IT-Sicherheit – Step by Step

Dieser Beitrag ist am 23.08.2023 in der Schweizerischen Ärztezeitung erschienen. Er wurde für den HIN Blog leicht verändert.Als Gesundheitsfachperson sind Sie verantwortlich für die sensiblen Daten Ihrer Patienten. Ein zuverlässiger IT-Grundschutz ist somit elementar. Wir geben Tipps, wie Sie die IT-Sicherheit in Ihrer Praxis selber Schritt für Schritt verbessern können.
Patienteninnen und Patienten vertrauen ihren Ärztinnen und Ärzten sensible Informationen über sich und ihre Gesundheit an – im Vertrauen darauf, dass diese bei ihnen in sicheren Händen sind. Dem gilt es Rechnung zu tragen. Datensicherheit und ein zuverlässiger IT-Grundschutz sind in Arztpraxen und Institutionen des Gesundheitswesens somit elementar. Denn die Sensibilität der im Gesundheitswesen bearbeiteten Daten macht die Branche zu einem attraktiven Ziel für Cyberkriminelle. Wie sieht es bei Ihnen aus, haben Sie einen IT-Schutzplan für Ihre Praxis?

IT-Sicherheit ist keine Hexerei

IT-Grundschutz klingt im ersten Moment etwas überfordernd, doch es ist keine Hexerei. Vieles können Sie selber auch ohne grosses IT-Fachwissen umsetzen.  In diesem Beitrag unterstützen wir Sie dabei – in einfachen Schritten.Im ersten Teil dieser Serie haben wir uns auf die Themen IT-Inventar und Backup konzentriert, siehe «IT-Grundschutz selber umsetzen #1: IT-Inventar und Backup-Strategie». Heute erklären wir Ihnen, wie Sie Ihr Netzwerk und Ihre Computer schützen können.

Netzwerk: Einfallstor für Schadsoftware

In der IT bezeichnet ein Netzwerk die Verbindung von mindestens zwei Computersystemen, entweder per Kabel oder drahtlos über eine Funkverbindung. Beispielsweise werden Computer, Notebooks, Drucker und andere Geräte via Router – einer Art zentralem Knotenpunkt – mit dem Internet verbunden und somit miteinander vernetzt. Netzwerke können unterschiedlich aufgebaut sein, haben jedoch eines gemeinsam: Sie müssen sorgfältig geschützt werden. Denn bleibt der Zugriff ungeschützt, können sich unberechtigte Dritte wie beispielsweise kriminelle Hacker Zugang zum Netzwerk verschaffen, die Kommunikation abhören oder Daten entwenden.

Schritt 1: Netzwerkzugang schützen

In einem ersten Schritt gilt es, die Sicherheit des Zugangs zum eigenen Netzwerk zu prüfen. In vielen Fällen verwenden Arztpraxen für den Internetzugang den NAT-Router, den sie von ihrem Internetprovider (z.B. Swisscom, UPC, Sunrise) erhalten. Damit fahren Sie schon ganz gut, denn heute verwendete NAT-Router bieten eine sichere Basis. Stellen Sie jedoch sicher, dass Sie Ihren Router genau nach der Anleitung Ihres Providers aufsetzen und ändern Sie das Initialpasswort auf ein von Ihnen gewähltes, sicheres Passwort. Auch wichtig ist, dass Sie die Verschlüsselung per WPA2 oder WPA3 und einen starken WLAN-Netzwerkschlüssel konfigurieren, falls Sie WLAN auf Ihrem Router aktivieren.Wer den Zugang zu seinem Netzwerk noch besser schützen möchte, kann dies durch eine Firewall tun. Wenden Sie sich hierfür an eine IT-Fachperson.
Ein sicheres Passwort…

  • … ist mind. 12 Zeichen lang
  • … enthält sowohl Gross- und Kleinbuchstaben als auch Zahlen und Sonderzeichen
  • … enthält keine Wörter aus Wörterbüchern oder Namen
  • … entspricht keinem Tastaturmuster
  • … hat keine Jahreszahl am Ende

Mehr über sichere Passwörter im HIN Blog

Schritt 2: Computer schützen

Jede und jeder Mitarbeitende Ihrer Praxis kann von ihrer oder seiner Arbeitsstation aus auf das Internet zugreifen, damit Mails lesen, Links anklicken, usw. Somit bietet jedes einzelne Gerät eine Angriffsfläche für Schadsoftware – und muss auch entsprechend geschützt werden. Denn ist ein Computer von Schadsoftware befallen, sind darauf gespeicherte Daten nicht mehr sicher und Angreifer können dadurch auch weitere Computer Ihrer Praxis angreifen.Erstellen Sie zunächst ein Inventar aller am Netzwerk angeschlossenen Computer. Denn nur, wer alle Angriffsflächen kennt, kann diese auch schützen. Für die Erfassung des Inventars haben wir Ihnen eine Excel-Vorlage erstellt, die Sie unter www.hin.ch/inventar herunterladen können. Unter dem Tab «Hardware» erfassen Sie alle in Ihrer Praxis verwendeten Geräte, wobei für uns aktuell vor allem die Spalten «Betriebssystem» und «Antivirus» relevant sind. Unter dem Tab «Software» tragen Sie für jedes Gerät die darauf installierten Applikationen und deren verwendete Versionen ein. Das Inventar sollte regelmässig aktualisiert werden.

Schritt 3: Schutzmassnahmen definieren

Nachfolgend finden Sie wichtige Schutzmassnahmen, die sich in Arztpraxen mit überschaubarem Aufwand umsetzen lassen.Sicherheitsmassnahmen des BetriebssystemsModerne Betriebssysteme von Computern und Notebooks verfügen über initial installierte Schutzmassnahmen. Stellen Sie sicher, dass diese aktiviert sind.Aktualität des BetriebssystemsAuf jedem Ihrer Geräte sollte stets das aktuelle verfügbare Betriebssystem installiert sein, um neu gefundene Sicherheitslücken zu schliessen. Das von Ihnen erstellte Inventar hilft Ihnen, den Überblick über die Betriebssysteme aller Ihrer Geräte zu behalten. Optimalerweise konfigurieren Sie die Geräte so, dass die zeitnahe und automatische Installation von Aktualisierungen für Betriebssysteme unterstützt wird. Somit zeigt das Geräte jeweils mögliche Aktualisierungen an, sodass Sie oder Ihre Mitarbeitenden diese lediglich noch ausführen müssen.Software sorgfältig auswählenInstallieren Sie auf ihren Geräten nur Software aus vertrauenswürdigen Quellen, die zum Arbeiten auch wirklich benötigt wird. Privat genutzte Programme oder Games gehören nicht auf einen Computer in Ihrer Praxis. Zudem ist auch in puncto Software die Aktualität wichtig, da die Hersteller damit Schwachstellen beheben: Installieren Sie stets die aktuellen Versionen und führen Sie Updates zeitnah durch.Geräte durch Virenscanner schützenJedes Gerät muss durch ein aktuelles Virenschutzprogramm geschützt sein. Bei Windows-Geräten können Sie aufatmen: Hier ist ein genügend sicherer Virenscanner eingerichtet, sofern Sie das Gerät wie vom Hersteller vorgesehen konfigurieren. Bei Mac-Geräten benötigen Sie einen zusätzlichen Virenscanner. Denn der Mythos, dass dies bei Mac nicht nötig sei, ist in der heutigen Zeit leider nicht mehr korrekt. Im vorhin erstellen Inventar hilft Ihnen die Spalte «Virenschutz» im Tab «Hardware», den Überblick zu behalten.Sie haben noch keinen Virenscanner im Einsatz? HIN Mitglieder können das Antivirus-Programm HIN Endpoint Security ohne zusätzliche Kosten nutzen. Erfahren Sie mehr.Die Virenschutzprogramme sind so zu konfigurieren, dass alle Dateien beim Zugriff überprüft werden und regelmässig Aktualisierungen der Virensignaturen vom Hersteller heruntergeladen werden. Auf den Computern sollte regelmässig ein vollständiger Scan (Fullscan) durch das Virenschutzprogramm durchgeführt werden. Zudem dürfen die Benutzenden der Geräte keine Möglichkeit haben, das Antivirusprogramm zu deaktivieren.Sichere PasswörterAlle Geräte sollten mit einem sicheren Zugangspasswort geschützt sein, siehe Infobox. Verlässt der Benutzer seine Arbeitsstation – wenn auch nur, um kurz zwei Minuten einen Kaffee zu holen – muss er seinen Bildschirm sperren. Auch bei jeglichen Benutzerkonten im Internet sind starke Passwörter ein Muss. Passwort-Manager wie Keepass, 1Passwort oder NordPass sind hilfreich, um die Passwörter sicher auf dem Computer oder Laptop zu speichern. Wichtig: Das sicherste Passwort ist vergebens, wenn es auf einem Post-It neben dem Computer aufgeschrieben wird!

Solide, ausbaubare Basis

Setzen Sie diese Tipps sorgfältig um, legen Sie eine solide Basis für den Schutz des Netzwerks und der Computer in Ihrer Praxis. Es lässt sich nicht leugnen, dass dies initial etwas Zeit und Aufwand erfordert. Doch es lohnt sich – denn wer sorgfältig vorsorgt, senkt das Risiko von Cyberattacken, Datenverlust und im schlimmsten Fall Vertrauensverlust durch die Patienten. Neben unseren Tipps gibt es zahlreiche weiteren Möglichkeiten, wie sich die IT-Sicherheit in Ihrer Praxis verbessern lässt. Möchten Sie noch mehr tun, empfehlen wir Ihnen einen IT-Spezialisten hinzuzuziehen.
Weiterführende Informationen

Autor: Uwe Gempp - CSO & IT-Architekt

Als Experte für IT-Sicherheit informiere ich Sie über aktuelle Herausforderungen im Netz. Zudem verrate ich Ihnen, wie Sie sich einfach vor Cybergefahren schützen können und erkläre Begriffe und Zusammenhänge rund um das Thema Informationssicherheit. Lernen Sie mit mir, wie wir die digitale Welt im Gesundheitswesen gemeinsam ein Stück sicherer machen können.

Mehr über Uwe erfahren