Wenn Zahnärzte die Zähne zusammenbeißen- müssen.

Kürzlich haben wir über das jüngste EuGH-Urteil und dessen Bedeutung für Arztpraxen im Bezug auf DSGVO-Verstöße und damit verbundene Schmerzensgeldforderungen berichtet. Das tut beiden Seiten weh. Sehen wir uns deshalb einmal detailliert an wie es zu solchen fatalen Angriffen auf Zahnarztpraxen kommen kann, betrachten die Digitalisierung im Praxisalltag und analysieren mit einschlägigen Fallberichten typische Schwachstellen und Abläufe von Hackerangriffen.

Die Digitalisierung in deutschen Zahnarztpraxen- markiert durch Fortschritte wie das elektronische Beantragungs- und Genehmigungsverfahren (EBZ)- zeigt deutlich, wie technologischer Fortschritt den Praxisalltag effizienter gestalten kann. Durch die Einführung von digitalen Verfahren werden nicht nur der Informationsaustausch mit Krankenkassen beschleunigt, sondern auch die Patientenversorgung verbessert. 

Digitalisierung in der Arztpraxis

Nehmen wir also einmal die Digitalisierungsprozesse in Arztpraxen genauer unter die Lupe. Hierbei soll besonderes Augenmerk auf die Zunahme digitaler Anwendungen und deren Akzeptanz gerichtet werden. Während die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) auf einem hohen Niveau verweilt (92%) und sich die Nutzung des eRezepts binnen Jahresfrist von 14% (2022) auf 28% (2023) verdoppelt hat, verläuft die Einbindung von elektronischem Medikationsplan (eMP) und elektronischer Patientenakte (ePA) eher schleppend. Der Anteil der Praxen, die angeben "nichts davon" zu nutzen, ist sogar von rund 27% auf 35% gestiegen. 

Die Frage ist demnach: was läuft schief bzw. weshalb nimmt die Anzahl verfügbarer digitaler Anwendungen zu, nicht aber deren Akzeptanz unter den anwendenden Praxen? Ein großer Faktor, wie sich zeigt, ist hierbei die allgemeine Unzufriedenheit in puncto Umsetzung und Zuverlässigkeit:

So zeigt sich, dass selbst mit der am weitesten verbreitenden Anwendung (eAU) gerade einmal 50% der Anwenderinnen zufrieden sind, unter ihnen lediglich 20% "sehr zufrieden".
In der folgenden Grafik offenbart sich auch der Grund hierfür: 85% geben an, dass das Praxisteam durch die eAU nicht entlastet werde und genauso gestresst sei wie vor deren Einführung. Verwundert das, wenn noch immer mehr als die Hälfte der eAU ausgedruckt werden und 61% der Befragten Probleme mit der TI dafür verantwortlich machen?

Das ist nicht gerade ruhmreich und mit hoher Wahrscheinlichkeit auch durch die starke Fehleranfälligkeit zu erklären: 

Wenn mehr als die Hälfte der befragten Praxen über mindestens wöchentlich vorkommende Probleme mit der TI klagen, ist eine zögerliche bis ablehnende Grundhaltung nicht verwunderlich. So landet die Fehleranfälligkeit unter den Top drei der Hemmnisse der Digitalisierung. 

"Für die Expertin [Iris Schluckebier] ein Zeichen, dass Digitalisierungsmaßnahmen oftmals vorschnell eingeführt werden: „Digitalisierung darf nicht aufgezwungen werden“, gibt sie zu bedenken. „Tools müssen zur Praxissoftware und zu den eigenen Prozessen und Strukturen passen.“ (Digitalisierung geht nicht nebenbei)

Schwachstellen der TI

Störungen, ablaufende Zertifikate und die Notwendigkeit, Geräte regelmäßig zu aktualisieren, sind nur einige der Probleme, die Zahnarztpraxen im Rahmen der Digitalisierung bewältigen müssen. 

"Mit zunehmender Nutzung der digitalen Möglichkeiten nehmen aber offenbar auch die Fehler zu. Das frustriert Ärzte immer öfter. Fast 40 % der Befragten geben an, wöchentlich technische Probleme zu haben, 29 % erleben sie sogar täglich. Das sind fast doppelt so viele wie beim Praxisbarometer Digitalisierung vor 2 Jahren." PKV-Institut

Verwundbarkeit

Erinnern wir uns an den Hackerangriff auf die Uniklinik Düsseldorf, bei dem 2020 alle Server lahmgelegt worden sind und keine Operationen stattfinden konnten. In der Folge mussten auch Rettungswagen umgeleitet werden, wodurch möglicherweise ein Mensch entscheidende Zeit und letztlich sein Leben verlor. Damals erklärte der SPD-Abgeordnete Dietmar Bell:

„Hintergrund ist die problematische Sicherheitskultur in Krankenhäusern, die häufig eher unstrukturiert entstandene IT-Landschaft mit mannigfachen Anwendungen mit vernetzbaren IT und Medizingeräten mit unterschiedlichen Sicherheitsstandards .“

Gehen wir also von einem Rüstungswettlauf zwischen Hackern und Unternehmen aus, fragen wir uns: wo stehen hier eigentlich Zahnarztpraxen? Sind sie als Ziel nicht viel zu klein und trifft es sie ohnehin nicht?

Too small to fail?

Bildquelle: https://www.gdv.de/resource/blob/48328/ae262d6702e2d9f5446c780a22450d23/branchenreport-cyberrisiken-bei-aerzten-und-apothekern-data.pdf

Während ungefähr die Hälfte der befragten Arztpraxen und Apotheken angibt, das Risiko für eine Cyberattacke auf die Branche als hoch bzw. sehr hoch einzuschätzen, glauben jedoch mehr als drei Viertel von ihnen nicht, dass es sie selbst treffen würde.
Zum einen geben die befragten Betriebe an, sie würden sich als "nicht lukrativ für Angreifer" betrachten und dabei erachten 80% von ihnen sich und ihre IT-Systeme ganz nebenbei noch als gut geschützt. 

"Gerade den letzten Punkt widerlegte die GDV (Gesamtverband der deutschen Versicherungswirtschaft) umgehend:
Für ihren Report ließ sie einen Cyberexperten in einer Stichprobe die IT-Sicherheit von 25 Praxen prüfen. 22 der 25 Praxen konnte er innerhalb kürzester Zeit kompromittieren, nur eine hatte einen funktionierenden Notfallplan. Auch die Argumente „zu uninteressant“ und „zu klein“ ziehen leider nicht. Zahnarzt- und Arztpraxen sind schon wegen der Patientendaten, die sich ansammeln, ein äußerst attraktives Ziel." (aus: "Warum Hacker zu gerne auf den Kleinen Rumhacken, Jan Siol, AUXMED, in: Der freie Zahnarzt 03/2022, S. 29.)

Auch Rechtsanwalt Dr. Tobias Witte bekräftigt gegenüber ZWP-Online:

"Es kann jede Zahnarztpraxis treffen!" 

Ähnlich äußerte sich auch BKA-Präsident Holger Münch gegenüber der Funke Mediengruppe und warnt vor vermehrten Angriffe auf Arzt-und Zahnarztpraxen:

„Die Bedrohung durch Cybercrime steigt seit Jahren und verursacht teils massive wirtschaftliche und gesellschaftliche Schäden“

Schlagen wir also von hier aus die Brücke und sehen uns anhand konkreter Fallbeispiele die Folgen von Cyberangriffen auf Zahnarztpraxen einmal genauer an:

Fallberichte

WIESBADEN: Dr. Michael Kann: "Ich bin niedergelassener Zahnarzt in Wiesbaden. Ende vergangenen Jahres ist mir der Super-GAU passiert: Mein Praxiscomputer wurde gehackt, alle Patienten- und Abrechnungsdaten waren mit einem Mal weg. Ich wurde erpresst"
(zm 04/2018)

Dieser Fall trug sich 2018 in einer erst kürzlich übernommenen Praxis zu, deren Zahnärzteteam aus vier Behandlern besteht und 1000 Scheine im Quartal hat. Eines Morgens betrat Herr Dr. Kann seine Praxis und seine Mitarbeiter teilten ihm mit, dass die Praxis-Software weg sei.
Alle, wirklich alle Daten waren verschwunden und es fanden sich nur noch nichtssagende Dateiendungen und eine Textdatei mit einer Anleitung, wie der Kontakt zu den Erpressern bezüglich einer Lösegeldzahlung hergestellt werden konnte. 

Wir erkennen sofort: Hier handelt es sich um einen sogenannten Ransomware-Angriff, eine Schadsoftware, die Daten abgreift und/oder verschlüsselt und die in verschiedene Erpressungsversuche mündet: Geld gegen Rückerlangung der Daten. Geld, sonst droht die Veröffentlichung abgezogener (hier sensibler Patienten-)Daten. Oftmals auch beides.
Mitunter wird auch noch eine Anzeige bei der zuständigen Datenschutzbehörde angedroht. 

Gegen eine Bitcoinzahlung i.H.v ca. 4500€ sollte Dr. Kann den Zugang zu seinen verschlüsselten Daten zurückbekommen. Er bezahlte das Geld und bekam: nichts. Die Erpresser verlangten eine weitere Zahlung, auf die Dr. Kann nicht einging. Seine Daten konnten- ein Glücksfall- aus einem Backup wiederhergestellt werden. Doch selbst, wenn das gelingt, bleibt in einem solchen Fall immer die Frage bestehen: hatten die Angreifer Zugriff auf die Patienten-und Geschäftsdaten? Und existieren diese nun in Kopie und könnten jederzeit veröffentlicht oder für weitere Erpressungen eingesetzt werden? 

DÜSSELDORF: Der Zahnärzteverbund "Pluszahnärzte" mit drei Niederlassungen in Düsseldorf twittert 2021 in einer Mitteilung an ihre Patienten: 

"Sehr geehrte Patientinnen und Patienten,

durch einen Angriff auf die Server des „die Pluszahnärzte"-Netzwerks und den damit verbundenen Unternehmen, haben wir derzeit keinen Zugriff auf unsere Patientendaten und weitere IT-Systeme. Auch die E-Mail-Kommunikation ist davon beeinträchtigt.

Wir arbeiten intensiv mit externen Spezialisten zusammen, um den Zugriff auf unsere Daten schnellstmöglich wiederherzustellen. Ebenso haben wir die zuständigen Behörden informiert und stehen mit diesen im engen Austausch. [...]

Selbstverständlich bleiben Ihre Rechte zum Datenschutz durch diesen Vorfall unberührt. Nähere Informationen zum Datenschutz bei „die Pluszahnärzte" finden Sie [...]"

Auch dieser Vorgang erinnert an den Fall von Wiesbaden und liest sich wie der klassische Beginn einer erpresserischen Ransomware-Attacke, bei der die Systeme erst gegen Bezahlung wieder freigegeben werden- wenn man Glück hat. Ob davon Patientendaten betroffen sind oder nicht: dies zu klären, bleibt Aufgabe der IT-Forensik. Wenn es sich überhaupt mit Gewissheit feststellen lässt.

KEVELAER: Auch hier kam 2016 ein Zahnarzt in seine Praxis und fand sämtliche Daten verschlüsselt vor. Kein Zugriff. Stattdessen die Mitteilung , es solle ein vierstelliger Betrag gezahlt werden, wenn die Daten wieder freigegeben werden sollen. Auch hier wieder eine erpresserische Ransomware-Attacke. Der betroffene Zahnarzt schaltete die Polizei und eine Fachfirma ein, ging auf die Lösegeldforderung nicht ein. Ob und wie er die Daten zurückerhielt, ist in diesem Fall leider unbekannt. 

Schauen wir auch einmal über den deutschen Tellerrand hinaus und vergrößern die Skala:

WISCONSIN, USA: 2019 legte ein Ransomware-Angriff hunderte US-Zahnarztpraxen lahm, weil er auf zwei Unternehmen abzielte, die Dienstleistungen für Zahnärzte anbieten. In diesem Fall wurden die Praxissysteme und Patientendaten aller angebundenen Praxen verschlüsselt. Drei Tage lang funktionierte kein Gerät mehr und es konnte keine einzige Behandlung erfolgen. Der Fall erinnert in seiner Dynamik und Tragweite damit an die gehackten Gemeinden, die an die Südwestfalen-IT (SIT) angebunden sind. Im vorliegenden fall berichteten US-Medien hierzu, dass die betroffenen Unternehmen das geforderte Lösegeld gezahlt hätten, um die Daten zurückzuerlangen. Die Unternehmen äußerten sich selbst hierzu jedoch nicht.
Ransomware-Angriffe wie dieser sind in den USA eine ständig zunehmende Bedrohung, tragen jedoch auch in Deutschland inzwischen zu einem durch Cybercrime entstandenen wirtschaftlichen Gesamtschaden von über 200 Mrd. € jährlich bei.

Welcher Schaden entsteht?

Bildquelle: https://www.gdv.de/resource/blob/48328/ae262d6702e2d9f5446c780a22450d23/branchenreport-cyberrisiken-bei-aerzten-und-apothekern-data.pdf

Diese Grafik des Gesamtverbands der deutschen Versicherungswirtschaft veranschaulicht sehr schön (natürlich aus Versicherersicht) den üblichen Ablauf eines Datendiebstahls bzw. einer Ransomware-Attacke und schlüsselt die damit i.d.R. verbundenen Kosten auf. Hierbei sind individuell stark unterschiedliche Posten wie Vertrauensverlust und in der Folge Umsatzrückgang nicht einkalkuliert. Wichtig ist zu wissen: eine Cyberversicherung greift nur dann, wenn zuvor entsprechend und nachweislich in einen ausreichenden Schutz investiert worden ist. 

Sprechen wir über Schutz:
Schwachstellen und Anforderungen

Hierzu gibt es zunächst folgendes zu wissen: 

"Mit dem Digitale-Versorgung-Gesetz (DVG) will die Bundesregierung den Digitalisierungsprozess im Gesundheitswesen weiter vorantreiben und legt Anforderungen und Konkretisierungen für die digitale Zukunft in Praxen fest. Mit dem DVG hat der Gesetzgeber die KZBV und die Kassenärztliche Bundesvereinigung (KBV) be­auftragt, die IT-Sicherheitsanforderungen für Zahnarzt- und Arztpraxen verbindlich in einer IT-Sicherheitsrichtlinie festzulegen. Die Richtlinie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und muss nach dem Willen des Gesetzgebers jährlich aktualisiert werden. Die KZBV hat sich bei der Erstellung der Richtlinie dafür eingesetzt, dass die gesetzlichen Vorgaben für Zahnarztpraxen mit vernünftigem und vertretbarem Aufwand umsetzbar sind und die Anforderungen auf das tatsächlich notwendige Maß konzentriert wurden." (Quelle: KZBV)

Die Anforderungskataloge finden Sie hier und hier. 

Was sind laut GDV die gravierendsten Schwachstellen im Praxisbetrieb?

Bildquelle: https://www.gdv.de/resource/blob/48328/ae262d6702e2d9f5446c780a22450d23/branchenreport-cyberrisiken-bei-aerzten-und-apothekern-data.pdf

Bildquelle: https://www.gdv.de/resource/blob/48328/ae262d6702e2d9f5446c780a22450d23/branchenreport-cyberrisiken-bei-aerzten-und-apothekern-data.pdf

Bildquelle: https://www.gdv.de/resource/blob/48328/ae262d6702e2d9f5446c780a22450d23/branchenreport-cyberrisiken-bei-aerzten-und-apothekern-data.pdf

Bildquelle: https://www.gdv.de/resource/blob/48328/ae262d6702e2d9f5446c780a22450d23/branchenreport-cyberrisiken-bei-aerzten-und-apothekern-data.pdf

Gegenmaßnahmen

Für mehr IT-Sicherheit in Arztpraxen, besonders in Zahnarztpraxen, sind folgende Gegenmaßnahmen effektiv:

1. Regelmäßige Sicherheitsaudits und Risikoanalysen: Identifizierung und Behebung von Schwachstellen.
2. Mitarbeiterschulungen: Sensibilisierung für Cybersicherheitsrisiken und Phishing-Angriffe.
3. Aktualisierung und Patch-Management: Sicherstellen, dass alle Systeme und Anwendungen auf dem neuesten Stand sind.
4. Datensicherung und Notfallpläne: Regelmäßige Backups und klare Pläne für den Fall eines Cyberangriffs.
5. Mehrstufige Authentifizierung: Einsatz starker Passwörter und zusätzlicher Authentifizierungsmethoden zur Zugangssicherung.

Wenn Sie in eine starke IT-Sicherheit investieren oder sich beraten lassen möchten, wenden Sie sich gerne jederzeit über das Kontaktaufnahmeformular, Anruf oder Social-Media-Kanäle bei uns!

Wenn Sie weiterlesen möchten: 

https://www.gdv.de/resource/blob/48328/ae262d6702e2d9f5446c780a22450d23/branchenreport-cyberrisiken-bei-aerzten-und-apothekern-data.pdf

https://www.pkv-institut.de/magazin/artikel/aerzteschaft-tritt-bei-der-digitalisierung-auf-die-bremse

https://www.zm-online.de/artikel/2019/behandeln-im-heim/hacker-verschluesseln-patientendaten-von-400-zahnarztpraxen

https://www.borncity.com/blog/2021/12/17/aua-pluszahnrzte-von-cyberangriff-betroffen-dez-2021/

https://www.zwp-online.info/zwpnews/wirtschaft-und-recht/praxismanagement/cyber-attacke-auf-die-praxis-was-nun

https://www.zwp-online.info/zwpnews/wirtschaft-und-recht/praxismanagement/cyberattacken-es-kann-jede-praxis-treffen

https://www.zm-online.de/artikel/2018/cybercrime-ein-betroffener-zahnarzt-berichtet/das-was-ich-durchgemacht-habe-wuensche-ich-niemandem

https://dzw.de/zahnarztpraxen-werden-opfer-von-cyberkriminellen

https://www.deutschlandfunk.de/notaufnahme-geschlossen-der-hackerangriff-auf-die-uniklinik-100.html

https://frag-pip.de/pip-hat-recht/cyberangriff-zahnarztpraxis-schmerzensgeld-nach-dsgvo/

https://dentalwelt.spitta.de/zahnmedizin/digitalisierung-in-deutschen-zahnarztpraxen-nimmt-fahrt-auf/#:~:text=Mit%20dem%20elektronischen%20Beantragungs%2D%20und,Krankenkassen%20und%20wieder%20zur%C3%BCck%20geschaffen.

https://www.zwp-online.info/zwpnews/dental-news/branchenmeldungen/umfrage-zeigt-herausforderungen-fur-arzt-und-zahnarztpraxen

https://www.pkv-institut.de/magazin/artikel/wie-digitalisierung-in-der-arzt-oder-zahnarztpraxis-gelingen-kann

https://www.pkv-institut.de/magazin/artikel/umfrage-zeigt-digitalisierung-in-arztpraxen-nimmt-zu-aber-auch-unzufriedenheit-mit-ti-fehlern

https://www.springermedizin.de/warum-hacker-zu-gerne-auf-den-kleinen-rumhacken/20165774 (benötigt einen Zugang)

https://www.gdv.de/resource/blob/89246/562cfe54b338cf2aacf492cdb7cd87bc/d-factsheet-cybersicherheit-data.pdf

https://www.researchgate.net/publication/377443456_PraxisBarometer_Digitalisierung_2023