Längst ist dieses Bild nicht mehr neu: Seit einigen Jahren blättert der Arzt nicht mehr durch die dicke Akte aus Papier, sondern scrollt entspannt durch die digitale Patientenakte auf dem PC oder Laptop, der inzwischen in jedem Arztzimmer zu finden ist.

Auf den ersten Blick wirkt diese Entwicklung innovativ und suggeriert einen Vorteil für alle Beteiligten. Dieser Arzt ist offen für neue Technologien und geht mit der Zeit – könnte man meinen.

Eine große Wahl haben die Ärzte allerdings nicht. Sei es das Einlesen der elektronischen Versichertenkarte, das Erstellen von Medikationsplänen oder die verpflichtende Abrechnung der Honorare übers Internet: Es führt kein Weg am Einzug der IT in Arztpraxen vorbei.

Krankenhäuser sehen sich mit dieser Entwicklung schon wesentlich länger konfrontiert und haben eigene IT-Abteilungen, die auf die rasend voranschreitende Digitalisierung des Gesundheitswesens reagieren. Aber wie sollen Arztpraxen mit dieser Entwicklung umgehen?

Der Gesetzgeber schreibt zwar den Einsatz von immer mehr digitalen Prozessen vor, allerdings sind Vorschriften und Hilfestellungen zur Einrichtung und vor allem zum sicheren Betrieb dieser Systeme wenig bis gar nicht vorhanden.

Es bleibt also nur der Weg zum IT-Dienstleister des Vertrauens. Dieser installiert nicht nur immer mehr IT gestützte Systeme, sondern stellt natürlich auch eine saftige Rechnung. IT kostet Geld und IT-Dienstleister sind momentan sehr gefragt.

Mehr IT-Systeme bedeuten allerdings auch mehr potentielle Fehlerquellen und somit mehr Beeinträchtigungen im Praxisbetrieb. Von der Störung beim Internetprovider, über ein vergessenes oder gesperrtes Passwort, bis hin zur Funktionsverweigerung des Praxisinformationssystems durch das letzte Windowsupdate.

Die Fehlerquellen sind vielfältig und für das Praxispersonal oft nicht selbständig lösbar. Zur Folge hat dies, dass versucht wird, die Systeme so zu betreiben, dass so wenig Störungen wie möglich auftreten können: Es werden also Sammelaccounts zur Anmeldung benutzt und diese mit einfachen, identischen Passwörtern versehen. Windowsupdates werden einmal im Quartal durchgeführt, oder wenn eine Funktionseinschränkung dies unumgänglich macht.

Kommen wir aber zu einem weiteren Problem, das gerne aus dem Fokus verschwindet bzw. auch ausgeblendet wird: Eine Arztpraxis gefüllt mit IT-Systemen und einem Internetanschluss? Richtig! Ein gefundenes Fressen für Hacker, Cyberkriminelle, Scriptkiddies, oder wie man sie auch immer nennen will. Alles kein Thema, auf den hinter der FritzBox hängenden PCs ist natürlich ein Antivirusprogramm installiert. Problem erledigt? Nein, im Gegenteil! Hier fängt das eigentliche Problem erst an! Gehen wir davon aus, dass ein kompetenter EDV-Dienstleister zwischen dem Internetanschluss und dem internen Praxisnetzwerk eine Firewall/UTM installiert und die PCs und den zentralen Server mit einem Virenschutzprogramm  versehen hat. Das ist schon mal eine gute Sache und gibt dem Kunden ein gutes Bauchgefühl in Bezug auf seine IT-Sicherheit. IT-Sicherheitssysteme haben aber die ein oder andere unangenehme Eigenschaft: Sie sind sehr mitteilungsfreudig, sie brauchen regelmäßige Pflege in Form von Updates, Upgrades und Konfiguration.

Überspitzt gesagt müsste rund um die Uhr der Gesundheitsstatus der Sicherheitssysteme überwacht und ggf. auf Symptome und Anomalien reagiert werden. Zudem sind regelmäßige Check-Ups zwingend notwendig. Themen wie Verschlüsselung von sensiblen Daten und Emails und die Kontrolle darüber, welche Daten ggf. die Praxis verlassen, wären weiterführende Punkte, mit denen man sich befassen müsste.

Nicht nur, dass EDV-Dienstleister des Vertrauens den Sicherheitsbereich in dieser Tiefe meist nicht abdecken kann; in der Regel wird spätestens hier die Schmerzgrenze dessen, was der Auftraggeber bereit oder in der Lage ist an Budget freizugeben, erreicht.

Bevor ich zum Ende komme, stelle ich noch eine Frage: Hat ein Arzt neben seinem Praxisbetrieb die Zeit bzw. ist es seine Pflicht, sich die notwendige Basis an Know-How anzueignen, um die Auswahl des richtigen IT-Dienstleisters tätigen zu können und die Qualität dessen Arbeit zu beurteilen?
Ich denke die Antwort sollte klar sein.
Ich sehe hier alle beteiligten Parteien in der Verantwortung: Den Gesetzgeber, der klare Richtlinien zur Absicherung der vorgeschriebenen IT-Infrastruktur liefern muss; den Arzt, der sich bewusst sein muss, dass mit der Digitalisierung ein großes Risiko einher geht und es die Unterstützung von Experten gerade im Bereich der IT-Sicherheit bedarf; und den IT-Dienstleister, der geeignete Lösungen anbieten muss, um ein hohes Sicherheitsniveau dauerhaft gewährleisten zu können.

Gerne unterstützen wir Arztpraxen oder deren Dienstleister bei dieser Fragestellung – wir freuen uns auf Ihren Anruf!


Über den Autor:

Johannes Ulbrich

Head of Cybersecurity Consulting & Services


Noch Fragen?

Wir helfen Ihnen gerne zu allen Fragen rund um dieses Thema weiter: Tel. 0931 250993-12 oder per E-Mail an .

← zurück