Hallo Herr Amelang. Ich frage mal ganz direkt: Wie hoch ist die Gefahr von Cyberkriminalität im Gesundheitsbereich? 

Man geht davon aus, dass minütlich hunderttausende Angriffe und ähnliche Bedrohungsszenarien im Netz geschehen. So natürlich auch auf Praxis- und Apothekercomputern. Die finden mit unterschiedlichsten Intentionen, Attacken und Stärken statt. Man kann sich dagegen schützen, indem man ein gutes Virenprogramm hat, regelmäßig Updates macht, die neueste Soft- und Hardware nutzt und bei einem Schadenfall gut abgesichert ist. Die Gefahr und deren Wahrnehmung steigt mit der steten Zunahme der Digitalisierung der Gesellschaft. Es ist eben nur eine Frage der Zeit, wann etwas passiert.

Wie kann man sich das vorstellen? Sitzen irgendwo fünfzehnjährige Hacker und vertauschen in einer Berliner Arztpraxis die Medikation der Patienten?

Das gibt es schon. Wenn man sich die Karrieren von Hackern anschaut, findet man viele interessante Aspekte. Oft beginnt so etwas damit, dass sich junge technik-affine Menschen mit ersten Angriffen und Hackversuchen profilieren wollen. Es gibt sogar eine Art Rangliste oder Stellenausschreibungen für bestimmte Cyberverbrechen, die man im Darknet bewerben kann. Die größte Gefahr geht allerdings von automatisierten Angriffen aus. Dabei werden Systeme automatisch nach offenen Lücken abgesucht. Das ist etwa einer der wichtigsten Gründe, warum man die Updates machen soll. 

Eine andere Form von Cyberkriminalität geht von entlassenen oder unzufriedenen Mitarbeitern aus, die reihenweise Patienten- oder Kundendaten mitnehmen und diese dann an Dritte weitergeben. In einer solchen Situation sind Ärzt*innen und Apotheker*innen erpressbar, denn sie haben nicht mehr die Datenhoheit. Hier kann man sich schützen, indem man seine Mitarbeiter die Richtlinien zum Schutz von Patient*innen-Daten unterzeichnen lässt. Der Mitarbeiter kann diese Daten dann zwar mitnehmen, macht sich aber straf- und haftbar. Hieran sieht man deutlich, dass es wichtig ist, ein professionelles Datenschutzkonzept zu haben. Merkblätter der Kammern oder aus dem Internet greifen zu kurz!

Welche Leistungen umfasst dein Angebot? 

Unser Leistungsspektrum unterstützen Ärzt*innen und Apotheker*innen im Bereich des Datenschutzes, des IT-Schutzes und der Schadenfolgen-Absicherung bei Informationsschäden. Das bedeutet, dass die Arztpraxen und Apotheken in Zukunft haftungssicher und Schaden minimierend arbeiten können. Wir erleben, dass unsere Dienstleistungen Druck und Angst aus den Praxen in Bezug auf den Datenschutz nehmen, denn die Dinge sind geregelt. Eine wichtige Unterscheidung ist in Bezug auf die Arbeit der bestehenden IT-Dienstleister zu machen. Diese kümmern sich um die Erstellung, Austausch, Erneuerung der IT und den laufenden Betrieb. Datenschutzkonzepte oder ein IT-Sicherheitscheck  gehören nicht zu den Aufgaben des klassischen IT-Dienstleisters.

Folgeschäden wie Betriebsunterbrechung, Ausfallschäden, Bußgelder oder Erpressungsforderungen trägt ein IT-Dienstleister auch nicht. Wir helfen unseren Mandanten, die Komplexität des Datenschutzes von den Formalien bis zum Schaden zu meistern. Jede Praxis und Apotheke sollte im eigenen Interesse diese Aufgaben eigentlich umsetzen. Die Aufgaben können auch an uns delegiert werden. Damit schafft die Praxis oder Apotheke eine Professionalisierung. 

Im nächsten Jahr kommt die elektronische Patientenakte, das Gesundheitssystem wird gerade komplett digitalisiert. Ein Beispiel ist die Online-Terminierung. Was sind die Vorteile?

Ich bin ein großer Freund der Digitalisierung. Sie wird den Menschen dabei helfen, schneller ans Ziel zu kommen. Praxen und Apotheken können effizienter und einfacher Daten verwalten, sei es die Medikation, die Abrechnungen und viele andere administrative Dinge. Für die Patienten entsteht der Vorteil, dass sämtliche personenbezogene Gesundheitsdaten abrufbar sind. Man hat so alle Diagnosen, Röntgenbilder und Blutbefunde parat und das auf Knopfdruck. Die Digitalisierung ist eine große Chance, die Prozesse und Ergebnisse zu optimieren. Man muss jedoch betonen, dass sensible Daten über öffentliche Systeme versendet werden. Hier muss man für sehr hohe Sicherheit sorgen. Dazu gehören Mitarbeiterdaten, Praxisdaten, Patientendaten, Kundendaten wie auch etwa der Austausch von Labordaten. 

Wie geht man als Ärzt*in oder Apotheker*in nun vor, wenn man mehr Sicherheit möchte? 

Zu allererst muss sich jede Ärzt*in oder Apotheker*in dem Thema Datenschutz stellen und zur Chef*innensache machen. Denn es geht um die Existenz der Praxis oder Apotheke. Wenn die Digitalisierung die Zukunft ist und alles digital verarbeitet wird, dann ist es elementar, den Datenschutz in jeder Arztpraxis und Apotheke professionell abzubilden. Zum Beispiel ist die Einsetzung von Datenschutzbeauftragten durch unausgebildete Ärzt*innen oder Mitarbeiter*innen nur eine Scheinlösung, da Datenschutzbeauftragter*e ohne Kenntnisse bußgeldfähig sind. Gerade im Schadenfall führt dies in der Folge zu möglichen existenzbedrohenden Auswirkungen. Im Schadenfall ist sofortige Hilfe gefragt. Die Frage, ob Schaden-Assistance-Leistungen 24/7 zur Verfügung stehen, muss mit „Ja” beantwortet werden. Eine „Aufschieberitis” geht nicht auf. Allen verantwortungsvollen Ärzt*innen oder Apotheker*innen sollte dies bewusst sein. Es müssen jetzt die entsprechenden Maßnahmen angegangen werden. 

Die Entscheidung über die Umsetzung mündet darin, ob Ärzt*innen oder Apotheker*innen die Datenschutz-Maßnahmen intern durch eigene Mitarbeiter*innen regeln oder sich externen Spezialist*innen anvertraut. Wichtig ist: Man muss aktiv werden!

Doch wie bei allen größeren Vorhaben empfiehlt es sich, einen professionellen Anschieber zu nutzen. Später kann man unter Umständen die notwendigen Aktivitäten selbst regeln, wenn man  weiß, worum es geht. Wir bieten etwa an, die Grundlagen für eine sichere Praxis oder Apotheke zu legen und später die vorbereiteten Maßnahmen in die Hände der jeweiligen Praxis zu legen. Letztlich zeigt sich anhand der stetig steigenden Komplexität der Digitalisierung, dass ein Aussitzen am Ende teuer zu stehen kommt. Die Auswirkungen der Digitalisierung sind neu und erwarten neue Antworten. 

Interview: Ernesto Klews zum Artikel