IT-Sicherheitsanforderungen in ambulanten Praxen werden steigen
In den verganenen Wochen habe ich meine Kontakte zur KBV intensiviert, um dort ein schärferes Bewusstsein für die Hürden in Datenschutz und IT-Sicherheit ambulanter Praxen zu schärfen.
Ich habe mich auch um eine Brieffreundschaft zum Bundesdatenschutzbeauftragten (BfDI) bemüht. Dieser Kontakt war recht aufschlussreich:
Ich habe in unserem Schriftwechsel angemerkt, dass kein IT-Dienstleister oder Anbieter von Praxissoftware dazu gezwungen wird, ein Qualitätsmanagement zu betreiben oder gar ein Informationssicherheitsmanagement nachweisen zu müssen. Das ist wirklich ein Problem, denn Sie als PraxisinhaberIn haften im Zweifel mit dem Systemanbieter gemeinsam für dessen Fehler (er handelt schließlich nach Ihrer Weisung).
Aus meinen Gesprächen weiß ich nun, dass sowohl KBV als auch der BfDI an einer Verschärfung der IT-Sicherheitsvorgaben arbeiten.
Ziel der Entwicklung wird „Zero Trust“ sein
Unter „Zero Trust“ versteht man ein IT-Sicherheitsmodell in dem kein Netzwerkbereich oder -Element als per se vertrauenswürdig angesehen wird. Durch stetige Überprüfung von Berechtigungen, Zugriffsschutz, Dateiausführung und Trennung von Verantwortung soll eine weitreichende Kontrolle im Netzwerk enstehen.
Das ist gut!
Denn je weniger IT-fachliche Kompetenz bei den Nutzern eines Systems vorhanden ist, desto einfacher müssen Systeme zugreifbar sein.
Ein konkretes Beispiel: Wer es sich nicht zutraut einen Passwortmanager zu verwenden, wird immer auf Kennwörter zurückgreifen die leicht zu erraten sind. Teamaccounts sind unglaublich hilfreich, wenn es darum geht Anmeldungsprozesse zu vereinfachen. Aber Wenn ein Team an der Anmeldung aus 3 MFA besteht, wie wollen Sie als PraxisinhaberIn im Schadenfall nachvollziehen, welche Ihrer Angestellten einen Datensatz gelöscht hat (Schutzziele: Verfügbarkeit und Integrität)?
Mit meinen KlientInnen bereite ich „Zero Trust“ bereits vor.
Das ist eine der letzten Ausbaustufen zur Erfüllung der IT-Sicherheit in unserer gemeinsamen Arbeit. Die Grundsteine lege ich allerdings bereits zu Beginn mit der Priorisierung.
Hier steht das Passwortmanagement in Praxen sehr weit vorn. Es muss eingeführt und anschließend auch gelebt werden. Nach einer „Eingewöhnungsphase“ für die Bedienung können die Systemzugänge schrittweise angepasst werden.