Die Digitalisierung führt zu besseren Behandlungsweisen. In ärztlichen Ordinationen wie im Spital ist heute die gesamte Verwaltung und Steuerung in Computerdateien abgebildet. Das bringt Risiken mit sich, wenn fehlerhafte Software zum Computerabsturz führt. Oder wenn Cybergangster die IKT verschlüsseln und Lösegeld fordern. Wie sich Gesundheitseinrichtungen vor diesen Gefahren schützen, steht in einer neuen EU-Richtlinie. Auch die Ärztekammer steht mit einem Ampel-Tool parat.
ArtemisDiana / Getty Images / iStock
Wir erinnern uns: Flughäfen in aller Welt standen still, nachdem am 19. Juli 2024 über Nacht auf 8,5 Millionen Windows-Rechner ein fehlerhaftes Update der Software „CrowdStrike Falcon“ aufgespielt worden war. Ärgerlich für viele, die stunden- und tagelang auf den ersehnten Flug in den Urlaub warten mussten. Aber es waren auch Spitäler betroffen. Im Dornbirner Krankenhaus mussten geplante OPs verschoben werden. Die Ambulanz konnte nicht angefahren werden. Ähnliche Probleme gab es in Tirol bei der Leitstelle der Blaulichtorganisationen und im Bezirkskrankenhaus Kufstein. Auch dort fiel die Ambulanz aus. Erst ein paar Tage später war nach dem Aufspielen eines Updates vom Update die Krankenhaus-Welt wieder in Ordnung…
Weit bedrohlicher als Software-Pannen sind freilich gezielte kriminelle Angriffe. In Spitälern geht es schließlich oft darum, in kurzer Zeit Menschen vor dem Tod zu bewahren. Da bleibt keine Zeit für langes Verhandeln – da wird rasch und still bezahlt. Aber auch in ärztlichen Ordinationen hängt viel daran, dass Computer und Software klaglos ihren Dienst versehen. Oft stellt sich nach Attacken aus dem Internet heraus, ...
- dass man bei Sicherheits-Software gespart hatte;
- dass Updates verschoben worden waren;
- dass man nicht glauben wollte, dass Cybergangster mit dem Leben von Menschen spielen würden.
Am 3. Juli 2024 wurden bei einem Einbruch in die Computer des Londoner Pathologiedienstleisters „Synnovis“ die dort gespeicherten Blutwerte von zehntausenden Patientinnen und Patienten gestohlen. Mehrere Krankenhäuser mussten daraufhin tausende Operationen und zehntausende ambulante Termine verschieben. Es musste Spenderblut der Blutgruppe 0 aus anderen Spitälern herangeholt werden. Und es dauerte Wochen, bis in den Krankenhäusern im Süden von London wieder Normalbetrieb herrschte.
Ärztekammer gibt kostenlosen Rat
Wie können Ärzte und Ärztinnen herausfinden, ob ihre Ordination alle Sicherheitsstandards erfüllt? Die Ärztekammer stellt ihren Mitgliedern ein kostenloses Werkzeug zur Verfügung. Mit seiner Hilfe lässt sich herausfinden, wo in Sachen Cybersicherheit in der Ordi alles passt – und wo es Verbesserungsbedarf gibt.
Das wird übersichtlich mit Ampel-Farben angezeigt: Grün bedeutet, dass in einem Kapitel des Fragebogens keine Probleme zu erwarten sind. Gelb bedeutet, dass manche Maßnahmen fehlen oder Vorgehensweisen verbessert werden sollten. Rot bedeutet, dass ein Kapitel nicht befriedigend abgeschlossen ist und wesentliche Risiken bestehen, einen Schaden zu erleiden.
So ist auf einen Blick ersichtlich, in welchen Bereichen noch Verbesserungsbedarf besteht. Die aktuelle Online-Checkliste finden Sie hier: https://tinyurl.com/37rcv6xn .
Einen interessanten Überblick zur Cyber Security gibt das britische „National Cyber Security Centre“. Ausgehend von fünf einfachen Ratschlägen erhält man wieder je fünf Tipps zu folgenden Themen:
- Back-ups durchführen,
- die Ordination vor bösartiger Software schützen,
- Smartphones und Tablets vor Unbill schützen,
- mit Passwörtern die Daten schützen,
- Phishing-Attacken vermeiden.
Den Small Business Guide: Cyber Security finden Sie im Internet unter https://bit.ly/NCSC_Cybersecurity .
Auf dem Quality Austria Gesundheitsforum „Gesundheit im digitalen Zeitalter“ informierte DI Harald Erkinger darüber, wie sich Krankenhäuser vor IT-Pannen und Cyberattacken schützen können. Oder, besser gesagt, müssen. Das schreibt die EU-Richtlinie NIS 2 vor.
Hilfe zur Selbsthilfe. Eine kostenlose ÖÄK-App hilft Ordinationen beim Selbst-Check ihrer Datensicherheit.
ÖÄK
EU schreibt Schutzmaßnahmen vor
Die Abkürzung NIS steht für „The Network and Information Security Directive“. Direktiven der EU sind Anweisungen an die Mitgliedsstaaten, vom Europäischen Parlament vorgegebene Ziele mit eigenen Gesetzen umzusetzen. Besonders sorgfältig müssen nach dieser Direktive Gesundheitseinrichtungen sich an die Vorgaben von NIS 2 halten. Sie gelten ab einer Zahl von 50 Mitarbeitern als „Unternehmen mit hoher Kritikalität“, sofern sie einen Umsatz von mehr als 10 Millionen Euro erzielen – oder eine Jahresbilanzsumme in dieser Höhe. Österreich ist wie bei vielen anderen EU-Vorgaben säumig. Die vorgegebene Frist bis zum 17. Oktober 2024 konnte die Regierungskoalition nicht einhalten. Die österreichischen Gesetze werden erst von der nächsten Bundesregierung fertiggestellt werden …
NIS schreibt verpflichtende Sicherheitsmaßnahmen vor – und Meldepflichten bei Sicherheitsvorfällen. Eine Liste aller zu treffenden Cyber-Risikomaßnahmen findet sich auf der Webseite der WKO.
Rat und Anleitung gibt es von der QualityAustria-Tochter CIS (Certification & Information Security Services). Geschäftsführer Erkinger: „Wir unterstützen, indem wir unsere akkreditierten Prüfdienstleistungen anbieten und damit jedem Krankenhaus einen Statusbericht geben, mit praxisnahen Vorschlägen, wie die Vorgaben des kommenden NIS 2-Gesetzes umzusetzen wären. Da haben wir ganz viel Erfahrung im Krankenhaus, im Gesundheitswesen und können sehr pragmatische Hinweise liefern, wie Maßnahmen effizient umzusetzen sind – und nicht nur theoretische Vorgaben liefern.“
Austrian Health-Cert soll helfen
Die Gesundheits-Stakeholder (Bund, Länder, Sozialversicherungen) haben erkannt, dass sie die Spitäler und Ordinationen beim Kampf gegen IT-Pannen und Cyberangriffe nicht alleinlassen dürfen. Im Juni 2024 gründeten sie das „Austrian HealthCERT“ („Computer Emergency Response Team“). Es soll:
- Daten der Patienten schützen,
- Cyberbedrohungen überwachen,
- Gesundheitseinrichtungen beim Bewältigen von Cyberangriffen helfen,
- Richtlinien für bessere Sicherheitsmaßnahmen entwickeln,
- Schulungen und Sensibilisierungsprogramme anbieten,
- den Austausch von Informationen zwischen Krankenhäusern, Apotheken, Ärzten und IT-Dienstleistern koordinieren,
- Gesundheitseinrichtungen beim Einführen von Sicherheitsmaßnahmen unterstützen.
Auf einen Blick
Kostenloses Tool der Ärztekammer für Ordis: https://itsicherheitskonzept.aerztekammer.at/ .
Ratschläge aus Großbritannien: https://bit.ly/NCSC_Cybersecurity
Rat und Hilfe: https://a-healthcert.at .
WKO-Website www.wko.at/it-sicherheit/nis2-uebersicht
