Eine Räubergeschichte, Datenschutz im Gesundheitswesen und Phishing-Mails
Der erste Tag der IFAS Expo ist im Zeichen von Daten und Cybersecurity im Gesundheitswesen gestanden. Referentinnen und Referenten zeigten unter anderem, was das neue Datenschutzgesetz für Arztpraxen und Spitäler bedeutet und wie sich Kriminelle Zugang in Unternehmensnetzwerke verschaffen.
Cyberkriminelle machen schon längst keinen Halt mehr vor Spitälern und Arztpraxen. Zudem sind mit dem EPD und dem neuen Datenschutzgesetz weitere digitale Herausforderungen auf das Gesundheitswesen zugekommen. Aus diesem Grund widmete sich der erste Morgen der IFAS Expo 2022 den Themen Datenschutz und Informationssicherheit. Die Messe, die vom 25. bis zum 27. Oktober in der Messe Zürich stattfindet, ist Branchentreffpunkt für das hiesige Gesundheitswesen und bietet zahlreiche Vorträge zu aktuellen Themen.
Andreas Hauri, Zürcher Stadtrat und Vorsteher des Gesundheits- und Umweltdepartements der Stadt Zürich. (Source: Netzmedien)
Andreas Hauri, Zürcher Stadtrat und Vorsteher des Gesundheits- und Umweltdepartements der Stadt Zürich, hielt die Eröffnungskeynote. "Abgesehen von Digitalisierung und Datenschutz beschäftigt mich vor allem der Fachkräftemangel. Wir spüren ihn täglich", sagte er. Laut Hauri absolvieren zwar viele Personen in der Schweiz eine Pflegeausbildung, allerdings steigen sie nach wenigen Jahren wieder aus dem Beruf aus. Die Gründe dafür sieht der Stadtrat in der schwierigen Vereinbarkeit von Beruf und Familie, den unflexiblen Arbeitszeiten und den Anstellungskonditionen in der Gesundheitsbranche. "Es ist der Auftrag der Politik, diese Themen aktiv anzugehen." Die Stadt Zürich habe daher Ende 2020 das Programm "Stärkung Pflege" ins Leben gerufen.
Das neue Datenschutzgesetz in der Pflege
"Wer im Gesundheitswesen arbeitet, muss dafür sorgen, dass die Daten der Patienten sicher sind", gab Hanspeter Kuhn zu bedenken. Wie der Rechtsanwalt mit Fokus Gesundheitsrecht sagte, können nicht nur Cyberattacken dafür sorgen, dass Daten der Patientinnen und Patienten verlorengehen. Auch Naturkatastrophen oder ein Brand können Daten zerstören. "Es macht daher Sinn, die Daten an einer geografisch anderen Lage zu sichern."
Hanspeter Kuhn ist Rechtsanwalt mit Fokus Gesundheitsrecht. (Source: Netzmedien)
Kuhn nannte zudem wichtige Neuerungen, die durch das neue Datenschutzgesetz auf die Gesundheitsbranche zukommen. So gibt es neue Governance-Pflichten. Praxen, Spitäler und Co. müssen ein Verzeichnis der Datenbearbeitungen erstellen sowie Datenverluste und andere Sicherheitsverstösse melden. Wollen Patientinnen und Patienten eine Kopie ihrer Krankengeschichte, können sie bald wählen, über welchen Arzt oder welche Ärztin sie diese beziehen möchten. Der Beizug von Unterauftragnehmern für die Datenbearbeitung ist strenger geregelt. Unternehmen sollten daher die Verträge mit Ärztekassen, Inkassobüros, Treuhändern und Cloudanbietern auf ihre DSG-Konformität überprüfen.
Ausserdem wird die Informationspflicht bei der Datenbeschaffung inhaltlich ausgeweitet - sprich, worüber informiert werden muss. Vorsätzliche Verstösse gegen den Datenschutz können für die Mitarbeitenden bis zu 250'000 Franken kosten. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte kann neu zudem entscheiden und nicht nur empfehlen. Er kann beispielsweise Bearbeitungsverbote erlassen.
Der Umgang mit Daten muss verhältnismässig sein
Laut Ursula Uttinger, Präsidentin Swiss Healthcare Privacy Professionals (SHPP), sollten Spitäler und Arztpraxen stärker hinterfragen, welche Daten sie überhaupt erfassen, wer Zugriff auf diese Daten hat und wann die Daten vernichtet werden. Zum ersten Punkt sagte sie: "Früher war es notwendig, die Telefonnummer des Arbeitsortes eines Patienten zu haben, weil die Leute schwer erreichbar waren. Heute ist das im Sinne der Verhältnismässigkeit nicht mehr notwendig, da jeder ein Handy hat."
Ursula Uttinger, Präsidentin Swiss Healthcare Privacy Professionals (SHPP). (Source: Netzmedien)
Die Verhältnismässigkeit spiele auch bezüglich Datenzugriff eine wichtige Rolle. Während eine Praxis früher häufig aus einer Ärztin oder einem Arzt und einer Praxisassistenz bestand, gibt es heute Gesundheitszentren mit vielen Fachpersonen, die sich auf unterschiedliche Gebiete spezialisiert haben. Hier gilt es laut Uttinger abzuwägen, ob wirklich alle im Gesundheitszentrum Zugriff auf die Daten eines Patienten oder einer Patientin benötigen.
Wie Uttinger sagte, gibt es mit der neuen Verjährung von 20 Jahren bei vertragswidriger Körperverletzung oder Tötung einen Clinch mit der Verhältnismässigkeit der Aufbewahrungsdauer von Daten. Diese sollte nämlich gemäss Gesetz so kurz wie möglich sein.
Als eine weitere Herausforderung für Fachpersonen wie auch für Patientinnen und Patienten sprach die SHPP-Präsidentin das elektronische Patientendossier (EPD) an. "Bis anhin war es gar nicht einfach, eines zu eröffnen." Laut Uttinger haben die Poststellen, an denen man ein EPD eröffnen kann, wenig Erfahrung mit dem Prozess. Da Spitäler bisher nicht dazu verpflichtet seien, Patientendaten ins EPD zu laden, sei es in gewissen Fällen schwierig, alle Daten dort zu verwalten.
Eine Räubergeschichte mit über 500'000 Franken Schaden
Mit einer "Räubergeschichte" wartete Alexander Hermann, Managing Partner beim Cybersecurity-Unternehmen Redguard, auf. Die Geschichte begann an einem Samstag vor Pfingsten. Um 6 Uhr morgens merkte ein grosser Schweizer Detailhändler mit stationären Geschäften und einem Webshop, dass gewisse Abrechnungsdateien nicht vermittelt wurden, da die Daten verschlüsselt waren. Das Unternehmen war Opfer einer Ransomware-Attacke geworden. "Es ist kein Zufall, dass sich die Angreifer den Samstag vor Pfingsten ausgesucht haben. Sie wissen, wann Schlüsselpersonen nicht da sind", sagte Hermann.
Alexander Hermann, Managing Partner bei Redguard. (Source: Netzmedien)
Das Unternehmen rief einen Krisenstab zusammen. Dieser bemerkte, dass sich die Cyberkriminellen über den Zugang eines Lieferanten ins Unternehmensnetzwerk geschleust hatten. Die Eindringlinge befanden sich bereits zwei Tage bevor der Detailhändler den Angriff bemerkte im Netzwerk und nutzten die Zeit, um das Antivirenprogramm lahmzulegen.
Das Wichtigste bei einem solchen Vorfall ist laut Hermann, den Angriff einzudämmen. Also wurden beim Detailhändler alle Lieferantenzuggänge deaktiviert und ein Grossteil der Mitarbeitenden gesperrt, sodass die Systeme und das Netzwerk isoliert waren. Als zweiter Schritt folgt die Suche nach den Verantwortlichen, da bekannte Gruppierungen von Cyberkriminellen nach ihren eigenen Mustern vorgehen. Als drittes nannte Hermann die Wiederherstellung der Daten respektive des Netzwerks. "Es ist extrem wertvoll, sich bereits vor dem Ernstfall Gedanken darüberzumachen, was ich dringend brauche, damit meine Organisation in so einem Fall weiter funktionieren kann."
Während fünf Tagen waren rund 80 Prozent der Unternehmens-IT ausgefallen. Nach 21 Tagen war laut dem Managing Partner das Schlimmste überstanden. Wie hoch der finanzielle Schaden durch den Cyberangriff insgesamt war, ist nicht bekannt. Die direkten externen Kosten allein hätten aber etwa 500'000 Franken betragen.
Der Cybersecurity-Spezialist gab den Anwesenden abschliessend folgende Tipps:
Schützen Sie Ihre Infrastruktur;
Sorgen Sie für Backup und Wiederherstellung;
Installieren Sie Patches auf allen Geräten und halten Sie Ihre Systeme aktuell;
Prüfen Sie, ob Lieferanten und andere Externe tatsächlich Zugang zum Netzwerk benötigen;
Schützen und sensibilisieren Sie Ihre Mitarbeitenden.
Phishing-Mails werden immer erfolgreicher
"Bei Cybersecurity handelt es sich um ein Katz und Maus Spiel. In diesem Fall sind Sie leider die Maus", startete Dominik Grolimund, IT-Security- und Awareness-Referent von HIN, sein Referat. Wie er aufzeigte, wurden Phishing-Mails in den vergangenen Jahren immer erfolgreicher. So stieg die Klickraten von 12 auf 30 Prozent. Die Angriffe seien so erfolgreich, da sie über Menschen stattfinden. Cyberkriminelle geben sich in Phishing-Mails beispielsweise als Chefin aus, die schnelles Handeln von den Mitarbeitenden verlangt. Ähnlich wie beim Teleshopping setzten auch Angreifer ihre potenziellen Opfer unter Zeitdruck respektive gaukeln ihnen Dringlichkeit vor. Zudem hat laut Grolimund die persönliche Verfassung einen Einfluss auf den Erfolg von Phishing-Mails. Wer wenig geschlafen, Probleme mit der Familie oder den Kopf aus anderen Gründen woanders hat, ist generelle unvorsichtiger und klickt eher auf einen verdächtigen Link als eine Person, die topfit ist.
Dominik Grolimund, IT-Security- und Awareness-Referent bei HIN. (Source: Netzmedien)
Um sich vor Phishing zu schützen, sollten Unternehmen laut Grolimund auf Awareness setzen. Es gelte, die Mitarbeitenden über gewisse Verhaltensregeln bezüglich E-Mails, USB-Sticks und Websites aufzuklären. Zudem sei ein sensibler Umgang mit Daten bezüglich Erhebung, Aufbewahrung und Weitergabe und Transfer wichtig. "Es braucht einen ganzheitlichen Ansatz - Awareness nützt nichts, wenn das IT-System nichts taugt", ergänzte der Cybersecurity-Spezialist.
Unternehmen müssten dabei nicht das Rad neu erfinden. Laut Grolimund gibt es zahlreiche Organisationen, die Best Practices zum Thema zur Verfügung stellen. Darunter das Nationale Zentrum für Cybersicherheit (NCSC).
Wenn die Ambulanz mitten im Gebäude steht, ist das an der IFAS Expo ganz normal. (Source: Netzmedien)
Wenn Sie mehr zu Datenschutz und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.