Zumal sich immer häufiger Gesundheitsdienstleister in Netzen zusammentun und damit mehr und mehr Daten durch die Welt geschickt werden. Das erhöht sowohl die auf einen Schlag zu erreichende Datenmenge als auch die Größe und Attraktivität der Server, die für kriminelle Aktivitäten zweckentfremdet werden können. „Den Patienten ist die Gefahr nur noch nicht bewusst. Sie wissen nicht, dass ihr Hausarzt online abrechnet und ihre intimsten Daten regelmäßig auf den risikoreichen Weg durchs Internet schickt“, so die Einschätzung des Sicherheitsfachmanns.

 Welche Online-Anbindung, Vernetzung ist wirklich sicher?

1.) Arztpraxis Dr. Erstens ist vorsichtig: Er weiß, dass sobald ein Computer eines Netzwerkes Zugang zum Internet hat, alle Daten im Netzwerk nicht mehr geschützt sind, und hat sich deswegen konsequent für eine Stand-alone-Lösung entschieden. Es gibt also nur einen einzeln stehenden Computer, der an das Internet angeschlossen ist, und über diesen werden KV-Abrechnungen versendet und Labordaten empfangen. Die Praxisverwaltung und alles Weitere läuft auf einem davon unabhängigen Netzwerk. Theoretisch ist das eine sichere Lösung: Auf die Praxisdaten gibt es von außen keinen Zugriff und die Übertragung erfolgt über eine gesicherte Https-Verbindung. Sofern der Computer selbst ausreichend abgesichert ist, ist damit das Risiko eines Angriffs zwar nicht ausgeschlossen (das ist er nie), aber nur bei einem der ganz großen Angriffe wahrscheinlich.

2) Arztpraxis Dr. Zweitens hat deswegen (wie rund drei Viertel aller Arztpraxen) auf seinen Provider gehört und ist mit seinem gesamten Netzwerk über einen NAT-Router (Network Address Translation) mit dem Internet verbunden. Achtung: Diese Arztpraxis ist der Fehlinformation aufgesessen, dass ein solcher Router Schutz bietet vor Angriffen, also eine Firewall ist. Das ist nicht richtig: Aufgabe eines Routers ist (vereinfacht ausgedrückt) die Vermittlung von internen IP-Adressen an externe Adressen. Damit finden unaufgeforderte Anfragen von draußen keinen Weg in das interne Netz. Der Router bietet also tatsächlich einen rudimentären Schutz: als zufälligen Nebeneffekt. Er ist aber kein Ersatz für eine Firewall im eigentlichen Sinne, warnen Sicherheitsexperten. 3) Die Praxis von Dr. Drittens hat sich für KV-Safenet entschieden. Dieses läuft über ein VPN, ein virtuelles privates Netz, also so etwas wie ein geschlossenes System. Damit ist er grundsätzlich wirklich auf der sicheren Seite – aber auch hier nur als absolute Stand-alone-Lösung. Problematisch wird es nämlich, wenn mit dem gleichen PC oder über den gleichen Router ins Netz gegangen wird, denn dann finden die Viren auch ihren Weg ins Praxisnetz. Das heißt also für Dr. Drittens genauso wie für Dr. Erstens: keine Mails, keine Suchanfragen, natürlich kein Facebook und auch kein Sicherheitsupdate für das Betriebssystem. Praxisberater Jörg Hassenpflug, spezialisiert auf Praxisnetze, dazu: „Ich gebe meinen Ärzten mit auf den Weg, dass KV-Safenet meistens nicht die optimale Lösung ist. Ausnahmen sind kleine Praxen ohne Modernisierungsperspektiven – Praxen, die weder jetzt noch später eine Online-Verbindung benötigen außer der mit der KV.“ Unabhängig davon wurde von Sicherheitsfachleuten bemängelt, dass die KV keine Auskunft über die Verschlüsselungsmethode der VPN-Verbindung gibt, was eine reale Einschätzung des Sicherheitsstandards schwierig macht.

Aber welche Lösung für eine Online-Anbindung ist dann sinnvoll?

Ziel ist es, eine sichere Datenübertragung zur KV, zum Labor und z.B. zu Partnern in einer ÜBAG sicherzustellen und sich gleichzeitig mit dem Praxisnetzwerk nach außen verbinden zu können, ohne Angriffe auf das Praxisnetzwerk zu risikieren.

Firewall + Virenscanner + gesicherte Verbindung

Maximilian Beckenbach empfiehlt statt eines Routers die Kombination: Firewall (inklusive Router) plus „gemanagter Virenscanner“ auf dem Server und den Arbeits-PC plus gesicherte Verbindung zur Datenübertragung. Eine Firewall von einem der Marktführer, etwa von Cisco oder Symantec oder einem anderen der größeren Hersteller, gewährleistet dann den entsprechenden Support – Hinterhofschrauber können von einem Tag auf den anderen verschwinden! Kosten-Hausnummer: Eine angemessene Cisco-Firewall für bis zu 10 Rechner kostet einmalig 490 Dollar (kommen mobile Geräte dazu: plus 90 Dollar) zuzüglich der Kosten für eine Servicestunde im Monat Was sind die Vorteile? Zunächst: Eine Firewall kontrolliert alle Verbindungen innerhalb eines Netzes. Sollte sich also ein Rechner über einen USB-Stick oder einen anderen Datenträger infizieren, sind die anderen Rechner weiter gesichert. Weiterer Vorteil: Die Durchlässigkeit der einzelnen Zugänge ins Netz sind auf Rechner- und auf User-Ebene programmierbar – der Chef kann also surfen, die MFA nur Mails abrufen. Nur unsichere Zugänge wie Facebook sollten dann trotzdem gesperrt werden. Angesichts der wachsenden mobilen Internetnutzung besonders interessant ist die Möglichkeit, über die Firewall eine „demilitarisierte Zone“ einzurichten, eine DMZ. Sie ermöglicht einen vom Praxisnetz getrennten W-Lan-Zugang. Auch die Nutzer innerhalb der DMZ lassen sich voneinander trennen, sodass der Arzt über ein Notebook und das W-Lan seinen privaten Interessen nachgehen kann, ohne Viren oder Zugriffe über andere Nutzer befürchten zu müssen. Um den Betreiber des Netzes vor Haftungsfällen wegen illegaler Aktivitäten (z.B. Downloads) zu schützen, lässt sich eine Vorratsdatenspeicherung einrichten, die den Urheber einer Rechtsverletzung feststellen lässt. Über ein VPN (virtuelles privates Netzwerk) kann außerdem eine Verbindung zu einem Home-Arbeitsplatz oder einer Satellitenpraxis mit sicherem Zugriff auf den Patientenstamm und die Praxisdaten eingerichtet werden. Und die Übermittlung der Daten an die KV? Die kann über ein eToken oder PINs erfolgen, etwa wie bei Bankgeschäften über das Internet. Ist das Praxisnetz über die Firewall richtig abgesichert, ist für die Datenübertragung keine extra Verbindung mit der KV mehr nötig. Übrigens: Falls Sie sich davor scheuen, einen Netzwerk-/ Netzwerksicherheitsdienstleister zu Rate zu ziehen, weil sie ihren langjährigen IT-Dienstleister nicht verprellen wollen - Sie würden doch auch keinem Hausarzt eine Facharztuntersuchung zumuten! Und umgekehrt auch nicht. Max Beckenbach dazu: "Ein Sicherheitsdienstleister hat ja gar kein Interesse daran, die Versorgung der Arztpraxis mit Druckern zu leisten oder die alltägliche Pflege des Netzwerkes zu übernehmen."