(11.01.2019) 6 Tipps zum Schutz vor Angriffen auf Ihre IT

Die Veröffentlichung privater Daten von deutschen Politikern, Journalisten, Schauspielern und Sängern über ein mittlerweile gesperrtes Twitter-Konto hat die Betroffenen gehörig aufgeschreckt. Dieses Mal waren nur Personen, die in der Öffentlichkeit stehen betroffen, prinzipiell kann ein solches sog. Doxxing aber jeden treffen. Mit wenigen einfachen Maßnahmen können Sie aber sich und Ihre Praxis wirksam davor und anderen Kalamitäten schützen.

Aus diesem Anlass haben wir für Sie im Folgenden einige Vorsichtsmaßnahmen zusammengestellt, deren Einhaltung wir Ihnen dringend ans Herz legen möchten.

1. Trennung von privaten und dienstlichen Accounts und Passwörtern

Ein Angriff auf Ihre privaten Accounts und die daring enthaltenen Daten ist schlimm genug - ein Angriff auf Ihre Praxis-IT kann Ihren guten Ruf und sogar Ihre wirtschaftliche Existenz bedrohen!

Trennen Sie deshalb diese beiden Domänen strikt! Benutzen Sie unterschiedliche E-Mail-Adressen für private und dienstliche Angelegenheiten. Verwenden Sie unterschiedliche Passwörter. Im Idealfall haben Sie für jeden Account und jeden Service ein anderes Passwort. Mindestens sollten sich aber die Passwörter für den Dienstgebrauch von den privat genutzten unterscheiden.

2. E-Mail-Konten schützen

Ob es sich um einen gezielten Angriff oder eine Trojaner-Infektion mittels Spam-Mails handelt - meistens haben es die Angreifer zuerst auf das E-Mail-Konto des Opfers abgesehen. Dieses ist der kritische Punkt der elektronischen Identität: hat ein Angreifer erst einmal darauf Zugriff, kann er schnell herausfinden, welche Webdienste und sozialen Netze Sie nutzen und mit wem Sie darüber hinaus kommunizieren. Über die "Passwort Vergessen" Funktion, die von fast allen Anbietern zur Verfügung gestellt wird kann er sich das Passwort zurücksetzen lassen und so Zugriff erhalten.

Verwenden Sie deswegen unbedingt ein robustes Passwort für Ihre Mailkonten. Dieses sollte mindestens 12 Zeichen lang sein, es muss weiterhin zufällig sein und Klein- und Großbuchstaben, Sonderzeichen und Zahlen enthalten. Verwenden Sie keinesfalls Namen, Geburtstage oder ähnliches.

3. Passwort-Disziplin

Machen Sie auch alle Ihre anderen Passwörter sicherer! Es ist gar nicht unbedingt nötig, alle Logins für alle Accounts zu ändern. Sie sollten aber die wichtigsten davon identifizieren – mindestens das E-Mail-Konto – und dafür sorgen, dass Sie für diese besonders interessanten Ziele gute und eindeutige Passwörter verwenden.

Sichere Passwörter sind allerdings schwer zu merken, weswegen Sie einen Passwort-Manager (z.B. Keepass) benutzen können. Das ist eine Anwendung, die Sie auf ihrem Desktop und dem Smartphone nutzen können. Sie speichert nach Accounts sortiert Ihre Passwörter und kann sichere Passwörter generieren.

Falls Sie es analog halten wollen, können Sie Ihre Passwörter notfalls schriftlich notieren (und dann natürlich sicher aufbewahren). Stellen Sie dabei in jedem Fall sicher, dass das E-Mail-Passwort mehrfach hinterlegt ist, um bei einem Verlust der Passwortliste alles rekonstruieren zu können, wie es ein Angreifer auch tun würde (vgl. Punkt 2).

Als weitere Alternative können Sie sich einige wenige sehr sichere "Master-Passwörter" merken, an die Sie für jeden Account ein offensichtliches Kürzel anhängen. Wenn z.B. H7tz!67tgh#as3 Ihr Master-Passwort ist, stellen Sie fb für Facebook, go für Google etc. voran und erhalten fbH7tz!67tgh#as3, goH7tz!67tgh#as3 etc. Wichtig ist dabei wiederum, verschiedene Master-Passwörter für privates und dienstliches zu verwenden.

4. Zwei-Faktor-Anmeldung

Wenn es von Ihrem Service unterstützt wird, sollten sie eine sog. Zwei-Faktor-Authentifizierung aktivieren. Dabei wird - wie beim Online-Banking - außer dem Passwort beim Login auch noch ein Einmal-Code abgefragt, den Sie per App auf einem Smartphone oder per SMS erhalten. Das macht etwas mehr Mühe beim Login, erschwert Angreifern die "Arbeit" aber erheblich.

5. Software aktuell halten

Wie immer gilt: nicht nur Online-Dienste, auch der lokale Computer sollte geschützt werden. Neben einem funktionierenden Virenscanner (etwa dem in Windows 10 standardmäßig enthaltenen Windows Defender) ist es unabdingbar, sämtliche verwendete Software aktuell zu halten. Das Betriebssystem, alle Browser und auch E-Mail-Programme sollten sich automatisch updaten. Wer einen PDF-Reader von Adobe oder Office-Software verwendet, sollte auch hier immer die aktuelle Version nutzen, da diese Programme besonders gefährdet sind.

6. Kritische Überprüfung der Absender

Die meisten Einbrüche in Computersysteme finden zurzeit über sog. Phishing-Angriffe statt: Angreifer senden mehr oder weniger gezielte und unterschiedlich raffinierte E-Mails, die bösartige Dateien oder Links enthalten. Letztere sollen Sie auf Webseiten locken, die Ihnen persönliche Informationen entlocken oder versuchen, Schadsoftware zu installieren.

Hinterfragen Sie deshalb bei jeder E-Mail die Quelle oder das Ziel des Links kritisch. Überlegen Sie vor jedem Klick: Wer schickt mir das? Und warum? Kommt diese Mail wirklich von dem Absender, der die Mail angeblich versendet hat? Im Zweifel können Sie auf einem anderen Kanal (zum Beispiel am Telefon) nachfragen, ob der vermeintliche Absender wirklich diese Mail verschickt hat. Zusätzlich sollte man die URLs von Links genau prüfen: wird da z.B. mit Sonderzeichen getrickst und gehört diese Domain wirklich der Firma, die da schreibt?

 

(08.08.2018) Neuer Angriff auf WLAN-Verschlüsselung.

Security-Experten ist ein neuer Angriff auf die weitverbreitete WLAN-Verschlüsselung WPA2 gelungen, siehe z.B. hier.

Der beschriebene Angriff macht es einfacher, das WLAN-Passwort zu ermitteln und so Zugang zum Praxis-Netzwerk zu erlangen. Um dies zu verhindern, sollten Sie unbedingt das Standard WLAN-Passwort Ihres Routers ändern. Das neue Passwort muss zufällig sein, mindestens 20 Zeichen enthalten und aus Kleinbuchstaben, Großbuchstaben, Sonderzeichen und Ziffern bestehen.

 

(08.08.2018) Vorsicht! Erpressungstrojaner in Arztpraxen sind meldepflichtig!

Art. 33 DSGVO legt fest, dass bei "Datenpannen" - genauer: bei einer "Verletzung des Schutzes personenbezogener Daten" - eine Meldung an die zuständige Aufsichtsbehörde zu erfolgen hat. Was macht so eine Verletzung aus? Art. 4, Abs. 12 DSGVO liefert Aufklärung: nicht nur die Weitergabe personenbezogener Daten an Unbefugte sondern bereits der Verlust personenbezogener Daten, sei es aus Versehen, durch Unfälle, Brandschäden etc. ist eine Verletzung und damit meldepflichtig.

In den letzten Wochen wurden mehrere Fälle von sogenannten "Erpressungstrojanern" in Arztpraxen bekannt, wobei der gesamte Datenbestand der Praxis unwiederbringlich verschlüsselt wurde und die Daten kompletter Arbeitstage trotz Backups verloren gingen.

Vermeiden Sie solche Vorfälle durch geeignete technisch-organisatorische Maßnahmen, wie sinnvoll konfigurierte Firewalls, regelmäßige Backups und den Einsatz von Virenscannern. Sie finden die entsprechende Überprüfung Ihrer aktuellen Praxisgegebenheiten in Ihrem Datenschutz-Assessment im Modul "Umgang mit Ihrer Praxis-IT".

Falls es dennoch zu einem derartigen oder ähnlichen Vorfall kommt, muss innerhalb von 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erfolgen - in der Regel ist diese der Landesbeauftragte für Datenschutz.

Wenn Sie das Best Protect Paket gebucht haben, übernimmt Health Data Protect die Meldung für Sie! Schreiben Sie einfach eine E-Mail an datenschutz@health-data-protect.de oder rufen Sie beim Datenschutz-Service-Center unter 0800 6 800 900 an. In jedem Fall melden wir uns so schnell wie möglich bei Ihnen, erfragen die relevanten Informationen und besprechen ggf. weitere Schritte. Zögern Sie auch nicht, sich bei uns zu melden, wenn Sie unsicher sind, ob es sich um einen meldepflichtigen Vorfall handelt - wir klären dies gemeinsam.

 

(30.07.2018) "Blanko-Einwilligungen sind nicht zulässig"

Interview des Ärztenachrichtendienstes mit Prof. Dr. Alexander Ehlers und Claudia Fuhrmann

Die neue Datenschutz-Grundverordnung (DSGVO) sorgt auch nach ihrem Inkrafttreten noch für heftige Diskussionen in der Ärzteschaft. Manche Praxen lassen alle Patienten seitenlange Erklärungen unterschreiben – andere unternehmen kaum etwas. Welcher Kurs ist für die Ärzte empfehlenswert? Die Betriebswirtin Claudia Fuhrmann hat gemeinsam mit IT- und Datenschutzexperten das Beratungsunternehmen Health Data Protect gegründet. Mit im Boot auch: der bekannte Medizinrechtler Prof. Alexander Ehlers. Der änd sprach mit Fuhrmann und Ehlers über das Thema.
....

Das ganze Interview als PDF
Das ganze Interview beim Ärztenachrichtendienst (nur für Mitglieder)