HIN Academy: Weil ein einziger falscher Klick fatale Folgen haben kann

Stellen Sie sich vor, Sie kommen eines morgens in Ihre Praxis, starten Ihren Computer – und stellen fest, dass alle Ihre Daten verschlüsselt sind. Sie können weder im Kalender Ihre Termine des Tages prüfen, noch auf die Informationen oder Krankengeschichten Ihrer Patienten zugreifen… Dieses Horrorszenario kann wirklich passieren, wenn eine Arztpraxis Opfer einer Cyberattacke wird. Und dafür, dass es passieren kann, reicht ein einziger Klick auf einen Link in einem Phishing-Mail. Oder das Herunterladen eines virenverseuchten Anhangs. Oder der Besuch einer korrupten Webseite. 

« Damit eine Cyberattacke Erfolg hat, reicht ein einziger Klick auf einen Link in einem Phishing-Mail. »

Cyberattacken betreffen auch Arztpraxen

Cyberattacken nehmen immer mehr zu: 2021 hat das Nationale Zentrum für Cybersicherheit (NCSC) mehr als doppelt so viele Meldungen zu Cyberattacken erhalten wie im Vorjahr, nämlich über 21’000 Meldungen¹. Auch Arztpraxen bleiben vor Angriffen nicht verschont, so die FMH. Diese würden nicht systematisch ausgewählt, sondern seien meist «zufällige Opfer», zum Beispiel von Ransomware, einem Verschlüsselungstrojaner².Fakt ist: Cyberattacken können jede und jeden treffen. Und gerade in Arztpraxen und Spitälern mit ihren sensiblen Patientendaten können sie fatale Folgen haben. Neben den zahlreichen Schwierigkeiten, wenn Ärzte und MPA nicht mehr auf Patienteninformationen und Termine zugreifen können, können sie auch in Verletzungen des Berufsgeheimnisses und Verstössen gegen den Datenschutz resultieren, wenn Cyberkriminelle beispielsweise die gestohlenen Daten im Darknet publizieren.

Schützen Sie Ihre Praxis

Wir sind Cyberkriminellen aber keinesfalls schutzlos ausgeliefert. Einerseits können wir die eigene Praxis oder Institution mithilfe technischer Massnahmen schützen. Dazu gehören unter anderem der Schutz aller Arbeitsgeräte mit einer Firewall und einem Virenscanner. Hilfreiche Informationen gibt die FMH auf ihrer Webseite zum IT-Grundschutz.Technische Massnahmen alleine reichen jedoch noch nicht aus. Denn die beste Infrastruktur bringt wenig, wenn sich ihre Nutzer unvorsichtig verhalten. Und Fakt ist, dass die Mehrheit aller Cyberangriffe mit einer Person beginnt, die einen unvorsichtigen Klick tätigt …

« Die sicherste IT-Infrastruktur ist nicht sicher genug, wenn Ihre Nutzer Cyberkriminellen ein Einfallstor bieten. Das Verhalten jedes einzelnen zählt. »

Wissen alleine reicht nicht aus

Dass man nicht auf Links in verdächtigen E-Mails klicken soll, wissen wir inzwischen alle – und dennoch haben Cyberattacken immer wieder Erfolg. Denn um eine Praxis oder Institution bestmöglich vor Angriffen zu schützen, reicht oberflächliches Wissen der Mitarbeitenden oder eine einmalige Informationsvermittlung nicht aus. Vielmehr muss sich jede und jeder einzelne der Gefahren durch Cyberkriminalität im Arbeitsalltag jederzeit bewusst sein. Denn einerseits ist das Verhalten eines Menschen neben seinem Wissen unter anderem abhängig von seiner Einstellung, beispielsweise davon, als wie wichtig er das Thema IT-Sicherheit beurteilt. Und andererseits gibt es viele situative Gegebenheiten und ablenkende Faktoren, die Wissen in den Hintergrund rücken lassen, das nicht tief in der Einstellung verankert ist.

Beispiel: Die Macht der Situation

Hausärztin Anna Muster schreibt gerade an einem Bericht, in fünf Minuten erwartet sie ihre nächste Patientin. Dummerweise ruft genau jetzt ihre Tochter an, die Angst vor einer Matheprüfung am Nachmittag hat. Und als ob das nicht schon genug wäre, schneit auch noch Annas MPA rein und verkündet, die Versicherung eines Patienten habe eine E-Mail geschrieben, sie brauche mehr Informationen. Es sei angeblich sehr dringend. Während Anna ihrer aufgebrachten Tochter am Telefon zuhört, überfliegt sie nebenbei die weitergeleitete E-Mail ihrer MPA, versteht nicht ganz. Sie klickt auf den Link, der mehr Informationen verspricht. Und schon ist es passiert.

« Jede und jeder kann mit seinem Verhalten dazu beitragen, die eigene Praxis vor Cyberattacken zu schützen. Das bedingt jedoch, sich der Gefahren im Arbeitsalltag jederzeit bewusst zu sein. »

Der Schlüssel heisst Awareness

In der HIN Academy geht es nicht um reine Informationsvermittlung, vielmehr soll ein nachhaltiges Bewusstsein für die Gefahren durch Cyberkriminalität im Praxisalltag geschaffen werden. Diese sogenannte «Awareness» soll fest in der Einstellung von Gesundheitsfachpersonen verankert werden, das ist unser Ziel. Sie soll sich so tief in den Köpfen festsetzen, dass Vorsicht in Bezug auf IT-Sicherheit zu einem ständigen Begleiter im Arbeitsalltag wird. Dass eine gesunde Portion Misstrauen jederzeit präsent ist.Dies erreichen wir unter anderem, indem wir die persönliche Relevanz für jede und jeden Einzelnen aufzeigen und an praxisnahen Beispielen aus dem Alltag in Arztpraxen oder Institutionen des Gesundheitswesens anschaulich demonstrieren, welcher Stolpersteine sich Gesundheitsfachpersonen bewusst sein müssen.

Handeln Sie jetzt

Cyberattacken können jede und jeden treffen – nicht nur die anderen. Ein einziger unvorsichtiger Klick kann eine ganze Praxis unter Umständen für ein paar Stunden oder gar Tage lahmlegen. Doch Sie sind Cyberkriminellen keinesfalls schutzlos ausgeliefert. Denn jede und jeder kann mit seinem Verhalten dazu beitragen, sich und seine Praxis zu schützen. Sie haben es in der Hand, sich selber, Ihre Praxis und die Daten Ihrer Patienten zu schützen. Wappnen Sie sich noch heute gegen die Gefahren durch Cyberkriminalität: Schulen Sie sich und Ihre Mitarbeitenden in den HIN Awareness Schulungen.Die HIN Academy bietet Online-Schulungen zur Teilnahme als Einzelperson sowie individuelle Schulungen für ganze Arztpraxen oder Institutionen.>  Mehr über die HIN Academy
>  Online-Schulung buchen
>  Beratung individuelle Schulung für meine Praxis¹ Quelle: Wochenrückblick KW52/2021 des Nationalen Zentrums für Cybersicherheit NCSC. 
² Quelle: Medical Tribune vom 16. März 2022