Wie Zahnarztpraxen sich vor Cyberangriffen schützen

Zahnarztpraxen gelten nicht als klassische Ziele von Hackerangriffen. Dennoch sind sie gefährdet. Denn viele Angriffe erfolgen breit angelegt: Kriminelle versenden hunderttausende E-Mails mit unspezifischer Schadsoftware. Ein unbedachter Klick genügt. Schon installiert eine Schadsoftware unbemerkt Programme, verschlüsselt Daten oder kopiert Informationen. Ob Einzelpraxis, Gemeinschaftspraxis oder Zahnarztzentrum: Die Grösse des Betriebs spielt keine Rolle. Alle können Opfer werden, vor allem dann, wenn grundlegende Schutzmassnahmen fehlen. 

Viele Praxisinhaberinnen und Praxisinhaber sind sich dieser Risiken zu wenig bewusst. Dabei verarbeiten Zahnarztpraxen täglich hochsensible Informationen: Patientendaten mit gesundheitsbezogenen Inhalten. Sie gelten nach Schweizer Datenschutzgesetz als besonders schützenswert. Das Gesetz verlangt, dass Zahnarztpraxen sie angemessen schützen. Wer dagegen verstösst, dem drohen Anzeigen, Schadenersatzforderungen oder – noch gravierender– ein Vertrauensverlust bei den Patienten. Gerade für kleinere Praxen kann dies in ihrer Existenz bedrohen. 

Typische Angriffsszenarien 

Welche Art von Cyberangriffe können Zahnarztpraxen treffen? Max Klaus, stellvertretender Medien- und Informationsverantwortlicher des Bundesamtes für Cybersicherheit (BACS), nennt drei wahrscheinliche Szenarien: Ransomware-Angriffe, Phishing-E-Mails und DDoS-Angriffe. Ransomware-Angriffe sind für Zahnarztpraxen besonders problematisch. Denn dabei werden Daten gestohlen und verschlüsselt. Solche Angriffe können Teile oder gar die gesamte IT-Infrastruktur betreffen. Betroffene Praxen sind für Tage lahmgelegt. Ohne Entschlüsselungscode haben sie keinen Zugriff mehr auf Patientendossiers, Rechnungen oder Dokumente. Die Täter fordern für die Datenfreigabe ein Lösegeld, oft in Kryptowährungen. Bei Nichtzahlung drohen sie, die gestohlenen Daten im Darknet zu veröffentlichen. Aber selbst wenn Zahnarztpraxen Lösegeld zahlen, haben sie keine Garantie, dass sich die betroffene Infrastruktur wiederherstellen lässt. Das BACS rät dringend von Lösegeldzahlungen ab. Zudem droht, so Max Klaus, weiteres Ungemach: «Diebstähle von Patientendaten, so genannte Informationsdiebstähle, sind nicht nur mit einem Reputationsschäden für die betroffene Praxis verbunden, sondern auch mit erheblichen Datenschutzverletzungen.» 

Wo die Praxis angreifbar ist

Technik allein reicht nicht zum Schutz. Das zeigen viele erfolgreiche Cyberangriffe. Die grössten Sicherheitslücken entstehen in KMU – dazu zählen auch Zahnarztpraxen – oft durch menschliches Verhalten oder organisatorische Versäumnisse. Regelmässige Updates werden vergessen. Passwörter sind zu einfach oder werden mehrfach verwendet. Die Zuständigkeiten und Aufgaben rund um die IT-Infrastruktur des Betriebs sind wenig definiert. Praxismitarbeitende erhalten keine regelmässige Schulung. «Es fehlt an grundsätzlicher Sensibilisierung für die Thematik», fasst Max Klaus die Situation zusammen. Ein besonderes Risiko sind Geräte, die mit dem Internet verbunden sind – sogenannte IoT-Geräte (Internet of Things). Dazu gehören Behandlungseinheiten, Scanner, Kameras oder Lampen. Viele dieser Geräte werden mit Standardpasswörtern geschützt. Diese Passwörter sind häufig in der Betriebsanleitung vermerkt, die sich online abrufen lässt. Ein einzelnes ungeschütztes Gerät kann als Einfallstor dienen. Auch die Geschäftsbeziehungen mit externen Dienstleistern und Zulieferern bergen Risiken. 

Sicherheitsmassnahmen lassen sich sofort umsetzen 

Viele präventive Massnahmen lassen sich organisatorisch und technisch einfach und rasch umsetzen. Max Klaus rät zu folgenden Massnahmen: «Jede Praxis sollte sicherstellen, dass der Grundschutz umgesetzt ist, wie beispielsweise Geräte und Systeme stets auf dem neusten Stand halten. Sicherheitsupdates sind konsequent zu installieren. Eine Zwei-Faktor-Authentifizierung gehört heute ebenfalls zum Standard – gerade für Zahnarztpraxen, die immer auch sensible Daten verarbeiten und verwalten». Ein weiterer Punkt betrifft die Datensicherung. Viele Praxen sichern ihre Daten, aber nur unregelmässig, lokal oder die Backups werden nicht gänzlich vom System getrennt. Weiter sind die erstellten Backups systematisch zu testen. Grundsätzlich gilt: Cybersicherheit betrifft nicht nur die IT-Abteilung, sondern ist Chefsache. Die Verantwortung liegt beim praxisführenden Zahnarzt oder bei der praxisführenden Zahnärztin. Kontinuierliche Sensibilisierung des Teams ist entscheidend. Es braucht keine komplexen Schulungen, regelmässige kurze Updates an Teammeetings genügen. Max Klaus empfiehlt, Zuständigkeiten und Abläufe in einem Notfallkonzept festzuhalten. Wer meldet was an wen? Was tun wir, wenn Systeme ausfallen? Wie lange dauert es, bis wir wieder arbeitsfähig sind? Das Konzept hilft, auch unter Druck Ruhe zu bewahren und schützt vor Fehlentscheiden.