Gefühlt hören wir seit Monaten nicht anderes als Datenschutz, Datenschutz, Datenschutz. Und gefühlt kommt alle paar Wochen ein neuer Skandal oder eine öffentlich gewordene Panne daher. Wenn Sie keine Lust haben, selbst Opfer von Hackern, Phishern und Co. zu werden, sollten Sie diese 6 Tipps von Health Data Protect und NAV-Virchow-Bund beherzigen.
Ein 20-Jähriger hat private Daten von deutschen Politikern, Journalisten, Schauspielern und Sängern über ein mittlerweile gesperrtes Twitter-Konto veröffentlicht. Plötzlich diskutiert die deutsche Öffentlichkeit wieder über Datenschutz. Denn prinzipiell kann ein solches sogenanntes „Doxxing“ jeden treffen. Mit ein paar einfachen Vorsichtsmaßnahmen können Sie aber sich und Ihre Praxis davor schützen.
1. Trennen Sie private und dienstliche Accounts und Passwörtern
Ein Angriff auf Ihre privaten Accounts und die darin enthaltenen Daten ist schlimm genug – ein Angriff auf Ihre Praxis-IT kann Ihren guten Ruf und sogar Ihre wirtschaftliche Existenz bedrohen.
Trennen Sie deshalb diese beiden Domänen strikt. Benutzen Sie unterschiedliche E-Mail-Adressen für private und dienstliche Angelegenheiten. Verwenden Sie unterschiedliche Passwörter. Im Idealfall haben Sie für jeden Account und jeden Service ein anderes Passwort. Mindestens sollten sich aber die Passwörter für den Dienstgebrauch von den privat genutzten unterscheiden.
2. Schützen Sie Ihre E-Mail-Konten durch sichere Passwörter
Ob es sich um einen gezielten Angriff oder eine Trojaner-Infektion mittels Spam-Mails handelt – meistens haben es die Angreifer zuerst auf das E-Mail-Konto des Opfers abgesehen. Dieses ist das Einfallstor für Datenklau im Netz: Hat ein Angreifer erst einmal darauf Zugriff, kann er schnell herausfinden, welche Webdienste und sozialen Netze Sie nutzen und mit wem Sie darüber hinaus kommunizieren. Über die "Passwort vergessen"-Funktion, die von fast allen Anbietern zur Verfügung gestellt wird, kann er sich das Passwort zurücksetzen lassen und so Zugriff erhalten.
Verwenden Sie aus diesem Grund unbedingt ein robustes Passwort für Ihre E-Mailkonten. Es sollte mindestens 12 Zeichen lang sein, zufällig sein und Klein- und Großbuchstaben, Sonderzeichen und Zahlen enthalten. Verwenden Sie keinesfalls Namen, Geburtstage oder ähnliches.
Machen Sie es auch nicht zu einfach, indem Sie bloß einige Buchstaben eines Wortes durch ähnlich aussehende Ziffern ersetzen, also statt „Hase“ nun „H453“ schreiben. Automatisierte Angriffe haben sich auf diesen Trick längst eingestellt. Besser ist es, einen ganzen Satz zugrunde zu legen. Beispiel: „Ich habe meine Praxis in der Kastanienallee 14 in Berlin und gehe mittwochs nie Golfen!“ wird zu „IhmP1dK14i8&gmnG!“ So haben Sie schnell und simpel ein starkes Passwort, das Sie sich trotzdem gut merken können.
3. Halten Sie Passwort-Disziplin ein
Machen Sie auch alle Ihre anderen Passwörter sicherer. Es ist gar nicht unbedingt nötig, alle Logins für alle Accounts zu ändern. Sie sollten aber die wichtigsten davon identifizieren und dafür sorgen, dass Sie für diese besonders interessanten Ziele gute und eindeutige Passwörter verwenden.
Um sich Ihre sicheren Passwörter zu merken, verwenden Sie einen Passwort-Manager (z.B. KeePass) auf dem Desktop und dem Smartphone. Der Passwort-Manager speichert nach Accounts, sortiert Ihre Passwörter und kann sichere Passwörter generieren. Damit nur Sie an Ihre Daten kommen, schützen Sie die Datenbank mit einem Master-Passwort oder legen eine Key-Disk (auf CD oder Diskette) an.
Etwas weniger sicher ist es, sich „Master-Passwörter“ zu merken, an die Sie für jeden Account ein Kürzel anhängen. Wenn z.B. H7tz!67tgh#as3 Ihr Master-Passwort ist, stellen Sie fb für Facebook, go für Google etc. voran und erhalten fbH7tz!67tgh#as3, goH7tz!67tgh#as3 etc. Natürlich könnte ein findiger Hacker, der eines der Passwörter kennt, daraus ein Muster ableiten. Wenn Sie also diese Variante nutzen, verwenden Sie unbedingt verschiedene Master-Passwörter für Privates und Dienstliches.
4. Aktivieren Sie die Zwei-Faktor-Anmeldung
Wenn es von Ihrem Service unterstützt wird, sollten sie eine sogenannte Zwei-Faktor-Authentifizierung aktivieren. Dabei wird – wie beim Online-Banking – außer dem Passwort beim Login auch noch ein Einmal-Code abgefragt, den Sie per App auf einem Smartphone oder per SMS erhalten. Das macht etwas mehr Mühe beim Login, erschwert Angreifern die Arbeit aber erheblich.
5. Halten Sie Ihre Software aktuell
Wie immer gilt: Nicht nur Online-Dienste, auch der lokale Computer sollte geschützt werden. Neben einem funktionierenden Virenscanner (etwa dem in Windows 10 standardmäßig enthaltenen Windows Defender) ist es unabdingbar, sämtliche verwendete Software aktuell zu halten. Das Betriebssystem, alle Browser und auch E-Mail-Programme sollten sich automatisch updaten. Wer einen PDF-Reader von Adobe oder Office-Software verwendet, sollte nur die aktuellste Version nutzen, da diese Programme besonders gefährdet sind.
6. Überprüfen Sie den Absender
Die meisten Einbrüche in Computersysteme finden zurzeit über Phishing-Angriffe statt: Angreifer senden mehr oder weniger gezielte und unterschiedlich raffinierte E-Mails, die bösartige Dateien oder Links enthalten. Letztere sollen Sie auf Webseiten locken, die Ihnen persönliche Informationen entlocken oder versuchen, Schadsoftware zu installieren. Diese und ähnliche Maschen haben wir in einem anderen Beitrag näher beschrieben.
Hinterfragen Sie deshalb bei jeder E-Mail die Quelle oder das Ziel des Links kritisch. Überlegen Sie vor jedem Klick: Wer schickt mir das? Und warum? Kommt diese E-Mail wirklich von dem Absender, der die E-Mail angeblich versendet hat? Im Zweifel können Sie auf einem anderen Kanal (zum Beispiel am Telefon) nachfragen, ob der vermeintliche Absender wirklich diese E-Mail verschickt hat. Zusätzlich sollte man die URLs von Links genau prüfen: Wird da z.B. mit Sonderzeichen getrickst und gehört diese Domain wirklich der Firma, die da schreibt?
Haben Sie schon unerfreuliche Erfahrungen mit Datenschutz in Praxis und Privatleben gemacht? Oder haben Sie noch Fragen und Anmerkungen zu unseren Tipps? Wir freuen uns auf Ihre Kommentare!
Mitglieder im Verband der niedergelassenen Ärzte können Ihre Praxis jetzt noch einfacher DSGVO-konform absichern und dabei noch sparen. Erfahren Sie mehr zum Rundum-Datenschutzpaket des NAV-Virchow-Bundes in Kooperation mit Health Data Protect.
Die Health Data Protect GmbH bietet Arztpraxen ein intuitives digitales Angebot rund um den Datenschutz mit angeschlossenem Datenschutz Service Center und eigenen Datenschutzbeauftragten. Das Angebot ist auf den Praxisalltag und auf die individuellen Bedürfnisse der Arztpraxen zugeschnitten, zeitlich flexibel nutzbar und auch außerhalb der Praxiszeiten erreichbar. Gegründet wurde die Health Data Protect GmbH von IT-, Rechts-, Service- und Datenschutzexperten aus der ambulanten Versorgung.
Das könnte Sie auch interessieren: