normale Wirtschaftsbereiche. Wir haben eine Abteilung, die Machtkaltakrise, wir haben eine Abteilung, die qualifiziert das Ganze und dann haben wir den aktiven Vertrieb und nachher entsprechend die Rechnungslegung und genauso läuft das. Das heißt, wir haben Maschinen, wir haben KI, die Schwachstellen identifizieren, dann werden diese Schwachstellen infiziert und man erhält irgendwann an einer Stelle eine Informationen über, das ist das Netzwerk, da wir so und so viel, ich sag mal, Umsatz dringend gemacht, da liegen so und solche Daten drin und das wird auch in der Zukunft mehr wert. 

Was kann ich tun, um mich dann dagegen zu schützen, wenn sozusagen die Gefahr steigt? Also Thema Awareness haben wir angesprochen, aktuelle Systeme, Event- und Netzex segmentierung für ältere Geräte, muss ich mich noch weiter vorbereiten in zukünftig noch andere Bewegungen-Szenarien kommen. Ja, also ich kann da nur entfehlen, was ich zwischen Deutschland schon mal angesprochen habe, das aktive Monitoring, also das Überwachen von Strukturen, vielleicht hier im Beispiel der ein oder andere Wittenalarmanlage haben, in seiner Praxis, in seinem Privathaus und dann gibt es die Option mit der roten Lampe, die drei Minuten leuchten und bimmeln darf und danach muss die Pergesetz ausgehen und es interessiert niemand und dann gibt es die Möglichkeit an einer sogenannten Alarmzentrale, die halt eben dann aktiv überwacht oder ist ein Alarm ausgelöst worden und vielleicht sehe ich sogar, dass ein Fenster geöffnet wurde, dass eine Tür geöffnet wurde, dass jemand im Objekt sich befindet und genau so funktioniert das auch in der IT-Sicherheit. Ich wenn ich eine aktive Alarmüberwachung habe und ich sehe samstags abends um 23 Uhr scend einer eine mögliche Schwachstelle auf meines Server, dann kann ich hier reagieren, aber auf nur dann wenn ich es wirklich mitbekommen. Das heißt auch da, ich muss mich drum kümmern, ich muss das irgendwie auf dem Schirm haben und muss dann gegebenenfalls auch in einigen Bereichen, mich mit den richtigen Experten vernetzen, muss entsprechende Dienstdaister beauftragen, die das Ganze sozusagen in meiner Praxis sicher stellen, damit ich da auch irgendwie zukünftig geschützt bin und eben nicht Gefahrlaufe potentielles Opfer zu werden, weil es nicht um mich geht als Person oder als Arztpraxis, sondern weil ich einfach in der globalen Attacke eins von ganz, ganz vielen potentiellen Angriffszielen bin. Wunderbar, dann sind wir so ein bisschen am Ende der Folge angekommen, haben wir noch Dinge vergessen Stefan, die wir noch besprechen müssten oder wo du sagst, dass vielleicht die top zwei Dinge, die man den Personen einer Arztpraxis in den Ärzten und Ärzten noch mitgeben sollte, könnte vielleicht als kurzfaziert, vielleicht auch insbesondere denjenigen, die jetzt weniger Technikafie sind, sondern die sagen, ich bin gerne behandler, aber mit Netzwerksegment kann ich mir jetzt gerade nicht aus. 

Also ganz wichtig ist, sobald das Wort Glaube in irgendwas fällt, muss man was tun. Das ist auch gar nicht böse gemeint, sondern da wenn derjenige, den es betrifft, wenn der nicht wirklich sagen kann, ja, ich bin mir sicher, dass wir dieses Thema auf dem Schirm haben und ja, ich bin mir sicher und ich kenne meinen aktuellen Tag ist aktuellen Status der IT-Sicherheit dann besteht handlungsbedarf. Dazu kommt der IT-Dienstleister, egal aus welchem Bereich er jetzt kommen mag oder der Anbieter der Praxisverwaltungssoftware, die gehen in vielen Fällen schon hin und sagen, da können wir uns nicht rum, weil die die Verantwortung kennen und weil die sagen, das ist nicht unsere Kernkompetenz, wir machen da nichts. Ihr IT-Ler oder der IT-Ler, der sich in der Hauptsache um die Praxis kümmert, ist in der Regel kein Sicherheitsexperte. Das heißt, wenn der sagt, glaube, wir sind der Arzt, das haben wir, wo ich mal aktiv hinterfragen, denn am Tag ist Ende, wenn dann was passiert, dann wird ihn der, der vorher gewacht hat, da sind wir gut aufgestellt, sagen, ja, so habe ich das nicht gesagt, es ist einfach tatsächlich dieses Ding, das Wissens, da hängt extrem viel dran, es ist nicht einfach nur irgendein Gerät, was in der Praxis steht, sondern es ist ein Gewamt umfällt und das kann dazu führen, dass im glödesten Fall einfach mal wochenlang kein KV-Betrieb möglich ist. Zusätzlich dazu, das haben wir im gesamten Gespräch gar nicht erwähnt, es gibt einen weiteren Punkt, der zur IT-Sicherheit und zum Schutz einer Praxis zählt. Das ist das Backup und auch da kann ich aus meiner Erfahrung sagen, ist extremer Handlungsbedarf in ganz vielen Bereichen, weil auch im Backup gründen, auch wenn man es glaubt, dass es Automativiert läuft und eine Mitarbeiterin, ein Mitarbeiter jeden Tag ein Medium wechselt, sei es ein Bandlaufwerk, weil es eine externen Festplatte sagt, dass nichts über die Qualität der Daransicherung raus. Denn die erkenn ich meistens immer erst dann, wenn ich sie brauche und in 90 Prozent der Fällen ist sie dann nicht brauchbar, zumindest meine Erfahrung. Das klingt nach, teils alarmierenden Nachrichten am Ende, das wäre sicherlich tatsächlich auch meine Option, das mal zu testen, ja, wir haben in vielen anderen Situationen, wir haben ein Thema Brandschutz, haben wir Räumungsübung in den größeren Sachen, eigentlich müsste man so ein, was wir in den Backup und das wieder einspielen, auch mal tatsächlich testen und zu sagen, okay, wie würde dieser Prozess denn ablaufen, angenommen, es trifft uns und das Treffen könnte in Zukunft wahrscheinlich erwerden, dass man das Ganze vielleicht tatsächlich einmal im Vorfeld übt, da ist häufig der kritische Zeit, das Element, das man sagt ja, da fehlt uns eigentlich im Alltag, wir sind so überlastet, da fehlt uns die Zeit, wahrscheinlich müsste man dann mit denen sprechen, die es schon einmal erwischt hat, die wahrscheinlich alle sagen, hätte ich mal diese Zeit irgendwann investiert, ne? Ja, ist natürlich auch da wieder Arztpraxis, zumindest die Kassenabrechnung für einen anderen Quartal statt, worst case scenario, einen Tag vor der von Durchführen der Abrechnung und wir reden vielleicht nicht mal von der Cyberbedrohung, wir reden einfach davon, dass vielleicht der Server den Geist aufgibt und das einen Tag vor dem Durchführen der Quartalsabrechnung. 

Dass wir mit der heutigen Folge ein bisschen awareness schaffen konnten, dass das Thema noch mal wieder ein bisschen an Aktualität gewinnt und wir den ein oder anderen oder die ein oder andere dazu bewegen, motivieren können sich vielleicht intensiver mit dem Thema zu beschäftigen, vielleicht eigene Prozesse oder Themen zu hinterfragen, die eigenen Mitarbeiterinnen und Mitarbeiter nochmal zu schulen und mir bleibt am Ende der Folge vielen Dank zu sagen, an dich Stefan, das war ein guter Einblick in die Wichtigkeit dieser Themen und vielen Dank, dass du da warst. Ja, vielen Dank, dass ich da sein durfte. Dann war es das von uns für heute, macht es gut bis bald.