Frag den Profi – IT-Sicherheit für deine Praxis

Ein neues Interview unserer Reihe wartet auf dich: #FragdenProfi

In dieser Episode sprechen Joyce Regnier von Praxis-Profi und Malte Treutner - CEO der SL.IS Services GmbH – über die IT-Sicherheit deiner Praxis. Alles, was du wissen musst rund ums Thema Datenschutz, sicheres WLAN und Antivirenschutz - erfährst du hier:

Was ist die SL.IS?

Joyce: 

Hallo und herzlich Willkommen zu unserem Format #FragdenProfi. Für das heutige Interview spreche ich mit Malte Treutner - CEO bei der SL.IS Services GmbH - über die Wichtigkeit der KBV IT-Sicherheitsrichtlinie und was das für deine Praxis bedeutet. 

Datenschutz? Sicheres WLAN? Antivirenschutz? 

Wie kannst du deine Praxis am besten absichern und was macht eine sichere IT-Umgebung überhaupt aus? Worauf muss ich als Praxisinhaber:in achten? Diese und weitere Fragen wollen wir in diesem Interview klären und stellen dir in diesem Zuge die Leistungen von Sichere Praxis-IT vor rund um das Thema IT-Sicherheit.

Malte, stell dich und die SL.IS bzw. die Sichere Praxis-IT doch gerne einmal vor. 

Malte: 

Hallo erstmal und vielen Dank für die Einladung zum Interview! Ich bin Gründer und Geschäftsführer eines Systemhauses, der IS Intelligent Solution GmbH in Hamburg, die ich 2001 gegründet habe und da bieten wir klassische IT-Dienstleistungen für den Klein- und Mittelstand. an. Im Jahr 2020 haben wir die SL.IS Services gegründet zusammen mit Christoph Lösel - auch aus einem Systemhaus aus Frankfurt. Wir haben hier seit 2018 die Telematikinfrastruktur im deutschen Gesundheitswesen ausgerollt - also für eine Vielzahl von Praxen im medizinischen Umfeld, Ärzt:innen, Psychotherapeut:innen und weitere Berufsgruppen. Bei den Installationen vor Ort haben wir festgestellt, dass die IT-Sicherheit in den Praxen teilweise gar nicht vorhanden oder nur rudimentär ist. Zum Beispiel wird die Netzwerksicherheit nur mit einer FRITZ!Box abgesichert oder man denkt, das Netzwerk wird hier abgesichert, dabei bin ich aber gar nicht gesichert vor Hackerangriffen oder ähnlichem. Aus dieser Not heraus, die wir bei den Kunden gesehen haben, haben wir dann die Sichere Praxis-IT gegründet und haben knapp über 1000 Kunden in einem Jahr mit einer leistungsstarken Hardware-Firewall ausgestattet. Durch die bald darauf veröffentlichte KBV IT-Sicherheitsrichtlinie hat das Ganze dann auch einen Rahmen bekommen, sodass wir unser Produkt dann erweitert haben: Von der klassischen Hardware-Firewall, die wir zu Anfang angeboten haben, zu einem Sorglospaket, welches dann auch die entsprechenden KBV IT-Sicherheitspunkte erfüllt. Das Ganze machen wir als “Managed Service”. Das heißt wir kümmern uns ganzheitlich um dieses Produkt. Wir stellen also nicht nur eine Hard- und eine Software hin, sondern wir sorgen auch dafür, dass der Betrieb, die Wartung und der Support im Nachgang sauber durchgeführt wird und hier eine proaktive Zusammenarbeit zwischen dem Kunden und uns letztendlich etabliert wird, sodass z.B. ein Virenscanner, der abläuft, weil die Lizenz fällig wird und beim Kunden vielleicht nicht bemerkt wird, da übernehmen wir dann das Monitoring auch mit unseren Produkten dahinter und sorgen dafür, dass diese Produkte fortan laufen und für die Praxis auch auf dem aktuellen Stand gehalten werden. 

KBV IT-Sicherheitsrichtlinie - Was ist das?

Joyce: 

Wie man merkt auf jeden Fall ein Rundum-Sorglospaket! Auf eurer Homepage konnte ich das Zitat finden: “Die IT-Sicherheitsrichtlinien der KBV und die Telematikinfrastruktur sorgen für Handlungsbedarf.” Was genau besagt denn überhaupt die KBV IT-Sicherheitsrichtlinie und worauf sollte ich als Praxisinhaber:in unbedingt achten? 

Malte: 

Fangen wir erstmal an bei der KBV bzw. KZBV - also die beiden kassenärztlichen Bundesvereinigungen, die eine für die Vertragsärzt:innen und die andere für die Zahnärzt:innen. Die haben sich zusammengesetzt und haben den Gesetzgeber beauftragt eine IT-Sicherheitsanforderung für die Arztpraxen festzulegen. Die Anforderungen hat sich die KBV dann auch nicht selber überlegt, sondern sie haben sich auf den BSI-Grundschutz - die Anforderungen von der Bundesärztekammer - und auf die DSGVO gestützt, so dass hier also die technischen Möglichkeiten für die Vertragsärzt:innen angepasst worden sind, also dass das Ganze verhältnismäßig für eine Arztpraxis auch umsetzbar ist am Ende. Im Grunde handelt es sich um eine reduzierte Mindestanforderung, die dem Stand der Technik entspricht. Also bei einem Gefährdungspotenzial, was sich vielleicht am Markt verändert durch aktuelle Bedrohungen, wie wir es jetzt auch gerade mit der Ukraine merken, kann dann reagiert werden und diese 34 Richtlinienpunkte können dann auch entsprechend schnell angepasst werden, sodass ein störungsfreier IT-Betrieb im Grunde gewährleistet werden soll. Hier stehen im Vordergrund die Verfügbarkeit, die Integrität und die Vertraulichkeit der Daten. Wir reden hier über Patientendaten und die sind sehr, sehr sicher abzusichern und auch zu verwalten und das Risiko hier einen Datenverlust oder Betriebsausfall zu erleiden, soll durch diese Richtlinienpunkte minimiert werden.  

Das ist erstmal das Bestreben der Richtlinie und damit die Praxisinhaber:innen jetzt kein zweites Studium absolvieren müssen und sich dann noch mit den ganzen Richtlinien auch in Bezug auf die Telematik beschäftigen müssen, haben wir diese Anforderungen letztendlich gebündelt in unseren Produkten und konzentrieren uns dabei letztendlich auf die Datensicherung und die Datensicherheit der Patientendaten. Die können durch zertifizierte Dienstleister umgesetzt werden, also die KBV hat eine gewisse Zertifizierung auferlegt, so dass sich Dienstleister hier zertifizieren müssen. Im Grunde genommen ist es so, dass eine Praxis sich dann einen Dienstleister am Markt suchen kann, der zertifiziert ist, der auch diese Richtlinienpunkte gemäß der KBV umsetzen darf und soll. Da muss man auch ein bisschen schauen, es gibt halt viele Marktbegleiter, die also auch All in One Pakete anbieten oder Sorglospakete - so ähnlich wie wir es auch tun. Aber da ist halt darauf zu achten, dass diese Pakete auch wirklich vollständig sind und unser Ansatz ist hier wirklich: Keine versteckten Kosten für die Praxis, sondern ein offenes und ehrliches Produkt, was auch immer den Stand dieser 34 KBV-Richtlinienpunkte abdeckt. Da muss man auch darauf achten, weil bei vielen anderen Anbietern kommt dennoch irgendwie noch ein Paket dazu oder man muss auch was dazu buchen, wenn ich entsprechende Leistungen dann doch in Anspruch nehmen möchte und das ist bei uns wirklich gebündelt, sodass die Praxis sicher ist, dass sie da auch immer das bekommt, was sie letztendlich benötigt. Uns ist ganz wichtig, dass die Produkte aus Deutschland kommen, sowohl die Hard- als auch die Softwarekomponenten und hier letztendlich keinen Zugang durch Hintertüren offenlässt.

Was ist für die IT-Sicherheit deiner Praxis wichtig?

Joyce: 

Die Frage, die man sich natürlich jetzt stellt, ist: Wie genau kann man denn seine Praxis absichern und was macht überhaupt eine sichere Umgebung aus?  

Malte: 

Das müssen wir etwas gliedern in unterschiedliche Ebenen. Wir fangen an mit der Netzwerkebene, also das was physikalisch im Netzwerk notwendig ist, um ein Netzwerk abzusichern und da ist das Minimum eine Hardware-Firewall, die sicherstellt, dass der Datenverkehr, der rein und raus geht, auch entsprechend konform ist und zum Beispiel kein Schadcode enthält.  

Das zweite ist, dass wir auf der Softwareebene dafür sorgen, dass zum Beispiel ein Virenscanner installiert ist, dass eine Datensicherung funktioniert - auch eine moderne Datensicherung, nicht eine Sicherung die irgendwo auf einem USB-Stick läuft - sondern eine moderne Sicherung, die dann auch automatisiert funktioniert, sodass auch hier die Praxis sich nicht weiter darum kümmern muss und wir hier auch proaktiv unterwegs sind wieder an der Stelle. Also um diese ganzen Themen kümmern wir uns natürlich, aber da muss man sich letztendlich dann darum kümmern, dass die Softwarekomponenten einfach auf dem aktuellen Stand sind: Festplattenverschlüsselung, die eben angesprochene Datensicherung, Virenscanner und weitere Softwarekomponenten.  

Also die Hardware und die Softwareebene und dann kommt die dritte Ebene dazu, wo wir über organisatorische Maßnahmen sprechen, das bedeutet: Wir haben hier an der Stelle eine Richtlinie, die auch viele Themen beinhaltet, wo wir zum Beispiel gar nichts technisches lösen können, sondern wir können hier gute Praxisempfehlungen abgeben, Leitlinien abgeben. Ein Beispiel: Was mache ich beim Verlust meines Mobiltelefons? Ich muss den SIM-Kartenhersteller und meinen Provider informieren, dass die SIM-Karte gesperrt wird. Ich muss vielleicht das Gerät bei Apple melden, dass es gesperrt wird oder ähnliche Maßnahmen - die können wir dann entsprechend schulen und vermitteln und das tun wir an der Stelle dann auch und deshalb ist es wichtig, dass man trotzdem auch die nicht technisch lösbaren Maßnahmen an der Stelle mitbegleitet und umsetzt. Damit erreichen wir 99 Prozent, wie wir so schön sagen. Das heißt mit den 34 Richtlinienpunkten kann man ganz viel lösen, aber eben keine 100 Prozent und die 100 Prozent sind einfach in der Natur der Technik, das heißt: Es können technische Fehler passieren, Sicherheitslücken können aufgedeckt werden, wir können aber auch zum Beispiel Fehler machen bei unserer Arbeit oder auch jemand anderes kann zum Beispiel einen Arbeitsfehler machen und dadurch einen Verlust der Daten herbeiführen oder doch eine Bedrohung sich einfangen. Dann sind wir bei den restlichen 1 Prozent, die eine Praxis dann letztendlich immer noch übrig hat und um dann sein Restrisiko zu minimieren, empfehlen wir eine Cyber-Risk-Versicherung, damit wir hier also ein Restrisiko auch dann auf finanzieller Ebene oder auf einem finanziellen Schaden reduzieren können. Dann sind wir bei unseren 100 Prozent, die man abdecken kann. Zu guter Letzt sollte man halt schauen, dass man nicht mit drei oder zwei Dienstleistern zusammenarbeitet, sondern sich bei diesen Kernthemen rund um die KBV IT-Sicherheitsrichtlinie auf einen Anbieter konzentriert, weil viele Köche verderben den Brei und genau das ist die Empfehlung. 

Welche Konsequenzen können für dich entstehen?

Joyce: 

Jetzt vielleicht auch noch mal andersrum gefragt: Welche Konsequenzen kann es denn haben, wenn ich mich nicht an die KBV IT-Sicherheitsrichtlinien halte? Welche Nachteile ergeben sich denn hier für mich als Praxisinhaber:in? 

Malte: 

Wir reden von einer Richtlinie - das heißt: Es ist einfach eine Richtlinie, wie es im Gesetz geschrieben steht. Das heißt: Ich kann mich danach richten, aber es auch sein lassen. Aber ganz klar ist, dass die Punkte wichtig sind umzusetzen. Jeder Geschäftstreibende in Deutschland sollte diese BSI-Anforderungen im Endeffekt erfüllen. Wie vorhin schon gesagt, ist es ja auch durchaus so, dass wir als Patient:innen in der Praxis immer mehr Daten lassen. Wir geben also unser Vertrauen auch einer Arztpraxis und aus der Perspektive heraus, sollte ich als Praxisinhaber:in natürlich auch dieser Anforderung gerecht werden, dieses Vertrauen bzw. diesen Vertrauensvorschuss, den ich vom Patienten bekomme, auch zu erfüllen. Die Patienten sind durch die mediale Bespielung in den letzten Jahren und Monaten auch natürlich sensibilisiert. Die DSGVO - alle wissen mittlerweile, wie das ganze Thema rund um die Datensicherheit und den Datenschutz auch bestellt ist und worauf zu achten ist, zumindestens rudimentär. Die Bedrohung, was Cyberkriminalität angeht, wird immer größer und man muss sich entsprechend schützen. Vor einigen Wochen haben wir auch folgendes erlebt: Eine Arztpraxis wurde befallen von einem Crypto-Trojaner. Der Kunde kam dann zu uns und hat uns gefragt, ob wir ihm helfen können. Das haben wir dann auch getan, aber die Praxis stand erstmal drei Wochen still, weil einfach alles verschlüsselt war, die Datensicherung inklusive mitbefangen war und eine Wiederherstellung und der schnelle Anlauf der Praxis einfach schwierig war. Da reden wir dann wieder von dem Vertrauensvorschuss, den wir bekommen haben, man kann sich vorstellen, wenn so eine Praxis dann von sowas befallen ist und vielleicht für drei Wochen schließen musste, dann ist der Vertrauensvorsprung hin und auch durchaus wirtschaftlich schwierig für eine Praxis. Deshalb ist das Thema einfach wichtig hier auch umzusetzen, was der Gesetzgeber bzw. die KBV hier vorgibt und das zählt natürlich auch für sonstige Leistungserbringer in dem Bereich. Wir sind jetzt hier bei der KBV, aber das gilt trotzdem auch für alle anderen Berufsgruppen im medizinischen Umfeld insbesondere aus unserer Sicht. 

Dienstleister-Auswahl: Worauf solltest du achten?

Joyce: 

Euer Unternehmen Sichere Praxis-IT ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als IT-Grundschutz-Praktiker zertifiziert. Was unterscheidet euch von anderen Anbietern in der Branche und worauf sollte ich achten, wenn ich mich für einen Anbieter entscheide? 

Malte: 

Wir selbst arbeiten zu 100 Prozent nach dem Standard IT-Security made in Germany, dessen haben wir uns verschrieben und dementsprechend bilden wir auch die Partnerschaften für unsere Produkte rund um diese Leitlinie sozusagen, sodass wir sagen, wir liefern backdoor-freie Security, backdoor-freie Firewalls. Backdoor-frei bedeutet, es gibt keine Hintertürchen in den Produkten, wo ein Hersteller aus Gesetzesgründen oder ähnliches nochmal dann in Netzwerke eindringen kann oder ähnliches. Das gibt zum Beispiel aus dem PATRIOT Act aus den USA, was zu 9/11 dann verabschiedet worden ist: da sind amerikanische Hersteller dazu verpflichtet, solche Themen mitzuimplementieren. Deshalb 100 % IT-Security made in Germany.  

Wichtig ist, dass wir in Bezug auf die Firewall nochmal erwähnen, dass nicht jede Firewall gleich ist. Viele Firewalls sind in Routern integriert und bilden also noch nicht mal den Basis- oder Standardanforderungen des BSI ab, sodass hier also ein erhöhter Schutzbedarf für die Daten besteht und hier lediglich ein Paketfilter aktiv ist. Was aber benötigt wird, ist ein Anwendungsfilter - ein Filter, der auf Anwendungebene agiert, sodass auch das Netzwerk tatsächlich abgesichert wird und wir hier also dann auch ein hochwertigeres Gerät benötigen und da gibt es am Markt auch preisliche Unterschiede von Dienstleistern - nicht alles was günstig ist, ist an der Stelle natürlich auch gut. Insofern versuchen wir aber auch mit unseren Produkten einen marktgerechten Preis für eine Praxis herauszugeben, damit wir auch unseren Job machen können und das auch ruhigen Gewissens dann auch mit sehr guten Produkten mit dem Thema IT-Security made in Germany machen können. 

Zu guter letzt haben wir dann natürlich die Herstellerunabhängigkeit von uns. Das heißt: Wir sind hier völlig herstellerunabhängig, was unsere Themen angeht. Wir agieren hier mit marktführenden Unternehmen und als Backup haben wir im Hintergrund noch die beiden Systemhäuser von uns, die uns dann im Zweifel auch zur Seite stehen, wenn wir zum Beispiel Engpässe oder ähnliches haben. Das Ganze mit 20 Jahren Berufserfahrung, die wir mitbringen und die SL.IS ist jetzt neu am Markt, aber schon etabliert. Insofern freuen wir uns auch da über die vielen zufriedenen Kunden, die mit uns dann die KBV IT-Sicherheitsrichtlinie bereits umgesetzt haben und das immer zu 100 Prozent als managed Services, weil wir wollen, dass die Praxis sich auf die Gesundheit der Patienten konzentriert. Wir machen dafür den Part der IT-Sicherheit. 

Joyce: 

Vielen, vielen Dank für das Interview und die ganzen Informationen rund um das Thema IT-Sicherheit für Praxen. 

Hast du dich selber schon mit dem Thema auseinandergesetzt oder brauchst du eventuell Hilfe bei der Umsetzung? Dann wende dich doch gerne an die Sichere-Praxis IT und lass dich beraten!