Der digitale Notfall

Wenn plötzlich der Bildschirm schwarz bleibt und der Computer nicht mehr hochfährt, ist ein strukturierter Notfallplan entscheidend, um die Patientenversorgung sicherzustellen. Dazu gehören auch klare Strategien zur regelmäßigen und zuverlässigen Datensicherung.

Montagmorgen um 8 Uhr 12. In einer Ordination beginnt der Arbeitstag routiniert. Das Wartezimmer ist gefüllt, die erste Patientin sitzt bereits im Behandlungszimmer. Befunde sollen abgerufen, Rezepte ausgestellt, Leistungen dokumentiert werden. Dann reagiert das System nicht mehr. Die elektronische Kartei bleibt geschlossen – ein Neustart bringt keine Veränderung – die Abläufe geraten ins Stocken.

In einem solchen Moment zeigt sich die Abhängigkeit von funktionierender IT besonders deutlich. Diagnostik, Dokumentation, Abrechnung und Kommunikation greifen ineinander und setzen stabile Systeme voraus. Fällt die Infrastruktur aus, muss die Versorgung dennoch weiterlaufen. Die Organisation entscheidet dann darüber, ob strukturiert weitergearbeitet wird oder ob Improvisation dominiert.

Rückblickend lassen sich solche Ausfälle häufig auf scheinbar banale Ursachen zurückführen – etwa eine täuschend echte E-Mail, die eine Schadsoftware aktiviert hat. Innerhalb kurzer Zeit können dadurch zentrale Daten verschlüsselt werden. Auch wenn eine Datensicherung vorhanden ist, zeigt sich im Ernstfall nicht selten, dass diese unvollständig ist oder sich nicht ohne Weiteres einspielen lässt. 
 

Vorsorge mit 3-2-1

Hier setzt die 3-2-1-Regel für IT-Sicherheit an. Sie beschreibt eine grundlegende Strategie zur Datensicherung:

• Drei Kopien aller Daten werden vorgehalten. 
• Zwei unterschiedliche Speichermedien kommen zum Einsatz. 
• Eine Kopie wird räumlich getrennt aufbewahrt.
   

Dieses Prinzip gilt als etablierter Mindeststandard, der dazu beiträgt, Ausfälle abzufedern und Systeme zeitnah wiederherzustellen.
Im praktischen Betrieb bedeutet das, dass neben den produktiven Daten mindestens zwei Sicherungskopien existieren sollten. Eine lokale Sicherung ermöglicht eine rasche Wiederherstellung bei technischen Defekten. Eine zusätzliche externe Kopie schützt vor umfassenden Schadensereignissen – etwa ein Brand oder flächendeckende Verschlüsselung innerhalb des Netzwerks. Entscheidend ist dabei nicht nur die Existenz von Backups, sondern deren tatsächliche Funktionsfähigkeit. Es nützt nichts, wenn Sicherungen zwar automatisiert erstellt, aber nicht regelmäßig überprüft werden. Erst durch regelmäßige Tests wird aus einer technischen Maßnahme eine verlässliche Sicherheitsstrategie.
 

Backups regelmäßig überprüfen

In der Praxis zeigt sich, dass Ausfälle ohne getestete Backupstruktur zu mehrtägigen Unterbrechungen führen können. Während dieser Zeit muss die Dokumentation papierbasiert erfolgen. Leistungen werden manuell erfasst und später nachgetragen. Die medizinische Versorgung bleibt grundsätzlich möglich, ist jedoch mit erhöhtem organisatorischem Aufwand verbunden.

Für Praxisinhaberinnen und Praxisinhaber ergeben sich daraus die Notwendigkeit, organisatorische und technische Maßnahmen zu kombinieren. Dazu gehört die regelmäßige Überprüfung der Sicherungsstrategie ebenso wie die Klärung von Verantwortlichkeiten und Abläufen im Störungsfall. Eine strukturierte Vorbereitung ermöglicht es auch bei Ausfall zentraler Systeme, die Patientenversorgung geordnet fortzuführen.
 

Auf den Ernstfall vorbereitet sein

Für den papierbasierten Betrieb einer Ordination sollten zentrale Abläufe klar vorbereitet sein. Erforderlich sind:

• Ausreichend verfügbare Papierformulare für Anamnese, Dokumentation, Überweisungen und Rezepte.
• Eine analoge Terminliste, um den Betrieb vorübergehend aufrechtzuerhalten. 
• Die Patientenidentifikation erfolgt durch Sichtprüfung der e-Card und gegebenenfalls eines Ausweises, während Stammdaten manuell erfasst und als Störfall gekennzeichnet werden. 
• Die medizinische Dokumentation auf Papier sollte nach einem einheitlichen Schema erfolgen und Diagnosen, Leistungen sowie Zeitangaben enthalten. 
• Während des Ausfalls empfiehlt sich die Führung einer vollständigen Liste aller Behandelten, um nach Wiederherstellung der Systeme eine strukturierte Nacherfassung zu ermöglichen. Regelmäßige Übungen im Team helfen, diese Abläufe im Ernstfall routiniert umzusetzen.
• Gleichzeitig sind klare Zuständigkeiten für Leitung, Dokumentation und spätere Nacherfassung festzulegen.
   

Und, auch wenn es banal klingt: Jede Menge Kerzen, falls der IT-Ausfall durch einen Netzausfall in Dämmerung und Dunkelheit hervorgerufen wurde (und Streichhölzer …).

Entscheidend ist nicht, ob ein IT-Ausfall eintritt. Entscheidend ist, wie darauf reagiert werden kann. Eine belastbare Datensicherungsstrategie trägt wesentlich dazu bei, dass im Fall des Falles die Patientenversorgung weitergehen kann.

Ärzte müssen sich schützen, so gut es geht

Dr. Peter Klar, Leiter Primärversorgung Wienerwald in Breitenfurt bei Wien, über reale Bedrohungsszenarien, strukturelle Schwachstellen und die ökonomische Dimension von IT-Sicherheit in Ordinationen.

Mit Dr. Peter Klar hat Autor Josef Broukal gesprochen.

Ärzte Woche: Welche strukturellen Schwächen sehen Sie speziell im medizinischen Bereich?
Klar: Wir waren im medizinischen Bereich lange daran gewöhnt, Systeme nicht regelmäßig zu aktualisieren. Es gibt noch Geräte mit sehr alten Betriebssystemen, die nie upgedatet wurden. IT wird oft als einmalige Investition gesehen. Ich halte das für einen Fehler. IT ist ein laufender Prozess, der kontinuierliche Wartung und Anpassung erfordert.
 

Ärzte Woche: Was müssen Ordinationen konkret tun, um sich zu schützen?
Klar: Für mich gibt es drei zentrale Säulen.

• Erstens die technische Basis: Ich brauche eine gute Firewall, regelmäßige Updates und ein sauber strukturiertes Netzwerk. Geräte sollten nur genau das dürfen, was sie unbedingt müssen. Ein Drucker hat keinen Grund, auf Patientendaten zuzugreifen. 
• Zweitens die Organisation: Ich brauche klare Benutzerstrukturen und eine saubere Authentifizierung.
• Drittens ist der Mensch entscheidend. Ich erlebe immer wieder, dass Angriffe dadurch möglich werden, dass jemand einfach Zugang gewährt. Ich muss meine Mitarbeitenden sensibilisieren – etwa im Umgang mit vermeintlichen Technikern oder mit E-Mails, die täuschend echt aussehen.
   

Ärzte Woche: Und wenn es trotz aller Maßnahmen zu einem Angriff kommt?
Klar: Ich gehe davon aus, dass es keinen absoluten Schutz gibt. Es ist immer eine Frage von Zeit, Aufwand und Ressourcen, bis jemand ein System kompromittiert. Deshalb brauche ich ein funktionierendes Backup-Konzept. Bei uns werden Daten im Viertelstundentakt gesichert, zusätzlich gibt es gestaffelte Sicherungen über verschiedene Zeiträume hinweg. Wichtig ist mir, dass diese Systeme getrennt laufen. Nur so kann ich verhindern, dass bei einer Verschlüsselung auch die Backups betroffen sind.
 

Ärzte Woche: Welche Kosten entstehen durch ein solches Sicherheitsniveau?
Klar: Gute IT-Sicherheit ist teuer und komplex. Es geht nicht nur um Hardware, sondern vor allem um laufende Betreuung und Monitoring. Für mittlere bis größere Ordinationen halte ich Kosten zwischen 1.500 und 3.000 Euro pro Monat für realistisch.
 

Ärzte Woche: Was raten Sie Kolleginnen und Kollegen konkret?
Klar: Ich würde empfehlen, sich zumindest mit den Grundprinzipien von IT-Sicherheit auseinanderzusetzen. Die Verantwortung kann ich nicht vollständig abgeben. Gleichzeitig halte ich es für sinnvoll, mit einer spezialisierten IT-Firma zu arbeiten. Wichtig ist, dass man hier sorgfältig auswählt. Nicht jede IT-Erfahrung aus dem privaten Bereich reicht für eine Ordination aus. Am Ende geht es darum, bewusst zu entscheiden: Was ist mir meine Sicherheit wert, und wie setze ich die verfügbaren Mittel sinnvoll ein.

Mögliche Zitate: 
„IT ist ein laufender Prozess, der kontinuierliche Wartung und Anpassung erfordert.“ 
oder
“ Ich empfehle, sich zumindest mit den Grundprinzipien von IT-Sicherheit auseinanderzusetzen.“

Autor: Josef Broukal