Wasserschaden IT

IT-Grundschutz selber umsetzen #5: Vorbereitet sein auf Cyberattacke, Stromausfall, Wasserschaden & Co.

Daniel Huser
Daniel Huser

Was wäre, wenn Sie plötzlich aufgrund einer Cyberattacke nicht mehr auf die Patientendaten Ihrer Praxis zugreifen können? Oder wenn Ihre IT-Systeme unerwartet ausfielen? Unangenehme Fragen. Die man sich trotzdem stellen sollte.

Die Sicherheit und den Schutz sensibler Patientendaten jederzeit zu gewährleisten, ist in der heutigen Zeit des digitalen Arbeitens herausfordernd. Wer sich jedoch die Zeit nimmt, sich mit dem Thema IT-Grundschutz zu befassen, kann die IT-Sicherheit in der eigenen Praxis selber auf ein gutes Level bringen. In diesem Beitrag zeigen wir, wie Sie sich auf mögliche Notsituationen vorbereiten und worauf Sie bei der Zusammenarbeit mit externen Dienstleistern achten sollten.

Möchten Sie die IT-Sicherheit in Ihrer Praxis von Grund auf anpacken, empfehlen wir Ihnen zusätzlich unsere bisherigen Beiträge:

Unvorhergesehene Ereignisse können eintreten

Cyberangriffe, der Ausfall von IT-Systemen, der Befall eines Endgerätes mit Schadsoftware, Stromausfälle, Naturereignisse … Ist eine Arztpraxis oder ein Heim auf solche oder ähnliche Notsituationen nicht vorbereitet, können diese im Fall des Falles schwerwiegende Konsequenzen haben, den Betrieb stunden- oder tagelang lahmlegen, das Vertrauen der Patienten schädigen oder gar rechtliche Konsequenzen mit erheblichen finanziellen Folgen nach sich ziehen. Zu einem guten IT-Grundschutz gehört es deshalb, sich auf mögliche Notsituationen vorzubereiten.

Vorbereitung ist die halbe Miete: Der Notfallplan

Stellen Sie sich beispielsweise vor, Sie kommen am Morgen in Ihre Praxis und die Patientendaten sind aufgrund eines Ransomware-Angriffs nicht mehr zugänglich. Was tun Sie? Rufen Sie Ihren IT-Partner an? Sagen Sie besser zuerst die ersten Patientenkonsultationen ab? Welche Aufgaben übernimmt Ihre MPA? Um sich all diese Fragen nicht in der Hitze des Gefechts – gestresst und aufgebracht – stellen zu müssen, lohnt es sich, für mögliche Ausnahmesituationen einen Notfallplan bereit zu haben.

So funktioniert es:

  • Identifizieren Sie potenzielle Bedrohungen mittels einer Risikoanalyse, die Sie selbst nach bestem Wissen und Gewissen durchführen. Bewerten Sie dabei die Wahrscheinlichkeit und den möglichen Schaden jedes dieser Szenarien.
  • Ermitteln Sie auch Schwachstellen in Ihrer Praxis, die zu einem Notfall führen könnten und beheben Sie diese selbst oder mithilfe eines externen IT-Partners.
  • Basierend auf Ihrer Risikoanalyse entwickeln Sie einen schriftlichen Notfallplan, der Anweisungen für relevante Szenarien enthält. Verschiedene Szenarien mit ähnlichen Konsequenzen können Sie kategorisieren und für jede Kategorie einen Handlungsplan erstellen. Wichtig: Legen Sie die Verantwortlichkeiten klar fest, damit jeder Mitarbeitende seine Zuständigkeiten kennt.
  • Regeln Sie auch die Kommunikation in einer Krisensituation: Wie, wann und durch wen werden Teammitglieder, Patienten, IT-Dienstleister und andere Anspruchsgruppen informiert? Beachten Sie, dass die Notfallkommunikationskanäle nicht die gleichen sein sollten, die Sie im Arbeitsalltag nutzen, da diese eventuell ebenfalls nicht mehr funktionieren. Auch ist es wichtig, dass eine stets aktuelle Kontaktliste jederzeit verfügbar ist.
  • Je geübter Ihre Mitarbeitenden im Umgang mit Ausnahmesituationen sind, desto sicherer und effizienter können sie im Ernstfall handeln. Regelmässige Notfallübungen schulen Ihr Team und stellen sicher, dass Ihr Notfallplan in der Praxis funktioniert. Ebenfalls ist es wichtig, den Plan regelmässig zu überprüfen: Entspricht er noch den aktuellen Anforderungen und Risiken? Muss er allenfalls an neue Technologien oder Änderungen in der Praxis angepasst werden?

Inventar um Kontaktpersonen ergänzen

In Notsituationen ist es wichtig, schnell die aktuellen Kontaktangaben der zuständigen Personen zur Hand zu haben. Und auch im oft hektischen Arbeitsalltag werden Sie immer wieder froh sein, wichtige Kontaktangaben stets aktuell und gut auffindbar gesammelt zu haben. Es lohnt sich deshalb, eine Kontaktliste zu führen und diese regelmässig zu aktualisieren. Platzieren Sie die Liste an einem gut zugänglichen Ort und informieren Sie auch Ihr Team, wo sie zu finden ist. Notfallkontakte führen Sie am besten auch im Inventar, das Sie mithilfe unserer bisherigen Beiträge erstellt haben,  direkt bei den Systemen, für die sie zuständig sind.

Externe IT-Partner: Darauf gilt es zu achten

Wenn Sie auch ohne IT-Expertenwissen in puncto IT-Sicherheit viel selber machen können, so kommt man heute doch kaum noch ohne die Unterstützung durch externe IT-Dienstleister aus, beispielsweise um die eigene Praxis gegen Cyberangriffe zu schützen oder für eine zuverlässige Backup-Strategie. Der gewählte Partner soll Ihnen dabei helfen, das Berufsgeheimnis in der digitalen Welt zu wahren und den Anforderungen des neuen Datenschutzgesetzes (nDSG) gerecht zu werden. Um die Sicherheit und den Schutz der Patientendaten gewährleisten zu können, sollte er…

  • … nachweisen können, dass er alle relevanten Datenschutzanforderungen einhält, insbesondere im Hinblick auf die Sicherheit der Verarbeitung personenbezogener Daten. Dies erkennen Sie am einfachsten an seinen Sicherheitszertifizierungen, z.B. ISO/IEC 27001 (Informationssicherheitsmanagement) oder Label CyberSeal der Allianz Digitale Sicherheit Schweiz.
  • … dokumentierte technische und organisatorische Massnahmen (TOM) vorweisen können, welche die Sicherheit der Datenverarbeitung gewährleisten, z.B. Nutzung von Verschlüsselung, Zugriffssteuerungen, regelmässige Sicherheitsüberprüfungen.
  • … Erfahrung in der Arbeit mit sensiblen Daten im Gesundheitswesen haben.
  • … Ihrer Praxis das Recht einräumen, regelmässige Audits und Überprüfungen durchzuführen.
  • … seine Mitarbeitenden regelmässig in Bezug auf Datenschutz und IT-Sicherheit schulen.
  • … definierte Reaktionszeiten und ein dokumentiertes Notfallmanagement vorweisen können.
  • … eine Datenschutz-Folgenabschätzung (DSFA) durchführen oder unterstützen können.

Vereinbarungen mit Ihrem IT-Partner

Als Gesundheitsfachperson sind Sie verantwortlich für den Schutz der Informationen, die Ihre Patientinnen oder Klienten Ihnen anvertrauen. Arbeiten Sie mit externen Partnern zusammen, müssen Sie darauf zählen können, dass auch diese die sensiblen Daten mit der nötigen Sorgfalt behandeln. Folgende schriftliche Vereinbarungen sollten deshalb mit externen Partnern getroffen werden:

  • Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA): Diese stellt sicher, dass alle Mitarbeitenden, die Zugang zu Patientendaten haben, zur Verschwiegenheit verpflichtet sind.
  • Auftragsdatenverarbeitungsvereinbarung (ADV): Diese regelt, wie der IT-Dienstleister die Daten verarbeiten darf und schützen muss.

Vorlagen für beide Vereinbarungen stellt die FMH zur Verfügung

Im Hinblick auf Notfälle wie oben behandelt gilt zudem: Im Ernstfall bleibt keine Zeit zu warten! Es ist deshalb wichtig sicherzustellen, dass Ihnen im Fall des Falles externe IT-Unterstützung schnell und zuverlässig zur Verfügung steht. Schliessen Sie hierfür mit Ihren IT-Dienstleistern Service-Level-Agreements (SLAs) ab, die etwa die zugesicherten Leistungen und die Reaktionszeiten definieren.

Unangenehme Fragen, die zu stellen sich lohnt

Die Vorbereitung auf mögliche Krisenszenarien gehört zu einem genügenden IT-Grundschutz dazu. Denn auch wenn die meisten dieser Szenarien (hoffentlich!) niemals eintreffen werden: Im Fall des Falles liefert eine sorgfältige Vorbereitung Antworten auf die schwierigen Fragen. Hilfreiche Antworten, die dazu beitragen, den Betrieb sicherzustellen und die Sicherheit sensibler Patientendaten zu gewährleisten.

Weitere Informationen und Hilfsmittel

  • Eine Checkliste und einen möglichen Prozess bei Datenschutzverletzungen bietet die FMH
  • Die FMH hat Minimalanforderungen zum IT-Grundschutz für Praxisärztinnen und Praxisärzte auf ihrer Website publiziert.
  • Unter www.hin.ch/inventar stellen wir eine Inventarvorlage als Excel-Datei zum Download bereit.

Anleitungen, Checklisten und Antworten auf häufige Fragen zum Thema IT-Sicherheit finden Sie in unserem Support-Bereich

Daniel Huser
Autor: Daniel Huser - Mitglied der erweiterten Geschäftsleitung, Bereichsleiter Projektmanagement & IT-Architektur

Als Experte für innovative Lösungen und Projekte berichte ich über neue Produkte, Services aber auch Anschlüsse an neue Anwendungen von Drittanbietern. Auch den einen oder anderen Sneak Peek vor Lancierungen kann ich Ihnen gewähren. Tauchen Sie mit mir in die einzigartige Welt des Engineerings ein und lernen Sie, wie Lösungen vor Problemen entstehen können.

 

Expertise
Im Bereich Business Engineering und Projektmanagement für das Gesundheitswesen bin ich zuhause. Mehrere Jahre im technischen Support und Solution Engineering brachten mich schliesslich zum Projektmanagement, wo ich unter anderem bis heute tätig bin. Probleme zu lösen, bevor sie entstehen, gehört zu meinen obersten Zielen. Sei es mit neuen Funktionen, Updates oder der Entwicklung von Ideen für völlig neue Services. Seit 2015 bin ich in dieser Funktion unterwegs für HIN.

Redaktionelle Inhalte
Als Experte für innovative Lösungen und Projekte berichte ich über neue Produkte, Services aber auch Anschlüsse an neue Anwendungen von Drittanbietern. Auch den einen oder anderen Sneak Peek vor Lancierungen kann ich Ihnen gewähren. Tauchen Sie mit mir in die einzigartige Welt des Engineerings ein und lernen Sie, wie Lösungen vor Problemen entstehen können.

Ganz persönlich
Meine Familie bedeutet mir alles, Zeit mit ihr ist mir absolut wichtig. Sei es beim gemeinsamen Reisen oder einfach nur an einem gemütlichen Tag zuhause.

 

Weitere Artikel von Weitere Artikel von Daniel Huser

Cookie Hinweis