9 Tipps, wie Sie die Cybersicherheit in Ihrer Praxis stärken
Kein Betrieb und keine Arztpraxis ist zu unwichtig, um Opfer eines Cyberangriffs zu werden. Mit diesen 9 Tipps weisen Sie Hackern, Phishern & Co. die Tür.
Seit Langem ist das Thema Datenschutz in aller Munde. Zu Recht: Während Cyberkriminalität immer vielfältiger und professioneller wird, ist die Cyber- und IT-Sicherheit in Deutschland auch 2022 in einem desolaten Zustand. Dabei gilt: Es kann jeden treffen, auch den kleinsten Betrieb.
Generell raten Experten mittlerweile dazu, stets davon auszugehen, dass ausnahmslos jedes System leicht gehackt werden kann und dies weit häufiger bereits passiert ist als angenommen. Wer gegenüber seiner IT gesundes Misstrauen hegt, ist vorsichtiger und trifft mehr notwendige Sicherheitsvorkehrungen.
Diese Maßnahmen helfen Ihnen, sich gegen IT-Angriffe von Hackern und Phishern zu schützen:
1. Halten Sie Ihre Software aktuell
Updates für den Virenscanner (z. B. der in Windows 10 standardmäßig enthaltene Windows Defender) müssen schnellstmöglich heruntergeladen werden. Aber auch die übrige Software sollten Sie unbedingt aktuell halten. Das Betriebssystem, alle Browser und E-Mail-Programme sollten sich automatisch aktualisieren.
Wer einen PDF-Reader von Adobe oder Office-Software verwendet, sollte nur die aktuellste Version nutzen, denn diese Programme sind besonders gefährdet. Welche Gefahr von veralteten Office-Dateien ausgeht, erklären wir im Beitrag „Schadsoftware durch Excel und Word verhindern“.
2. Trennen Sie private und dienstliche Accounts und Passwörter
Ein Angriff auf Ihre privaten Accounts und die darin enthaltenen Daten ist schlimm genug – ein Angriff auf Ihre Praxis-IT kann Ihren guten Ruf und sogar Ihre wirtschaftliche Existenz als Arzt bedrohen.
Trennen Sie deshalb diese beiden Domänen strikt. Benutzen Sie unterschiedliche E-Mail-Adressen für private und dienstliche Angelegenheiten. Verwenden Sie unterschiedliche Passwörter. Im Idealfall haben Sie für jeden Account und jeden Service ein anderes Passwort. Mindestens sollten sich aber die Passwörter für den Dienstgebrauch von den privat genutzten unterscheiden.
3. Schützen Sie Ihre E-Mail-Konten durch sichere Passwörter
Ob es sich um einen gezielten Angriff oder eine Trojaner-Infektion mittels Spam-Mails handelt – meistens haben es die Angreifer zuerst auf das E-Mail-Konto des Opfers abgesehen. Dieses ist das Einfallstor für Datenklau im Netz: Hat ein Angreifer erst einmal darauf Zugriff, kann er schnell herausfinden, welche Webdienste und sozialen Netze Sie nutzen und mit wem Sie darüber hinaus kommunizieren. Über die "Passwort vergessen"-Funktion, die fast alle Anbieter zur Verfügung stellen, kann er sich das Passwort zurücksetzen lassen und so Zugriff erhalten.
Verwenden Sie deshalb unbedingt robuste Passwörter für Ihre E-Mail-Konten, besonders für das der Praxis. Ein Passwort sollte
- mindestens 12 Zeichen lang sein, besser 18
- Klein- und Großbuchstaben sowie
- Sonderzeichen und Zahlen enthalten
- keines der beliebtesten 100 Passwörter weltweit sein
- zufällig sein, die Zeichenfolge sollte also weder leicht vorhersehbar sein noch Rückschlüsse auf Ihre Person zulassen.
Verwenden Sie keinesfalls Namen, Geburtstage oder ähnliches.
Machen Sie es auch nicht zu einfach, indem Sie bloß einige Buchstaben eines Wortes durch ähnlich aussehende Ziffern ersetzen, also statt „Hase“ nun „H453“ schreiben. Automatisierte Angriffe haben sich auf diesen Trick längst eingestellt.
Besser ist es, einen ganzen Satz zugrunde zu legen. Beispiel: „Ich habe meine Arztpraxis in der Kastanienallee 14 in Berlin und gehe mittwochs nie Golfen!“ wird zu „IhmA1dK14i8&gmnG!“ So haben Sie schnell und simpel ein starkes Passwort, das Sie sich trotzdem gut merken können.
Haben Sie sich je gefragt, wie sicher Ihr Passwort eigentlich ist? Testen Sie auf dieser Webseite für Passwortsicherheit eindrucksvoll, wie lange ein gewöhnlicher Rechner braucht, um es zu knacken.
Finden Sie mit diesem Passworttester heraus, welche Schwächen Ihr Passwort hat. Er wertet es nach verschiedenen Kriterien aus, vergibt Punkte und berechnet daraufhin den Grad seiner Sicherheit.
4. Verfolgen Sie Sicherheitslücken und Datenlecks
Im August 2022 wurde ein Datenleck in der Praxissoftware „inSuite“ von Doc Cirrus bekannt, durch das Millionen Patientendaten öffentlich im Netz landeten. Nachrichtendienste wie heise.de veröffentlichen regelmäßig Listen der bekanntesten Schwachstellen. Ist Ihr PVS von einer Schwachstelle betroffen, muss der PVS-Anbieter Sie über Ausbesserungen (Patches) sowie Angriffe informieren. Achten Sie also auf derlei Benachrichtigungen.
Daten, die durch Hacker, Phishing oder Schadprogramme abgegriffen wurden, können im Netz veröffentlicht werden. Dies gilt auch für Zugangsdaten zu E-Mail- und anderen Internetkonten, sobald diese einmal gestohlen sind. Das passiert bei etwa 1,5 Millionen Account-Daten pro Tag.
Es empfiehlt sich also, gelegentlich zu überprüfen, ob Ihre Identitätsdaten bereits ausspioniert wurden. Dafür können Sie diesen kostenlosen Prüfdienst des Hasso-Plattner-Instituts verwenden. Sie geben lediglich Ihre zu prüfende E-Mail-Adresse ein und erhalten eine kurze Information und evtl. den Rat, Ihr Passwort zu ändern.
5. Ändern Sie Passwörter – aber richtig!
Müssen Sie Ihre Passwörter wirklich in regelmäßigen Abständen ändern?
Sinnvoll ist das nur dann, wenn Sie vollständig neue erfinden und nicht alte wiederverwenden oder nur leicht abändern. Sonst erraten Passwort-Knack-Systeme die neuen Passwörter schnell.
Ändern sollten Ihr Passwort aber definitiv in zwei Fällen:
- Wenn ein Schadprogramm ihren PC oder ihr IT-System infiziert hat. Denn diese Programme können Zugangsdaten aufzeichnen und weitersenden. Häufig kursieren diese dann auch im Internet. Natürlich sollten Sie das Schadprogramm schnellstmöglich entfernen.
Welche Schadprogramme es gibt und wie Sie sich vor ihnen schützen können, lesen Sie im Beitrag Cybercrime.
- Wenn Sie von einem Dienstanbieter dazu aufgefordert werden oder wenn Sie Informationen von seriösen Nachrichtendiensten zu bestimmten Angreifern, Spam- oder Pishing-Mails erhalten.
6. Halten Sie Passwort-Disziplin
Um sich Ihre sicheren Passwörter zu merken, können Sie einen Passwort-Manager verwenden (z.B. KeePass). Entsprechende Apps gibt es sowohl für Desktop-PC und Smartphone. Ein Passwort-Manager sortiert Ihre Passwörter und kann sichere Passwörter generieren. Damit nur Sie an Ihre Daten kommen, schützen Sie die Datenbank mit einem Master-Passwort oder legen einen Schlüssel auf einem Datenträger an.
Etwas weniger sicher ist es, sich „Master-Passwörter“ zu merken, an die Sie für jeden Account ein Kürzel anhängen. Wenn z.B. H7tz!67tgh#as3 Ihr Master-Passwort ist, stellen Sie fb für Facebook, go für Google etc. voran und erhalten fbH7tz!67tgh#as3, goH7tz!67tgh#as3 etc. Natürlich könnte ein findiger Hacker, der eines der Passwörter kennt, daraus ein Muster ableiten. Wenn Sie also diese Variante nutzen, verwenden Sie unbedingt verschiedene Master-Passwörter für Privates und Dienstliches.
Speichern Sie Passwörter nicht im Klartext im Browser oder auf dem PC, denn damit verstoßen Sie gegen Art. 32 der DSGVO. Dies kann extrem teuer werden – in einem Fall musste ein Unternehmer 20.000 Euro Bußgeld für diesen Verstoß zahlen.
Auch sollten Sie Passwörter in der Arztpraxis nicht auf Zetteln notieren und aufhängen. Lesen Sie hier mehr zum Thema Datenschutz.
7. Aktivieren Sie die Zwei-Faktor-Authentifizierung
Wenn es vom jeweiligen Programm bzw. der jeweiligen Webseite unterstützt wird, sollten sie eine sogenannte Zwei-Faktor-Authentifizierung aktivieren. Dabei wird – wie beim Online-Banking – außer dem Passwort beim Login auch noch ein Einmal-Code abgefragt, den Sie per App auf einem Smartphone oder per SMS erhalten. Das macht etwas mehr Mühe beim Login, erschwert Angreifern die Arbeit aber erheblich.
Diese Maßnahme gehört zum von Experten empfohlenen Zero-Trust-Konzept: Glaube niemandem, lasse jeden immer seine Identität bestätigen – jeder könnte vorgeben, jemand zu sein, der er nicht ist.
8. E-Mails: Überprüfen Sie Absender, Formulierungen und Plausibilität
Die meisten Einbrüche in Computersysteme finden 2022 über Ransomware-Angriffe statt. „Ransom“ bedeutet „Lösegeld“. Betroffene erhalten also E-Mails, in denen sie eingeschüchtert und erpresst werden sollen, Geld an ein unbekanntes Konto zu überweisen. Der Absender behauptet, Informationen über Sie und Ihre privaten Interessen oder brisante Dateien von Ihnen zu besitzen und diese öffentlich zugänglich zu machen, wenn Sie der Zahlungsaufforderung nicht nachkommen.
Auch Phishing-Angriffe sind sehr häufig: Angreifer senden mehr oder weniger gezielte und unterschiedlich raffinierte E-Mails, die bösartige Dateien oder Links enthalten. Letztere sollen Sie auf Webseiten locken, die Ihnen persönliche Informationen entlocken oder versuchen, Schadsoftware zu installieren. Diese und ähnliche Maschen haben wir in einem anderen Beitrag zu Cybercrime näher beschrieben.
Solche E-Mails haben das Ziel, Sie zu emotionalisieren und unter Druck zu setzen: Sie sollen zügig handeln und nicht viel nachdenken. Widerstehen Sie deshalb jedem Drang, schnell zu reagieren.
Überlegen Sie vor jedem Klick: Wer schickt mir das? Und warum? Kommt diese E-Mail wirklich von dem Absender, der die E-Mail angeblich versendet hat? Im Zweifel können Sie auf einem anderen Kanal (zum Beispiel am Telefon) nachfragen, ob der vermeintliche Absender wirklich diese E-Mail verschickt hat.
Zusätzlich sollte man die URLs von Links genau prüfen: Wird da z.B. mit Sonderzeichen getrickst und gehört diese Domain wirklich der Firma, die da schreibt?
Natürlich lernen auch Cyberkriminelle aus ihren Fehlern. E-Mails von vermeintlich vertrauenswürdigen Absendern wie Google, Amazon, DHL oder Banken können geschickte Fälschungen sein. Und diese werden auch sprachlich immer besser. Häufig scheinen die E-Mails auch vom eigenen Konto zu kommen. Hier gilt also: Vertrauen ist schlecht, Vorsicht ist besser.
9. Verschlüsseln Sie Daten und machen Sie Sicherungskopien
Je wichtiger und sensibler Ihre Daten, desto eher sollten Sie sie verschlüsseln, besonders wenn Sie diese versenden. Dies gilt natürlich besonders für personenbezogene Patientendaten.
Jede Praxis sollte regelmäßig – am besten täglich – ihre Daten auf externen Datenträgern sichern. Ein solches Back-up ist Gold wert, falls z. B. nach einem Cyberangriff wichtige Daten verschlüsselt sind oder Ihr IT-System neu aufgesetzt werden muss.
Das Back-up sollten Sie zur zusätzlichen Sicherung verschlüsseln. Denn falls ein Datenträger verloren geht, begehen Sie einen meldepflichtigen Verstoß gegen den Datenschutz. Von einem Fall, in dem genau das passiert ist, berichten wir in diesem Blogbeitrag.
Zudem empfiehlt es sich, Systemwiederherstellungspunkte zu kreieren und Ihr IT-System ebenfalls regelmäßig zu sichern. Dafür braucht es in der Regel nur ein paar Klicks und einige Stunden Zeit, in denen Ihr System im Hintergrund eine Sicherungskopie anlegt.
Sie können kostenlos Mitglied bei der Allianz für Cybersicherheit des Bundesministeriums für Sicherheit in der Informationstechnik (BSI) werden. Auf diesem Weg erhalten Sie stets die aktuellen Warnmeldungen des BSI und weitere Tipps.
Mit der Mitgliedschaft können Sie auch nach außen kommunizieren, welchen Stellenwert Cybersicherheit in Ihrer Praxis hat.
Eine Checkliste rund um Ihre IT-Sicherheit finden Sie in unserer Praxisinfo „IT-Sicherheit und Cybercrime“.
Welche Erfahrungen mit Cyberangriffen in Praxis und Privatleben haben Sie bereits gemacht? Hinterlassen Sie uns einen Kommentar!
Kommentare
Keine Kommentare