Jump to content
  • Melde dich an, um diesem Inhalt zu folgen  

    Blog

    Für Medizinische Fachangestellte (MFA / Arzthelferin), Praxismanagerinnen und und niedergelassene Ärzte in der Arztpraxis / MVZ

    Ralph Jäger
    Wir betreiben 5 hausärztliche Arztpraxen in einer ländlichen Umgebung. Trotz insgesamt neun Ärzten werden wir nicht von dem Patientenandrang bei Grippewellen oder „Kurz vor dem Urlaub“-Anliegen verschont. Meistens sind die Anliegen vor allem organisatorischer Natur: Rezept- oder Überweisungswünsche, kurze Rückfragen bezüglich des Impfstatus oder einfach nur eine Krankmeldung.
    In unserer überörtlichen Berufsausübungsgemeinschaft werden die Telefonanrufe durch zwei Medizinische Fachangestellte (MFA) zentral angenommen. Wie in jeder Arztpraxis gibt es Stoßzeiten für telefonische Anfragen, vor allem Montag und Dienstag um 7:30 Uhr: wir registrieren regelhaft ca. 20 Anrufe gleichzeitig um 7:31 Uhr, insgesamt durchschnittlich 200 Anrufe an einem Vormittag am Wochenanfang.
    Wir können zu dieser Zeit kaum unterscheiden, ob es sich im Einzelfall um dringliche medizinische Angelegenheiten dreht oder um eine organisatorische, auch später zu bearbeitende, Anfrage handelt.
    Bisherige Versuche, die telefonische Anruferlast zu reduzieren
    Wie viele andere Arztpraxen haben wir verschiedene Lösungsmöglichkeiten mit mäßigem Erfolg versucht:
    Mailbox / Anrufbeantworter für Rezeptbestellungen oder Überweisungswünsche (sowohl unter einer extra Rufnummer, als auch als Option vor dem Verbinden zu einer MFA und zu Schließungszeiten: der Aufwand, diese Nachrichten abzuhören und zu bearbeiten ist sehr hoch: viele „leere“ Nachrichten, undeutliche Namensnennungen oder unklare Anfragen Telefonische Warteschlange: Erleichterung für die MFA, ungewohnt für die Patienten Mehr Personal: V.a. in Stoßzeiten Erhöhung des Personals auf 4 MFA für die Gesprächsannahme: Die erhöhten Personalkosten können nicht gedeckt werden Ausweitung der telefonischen Erreichbarkeit (z.B. Mittags und vor 7:30 Uhr und nach 18:00 Uhr): Erhöhte Personalkosten mit Zuschlägen und Anfragen vom Wochenende oder Spätabends können trotzdem nicht bedient werden Email / Webformular:  Mäßige Akzeptanz der Patienten und fragwürdiger Datenschutz Auf der Suche nach einer wirklichen Problemlösung denke ich an die gelegentlich eintrudelnden What’s App-Nachrichten von befreundeten / verwandten Patienten.
    Was wäre, wenn wir eine sichere What’s App-Alternative für die Patienten anbieten könnten, welche Voraussetzungen müssten bestehen und würden die Patienten und MFA das nutzen und akzeptieren?
    Hypothese: eine sichere What's App Alternative für die Arztpraxis
    Wir versuchen seit 2016 folgende Hypothese zu bestätigen bzw. zu widerlegen:
    Eine sichere Chat-Kommunikation zwischen Patienten und Arztpraxis
    Wird von den Patienten aller Altersgruppen <75LJ akzeptiert und genutzt Wird als verbesserter Patientenservice wahrgenommen Entlastet die Medizinische Fachangestellten in der Praxis Wird von den MFAs aufgrund der Einfachheit und Entlastung akzeptiert Entlastet die Arztpraxis insgesamt in organisatorischen Angelegenheiten Verbessert die Erreichbarkeit der Patienten durch die Arztpraxis bei Rückfragen oder Besonderheiten (z.B. auffällige Laborwerte) Verbessert die Qualität der medizinischen Versorgung Führt zu dem Wunsch nach telemedizinischen Leistungen, v.a. durch Video-Chat Anforderungen an eine Chat-App für die Arztpraxis
    Wir haben Voraussetzungen erarbeitet, die für die Kommunikation zwischen einer Arztpraxis und Patienten grundsätzlich erfüllt werden müssen:
    1.       Datenschutz:
    Ende-zu-Ende-Verschlüsselung Keine Speicherung von Metadaten (wer hat mit wem, wann kommuniziert) Deutsche Server 2.       Einfachheit
    Einfache Installation der App und Registrierung als Patient Einfache Benutzung 3.       Smartphone-App und Desktop-Client
    Nutzung einer PC-basierten Version in der Arztpraxis ohne ständige Verbindung mit einem Smartphone Smartphone-App für Patienten und Medizinische Fachangestellte / Ärzte einer Arztpraxis 4.       Versand von Dokumenten
    Versand von Dokumenten aus dem Praxisverwaltungssystem (z.B. Facharztberichte, Laborergebnisse) Anzeige dieser Dokumente in der Smartphone-App 5.       Video-Chat
    Der Patient soll die Möglichkeit haben, per sicherem Video-Chat mit einem Arzt zu kommunizieren Umsetzung und Einführung einer sicheren Kommunikation in der Praxisorganisation
    Geplant war die Einführung eines Prototyps in einer neu gegründeten Zweigpraxis in einer Kleinstadt (<20.000 Einwohner) im April 2017, die nach KV-Vorgaben als gesperrtes Gebiet für Hausärzte gilt.
    Im März 2017 führten wir in einem Zeitraum von einer Woche eine freiwillige, schriftliche Vorab-Patientenbefragung in einer etablierten Arztpraxis in einem nahen gelegenen Ort durch.
    Erhoben werden sollte v.a. die Bereitschaft der Patienten, ein solches System zu nutzen:
    1.       Würden Sie eine solche App auf Ihrem Smartphone installieren?
    2.       Möchten Sie weitere Gesundheitsinformationen in dieser App lesen (z.B. zu Rückenschmerzen oder Grippe)
    3.       Würden Sie diese App lieber bezahlen oder kostenlos mit unaufdringlicher Werbung nutzen?
    4.       Statistische Daten: Alter, Geschlecht, Chronisch erkrankt, Häufigkeit der Arztbesuche pro Jahr
    5.       Freier Kommentar
    Gleichzeitig ließen wir unter den oben genannten Voraussetzungen einen Prototyp einer solchen Smartphone-Chat-App (nur für Android-Systeme) und einer PC-basierten Version (Desktop-Client) von einer professionellen IT-Firma (Adesso) entwickeln.
    Unter dem Namen „Re:Doc“ bewarben wir das System bei Patienten in der gerade neu eröffneten Arztpraxis ohne Stammpatienten.
    Hierzu verwendeten wir einen kleinen DinA5-Flyer, sowie Hinweise auf der Website und über eine direkte Ansprache durch die MFA und Ärzte.
    Patienten hatten die Möglichkeit, innerhalb der Smartphone-App einen Fragebogen zu der App anonym auszufüllen:
    1.       Wie ist der allererste Eindruck der App re:Doc beim erstmaligen Öffnen / Einschalten?
    2.       Wenn Sie die App re:Doc einige Male verwendet haben, wie beurteilen Sie die Handhabung (reicht ein oder wenige Klicks aus?)
    3.       Finden Sie es hilfreich, wenn das Herunterladen und die Installation der App re:Doc gleich in der Praxis zusammen mit einer Medizinischen Fachangestellten und Ihnen gemacht wird?
    Oder ziehen Sie es lieber vor, die App re:Doc selbstständig zu Hause zu installieren?
    4.       Wie nützlich halten Sie die bereits jetzt existierenden Funktionen (Chat, Terminvereinbarung, Befundversand)?
    5.       Welche der folgenden Funktionen beurteilen Sie als wichtig? (Mehrere Antworten sind möglich)
    Chat mit Arzt und Praxis Terminvereinbarung Befundaustausch Zweitmeinung eines Arztes Video-Chat Medikationsplan Teilnahme an Patientenbefragungen Rezeptbestellung 6.       Welche der folgenden Funktionen beurteilen Sie als wichtig? (Mehrere Antworten sind möglich)
    Chat mit Arzt und Praxis Terminvereinbarung Befundaustausch Zweitmeinung eines Arztes Video-Chat Medikationsplan Teilnahme an Patientenbefragungen Rezeptbestellung 7.       Würden Sie gesundheitsbezogene Werbung für eine kostenfreie Nutzung der App akzeptieren? Oder würden Sie lieber 3€ bis 5€ pro Monat für eine werbefreie Version bezahlen?
    8. Werden Sie diese App Freunden und Bekannten weiterempfehlen?
    9. Geschlecht
    10.   Alter
    11.   Einwohner in Ihrem Wohnort
    12.   Sind Sie gesetzlich oder privat versichert?
    13.   Freier Kommentar
    Ergebnisse unserer sicheren What's App Alternative für die Arztpraxis
    Vorabbefragung
    Insgesamt erhielten wir schriftliche Rückmeldung von 67 Patienten in einem Zeitraum von einer Woche.

    Ergebnisse.pdf
    Freie Kommentare
    32 Patienten machten sich Sorgen, dass die App das ärztliche Gespräch ersetzen sollte (als telemedizinische Anwendung) 7 Patienten nutzen kein Smartphone Für uns überraschend war die Auffälligkeit, dass 40% der Patienten die Bereitschaft erklärten, für eine solche App zu bezahlen. Des Weiteren waren 48% der Befragten mit Werbeeinblendungen einverstanden.
    Einführung des Prototyps
    In dem Zeitraum von April 2017 bis April 2018 installierten insgesamt 464 Patienten die Smartphone-App, abzüglich Deinstallationen oder nicht genutzter App verblieben 292 aktive Benutzer.
    Freiwillige Nutzerbefragung
    Von 292 aktiven Benutzern konnten leider nur 20 verwertbare Fragebögen in einem Zeitraum zwischen April 2017 und April 2018 erhoben werden. Mögliche Ursachen ist die Freiwilligkeit und der einmalige Hinweis auf den Fragebogen bei einer Nutzungsdauer von mehr als 30 Tagen.
    Die Ergebnisse könnten aber erste Hinweis auf die Nutzung liefen.

     
    Für uns interessant sind v.a. die Aspekte „Finanzierung“ und „Funktionsumfang“.
    Finanzierung
    Während in der schriftlichen Vorabbefragung ein Teil der Patienten die Bereitschaft zeigten, für ein solches Chat-System zwischen 1€ und 5€ zu zahlen, war keine der Benutzer mehr bereit, hierfür Geld auszugeben.
    Die Möglichkeit von Werbeeinblendungen wurde zwar abgefragt, jedoch sehen wir dies aufgrund des Datenschutzes als kritisch ein.
    Funktionsumfang
    Die Patienten erleben die App v.a. als Erleichterung rund um organisatorische Anfragen im Alltag.
    Als wichtigste Funktionen empfinden die Patienten die
    Rezeptbestellung Terminvereinbarung Allgemeiner Chat mit Praxis und Arzt Befundaustausch Als unwichtige Funktionen empfinden die Patienten
    Video-Chat Teilnahme an Patientenbefragungen Zweitmeinung Weitere Aspekte, die in direkten Gesprächen mit Patienten und MFA angesprochen wurden:
    durch die asynchrone Kommunikationsform können Anfragen und Nachrichten auch zu Schließzeiten an die Praxis gesandt werden „ein Bild sagt mehr als tausend Worte“: die Rezeptbestellung per Foto ist eine gerne eingesetzte Funktion Medizinische Rückfragen fallen nur im geringen Ausmaß an, es handelt sich hierbei v.a. um kleinere Anfragen („ist es schlimm, dass das Cholesterin bei 205 mg/dl ist?“) Eine schriftliche Terminbestätigung auf das Smartphone führte bei uns zu einer verbesserten Termintreue bei den Patienten, die den Termin via Re:Doc vereinbarte. Für uns sehr überraschend war die Tatsache, dass sowohl während des Einsatz des Prototyps und auch in der Befragung sich kein Patient für den implementierten Video-Chat interessierte. Viel mehr hatten die Patienten Angst davor, dass diese App die persönliche Beratung telemedizinisch ersetzen sollte. Akzeptanz bei den Patienten
    Patienten aller Altersgruppen konnten den Mehrwert eines solchen Chat-Systems erkennen. Während wir davon ausgingen, dass nur die jüngeren Patienten dies nutzen würden, war schnell erkennbar, dass auch die Generation >60LJ What’s App kennen und nutzen und dankbar für eine sichere Alternative sind. 
    Akzeptanz bei den Medizinischen Fachangestellten
    Ohne Vorwarnung oder Schulung wurde die PC-basierte Version in der Praxis an der Anmeldung und am Telefonarbeitsplatz installiert.
    Die Medizinischen Fachangestellten verstanden sofort den Nutzen und Zweck des Systems und fanden sich schnell in die Bedienung ein.
    Die Rückmeldungen der MFAs waren durchweg positiv:
    „Erleichterte Antwort via informellen Chat“ „Man kann die Nachrichten dann abarbeiten, wenn Zeit ist“ „Rezeptbestellungen (häufig via Foto), Termin- und Überweisungswünsche wurden viel präziser geäußert im Vergleich zu Telefon und Email“ „Man kann den Patienten Nachrichten schicken, auch wenn diese bei der Arbeit sind“ Auch MFA, die nicht Computer-affin sind, fanden sich sofort zurecht. Vor allem MFA, die häufig Hausbesuche selbständig tätigen, installierten den Prototyp auf ihrem Smartphone, um mit der Praxis sicher kommunizieren zu können.
    Akzeptanz bei den Ärzten
    Ärzte empfanden es als Erleichterung, Fotodokumentationen von erhobenen Befunden bei Hausbesuchen, direkt in die Arztpraxis zu senden. Sie sorgten sich jedoch, dass sie direkt vom Patienten per Chat kontaktiert werden könnten. Diese Funktion war jedoch im Prototyp nicht implementiert.
    Die Ärzte wünschten sich eine Möglichkeit, diese Form des Chats auch mit ihren Kollegen (innerhalb und außerhalb der Arztpraxis) nutzen zu können.
    Schlussfolgerung
    Der Prototyp einer sicheren und einfachen Chat-Applikation mit Nutzung auf dem Smartphone und auf einem feststehenden PC bewerten wir für uns als Erfolg und sehen die Praxisorganisation verbessert.
    Unabhängig des Alters nutzen Patienten diese Kontaktmöglichkeit vor allem für organisatorische Angelegenheiten. Als Nebeneffekt konnte ein verbesserte Termintreue und verminderte „unnötige“ Termine (Befundbesprechung ohne vorliegende Befunde) dieser Patienten festgestellt werden.
    Interessant ist für uns, dass die MFA dieses Werkzeug als eine Arbeitserleichterung im Praxisalltag empfinden:
    Es scheint weniger anstrengend als ein Telefonat zu sein Die Beantwortung ist im Vergleich zu einem persönlichen Telefonat deutlich schneller Die Anfragen der Patienten sind präziser (Foto der Rezepte, Patientenidentifikation im System) Bei Terminabsprachen wird nicht „gefeilscht“: zu 90% wird der angebotene Termin angenommen Eine sichere Chat-Kommunikation zwischen Patienten und Arztpraxis
    Wird von den Patienten aller Altersgruppen <75LJ akzeptiert und genutzt Wird als verbesserter Patientenservice wahrgenommen Entlastet die Medizinische Fachangestellten in der Praxis Wird von den MFAs aufgrund der Einfachheit und Entlastung akzeptiert Entlastet die Arztpraxis insgesamt in organisatorischen Angelegenheiten Verbessert die Erreichbarkeit der Patienten durch die Arztpraxis bei Rückfragen oder Besonderheiten (z.B. auffällige Laborwerte) Die These, dass die Qualität der medizinischen Versorgung hierdurch verbessert werden kann, ist schwierig zu messen. Einfluss Faktoren sehe ich v.a. in der verbesserten Praxisorganisation und damit der Möglichkeit, dass die MFA und Ärzte sich bei persönlichen Besuch des Patienten auf die Medizin konzentrieren können.
    Die Vorstellung, dass telemedizinische Leistungen im Rahmen der E-Health-Initiativen vermehrt angefragt werden, hat sich nicht bestätigt. Vor allem der Hype um den Video-Chat ist von Seiten der Patienten und der Ärzte zum Großteil nicht gewünscht.
    Eine telemedizinische Sondersituation stellt die Betreuung von schwer erkrankten Patienten dar: für einzelne Patienten (Palliativsituation, akute schwere Erkrankung) wurde ein direkter Chatkanal zu einzelnen Ärzten freigeschalten. Dieser Kanal wurde von den Patienten sensibel genutzt und nicht missbraucht. Viel mehr zeigten sich positive Effekte, wie verminderte Vorstellungen in den Nofallambulanzen der Krankenhäuser, stabilere medizinische Betreuung und reduzierte Anfragen nach Hausbesuchen solcher Patienten am Wochenanfang.
    Ausblick
    Zwischenzeitlich konnten wir aus dem Prototypen „Re:Doc“ eine vollwertige Version namens „MediOne“ in einem Gemeinschaftsprojekt mit der Fa. Adesso weiterentwickeln.
    Diese ermöglicht die Teilnahme von weiteren Arztpraxen, Ärzten sowie Gesundheitsinstitutionen (Krankenhaus, Apotheke, Physiotherapie, Pflege) und stellt auch eine Version für iOS-Geräte bereit. Ärzte und medizinische Einrichtungen können das System nach Registrierung gegen eine Lizenzgebühr im Rahmen eines flexiblen Monatsabos nutzen. Patienten erhalten die App ab sofort kostenfrei in den App-Stores.
    Die Möglichkeit zur Bildung von „Kooperationen“ zwischen Dienstleistern im Gesundheitswesen soll die direkte, unkomplizierte und trotzdem sichere Kommunikation sowie den Befundaustausch zwischen den Teilnehmern verbessern.
    Machen Sie sich also selbst ein Bild von Medione
     
     

    Kunsperfrisch
    Nach großer politischer Diskussion im Jahre 2015 über lange Wartezeiten auf einen Termin beim Arzt – und zwar in dieser allgemeinen Form - verpflichtete der Gesetzgeber die Kassenärztlichen Vereinigungen zu Einrichtung sogenannter Terminservicestellen. Aufgabe der Terminservicestellen ist es dafür zu sorgen, dass der gesetzlich versicherte Patient bei dringendem Behandlungsbedarf innerhalb von vier Wochen einen Termin bei einem Facharzt oder Psychotherapeuten wahrnehmen kann.
    Termine bei Haus-, Kinder- und Jugendärzten, Zahnärzten und Kieferorthopäden werden nicht vermittelt. Gleiches gilt für Termine für fachärztliche Routine- und Vorsorgeuntersuchungen.
    Die Einrichtung der Terminservicestellen wurde insbesondere damit begründet, dass Kassenpatienten dreimal länger auf einen Termin warten müssten, als Privatpatienten. Nach einer repräsentativen Studie des WIdO (Wissenschaftliches Institut der AOK) – Ende 2006 hätten 25% der Kassenpatienten länger als 14 Tage auf einen Termin warten müssen, wogegen es nur 8 % bei den Privatpatienten gewesen sein sollen. Rein statistisch ergeben sich Zweifel an dieser Annahme, da nur 13 % der Bevölkerung sich zu den Privatpatienten zählen können
    Der Autor hat hier nicht die Absicht, die einzelnen Werte und den Zeitpunkt der Erhebung und auch die generelle Tendenz, die man daraus ableiten könnte, in Frage zu stellen.
    Er hinterfragt vielmehr, ob die bewusste Bevorzugung von Privatpatienten nur eine Mitursache ist, oder ob die Gründe für eine langfristige Terminvergabe andere sind als der Patientenstatus, und ob diese Gründe in der Organisation der Praxen zu finden sind.
    Optimales Terminmanagement in der Arztpraxis
    Viele Praxen setzen noch eine Praxissoftware ein, die eine schnelle Findung freier Termine einfach nicht erlaubt. Insbesondere bei größeren Praxen müssen die Mitarbeiter Arzt für Ärztin und Tag für Tag durchsuchen, um eine freien Termin zu finden. Und dieser Termin findet sich am schnellsten, wenn man mal schnell drei Monate weiter springt, denn da ist, oh Wunder, noch alles frei. Die Realität zeigt aber, dass durch tägliche Terminabsagen oder No-Shows jeden Tage Termine frei werden, die auch einem wartenden Patienten angeboten werden können.
    Und ist es nicht das Programm, dass die Suche nicht erlaubt, so sind es die Mitarbeiter, die die Suchfunktion nicht kennen oder beherrschen. Der Verfasser hat leider die deutliche Erkenntnis, dass gerade das Nichtwissen um die Funktionalität der Kalender noch häufiger anzufinden ist, als die fehlende Funktionalität selbst. Diese Situation kann jede Praxis verbessern.
    Mit steigender Internetakzeptanz der älter werdenden Generation steigt auch die Nutzung der diversen Online-Kalender, die aber vielfach – auch aufgrund datenschutzrechtlicher Vorgaben – nicht mehr als ein E-Mail-System sind, mit dem der Patient zu einem gekennzeichneten Slot einen Termin anfragen kann. Dies gilt insbesondere für die über „dasörtliche“ oder die Bewertungsportale angebotenen Terminanfragen. Am Ende machen gerade diese Kalender dem Praxis-Team mehr Arbeit als ein Anruf, wenngleich diese in ruhigeren Minuten Beantwortung findet.
    Die Online-Kalender führen daher zwar schneller zu einer Terminfindung, aber nicht immer zu einem früheren Termin. Die generellen Vorteile einer online-Terminierung haben die Beteiligten aber schon erfasst.
    Schaut man sich versuchsweise einmal Ärzte einer bestimmten Fachgruppe an, und testet für eine Online-Terminanfrage die Versicherteneigenschaft Kasse/ Privat aus, so kann man feststellen, dass der Privatpatient regelmäßig ein früheres Terminangebot erhält als der Kassenpatient. Durch diese Praxis bestätigt sich dann allerdings wieder das Klischee, dass Privatpatienten bevorzugt werden.
    Und wenn die Technikerkrankenkasse derzeit die Einschaltung von Online-Kalendern für Arztpraxen subventioniert, dann erweist sie ihren Versicherten gegenüber so agierenden Ärzten wohl einen Bärendienst.
    Abhilfe kann eigentlich nur ein weiterer regulativer Eingriff schaffen, indem eine Kategorisierung in den Online-Kalender nach Privat oder Kasse untersagt wird. Aber braucht man den wirklich?
    Wenn die Praxis den generellen Vorteil einer Online-Terminierung erkannt hat, wird sie diesen auch weiter nutzen wollen, ohne dass der Privatpatient hier deutlich bevorteilt werden muss, den es finden sich tagtäglich immer Termine, die kurzfristig aus den oben genannten Gründen vergeben werden können, wenn der Patient erreichbar ist.
    Fazit
    Praxen, die ihren Patienten schnell zu einem kurzfristig freien Termin verhelfen wollen, achten daher darauf, dass die Mitarbeiter alle Terminfunktionalitäten kennen und E-Mailadresse, Mobilnummer oder auch What´s App Account zum Patienten erfassen. Die Servicequalität einer Praxis insgesamt entscheidet über ihren Erfolg - und nicht allein der statistische Privatpatienten-Anteil von 13%.
    Freundlicherweise bereitgestellt von
    Hartriegel Consulting
    Unternehmens- und Wirtschaftsberatung für das Gesundheitswesen
    https://www.hartriegel-healthcare.de/
     

    Christina Czeschik
    Mit der Datensicherung ist es wie mit dem Sport: Sie ist oft das Objekt guter Vorsätze, die aber selten konsequent in die Tat umgesetzt werden.
    Teil des Problems ist sicher, dass man wir alle insgeheim davon ausgehen, ein Datenverlust werde nur die anderen treffen – so, wie man auch annimmt, dass nur andere krank werden. Aber diese Annahme ist nicht erst seit der aktuellen Ransomware-Epidemie gefährlich. Eine Festplatte kann auch ohne Vireninfektion jederzeit defekt sein – und die damit verlorenen Daten sind bares Geld wert.
    Ziele der Datensicherung
    Datensicherung in der Arztpraxis hat zwei Ziele:
    Die Daten nach einem Datenverlust möglichst schnell und möglichst vollständig wiederherstellen zu können, damit weitergearbeitet werden kann und keine abrechnungsrelevanten Daten verloren gehen. Die gesetzlichen Aufbewahrungsfristen zu erfüllen. Je mehr medizinische Informationen von der Papierakte in den Computer wandern, desto wichtiger wird auch dieses Ziel der Datensicherung. Im täglichen Betrieb steht bei einem akuten Datenverlust jedoch sicherlich das erste Ziel im Vordergrund: Den Schaden so weit zu beheben, dass die Patientenversorgung fortgesetzt werden kann und nicht allzu viele Daten für die Abrechnung verloren sind.
    Wie gut dieses Ziel erreicht werden kann, lässt sich anhand von zwei Größen messen:
    Recovery Point Objective (RPO) Recovery Time Objective (RTO)
    Jeder Zusammenbruch des Systems mit Datenverlust führt zu zwei Problemen: Die Daten aus der Vergangenheit müssen wieder hergestellt werden und der Betrieb muss weitergehen. Der Punkt in der Vergangenheit, bis zu dem die Daten wiederhergestellt werden können und nach dem die Daten unwiederruflich verloren sind, wird als RPO bezeichnet. Dies ist normalerweise der Zeitpunkt, zu dem das letzte Backup gemacht wurde.
    Wenn Du also am Dienstag abend um 18 Uhr das letzte Backup durchgeführt hast und am Mittwoch vormittag um 10 Uhr das System abstürzt, beträgt das RPO 16 Stunden. Wenn am Freitag nachmittag um 17 Uhr das letzte Backup gelaufen ist und das System am Montag morgen um 9 Uhr abstürzt, beträgt das RPO 64 Stunden. Hier sieht man, dass das RPO kein direktes Maß dafür ist, wie viele Daten verloren gehen – im zweiten Beispiel können das durchaus weniger Daten sein als im ersten Beispiel, weil das Wochenende dazwischen lag und vor dem Absturz nur eine Stunde Praxisbetrieb herrschte.
    Das RTO gibt an, in welchem Zeitrahmen der normale Betrieb wieder hergestellt werden kann. Wenn also im obigen Beispiel am Montag morgen um 9 Uhr das System abstürzt und zur Nachmittagssprechstunde um 15 Uhr wieder normal eingesetzt werden kann, dann betrug das RTO 6 Stunden. Auch hier gilt wieder: Ein hohes RTO entspricht nicht immer einem großen Verlust an Betriebszeit, wenn beispielsweise ein Wochenende dazwischen liegt.
    Trotzdem kann man von der Faustregel ausgehen: Je niedriger RPO und RTO, desto besser – und desto aufwändiger bzw. teurer.
    Je häufiger Backups durchgeführt werden, desto kürzer ist das RPO – jedenfalls im Durchschnitt. Auch, wenn Du nur einmal wöchentlich ein Backup durchführst, kannst Du das Glück haben, dass der Systemabsturz nur zehn Minuten nach dem letzten Backup passiert. Das ist aber weniger wahrscheinlich als wenn Du einmal täglich ein Backup machst.
    Das RTO hängt von der Art Deines Systems und von Geschick und Verfügbarkeit Deines technischen Supports ab. Lösungen, die ein niedriges RTO versprechen, sind tendenziell teurer: Wenn Du einen Supportvertrag abgeschlossen hast, der Dir eine Antwortzeit von einer Stunde garantiert, dann ist Dein System schneller wieder lauffähig als wenn Du Dich selbst darum kümmerst, nachdem Du mit Hilfe von Papierdokumentation erst einmal die ganze Sprechstunde abgearbeitet hast.
    RPO und RTO sind also stets ein Kompromiss zwischen dem, was man sich wünscht und dem, was man dafür ausgeben will. Sinnvoll sind in einer Arztpraxis aber auf jeden Fall ein RPO und RTO von jeweils unter einem Tag, besser nur einigen Stunden.
    Praktische Datensicherungsstrategie
    Wichtiger als die perfekte Datensicherungsstrategie zu finden: Eine Strategie festzulegen, die in der Praxis tatsächlich eingehalten wird. Sie darf also nicht zu sehr mit dem täglichen Geschäft in Konflikt geraten. Wenn sich niemand wirklich verantwortlich fühlt und lediglich der gute Vorsatz besteht, an irgendeinem Tag einmal wöchentlich nach Feierabend ein Backup zu machen, wird dies von Woche zu Woche mehr vernachlässigt werden.
    In einer Datensicherungsstrategie müssen folgende Dinge konkret festgelegt werden:
    Wer ist für das Backup verantwortlich? Vertretung?
    Beispielsweise die Praxismanagerin, bei Urlaub oder Krankheit die Praxisinhaberin.
    Welche Daten sollen gesichert werden?
    Mindestens das Datenverzeichnis der Praxisverwaltungsprogramms und das Verzeichnis mit der Korrespondenz. Eher zu großzügig sichern als zu sparsam.
    Wann sollen die Daten gesichert werden?
    Es gibt Lösungen, bei denen ständig eine zweite Version der aktuellen Daten vorgehalten wird, ein sogenannter Mirror. Dies ist jedoch teuer und für eine Arztpraxis in der Regel nicht notwendig. Eine mindestens tägliche Datensicherung ist aber zu empfehlen.
    Auf welche Medien sollen die Daten gesichert werden?
    Die Daten können über das Netzwerk gesichert werden, beispielsweise auf einen separaten Server oder ein NAS (siehe unten), oder auf einen externen Datenträger. Empfehlenswert ist eine Kombination aus beidem.
    Speicherung auf einen Server ist komfortabel und kann schnell wieder hergestellt werden. Server können zudem mit einem sogenannten RAID-System arbeiten: Einer Kombination aus Festplatten, bei der der Inhalt immer noch lesbar bleibt, wenn eine oder mehrere Platten ausfallen, so dass sie rechtzeitig vor Datenverlust ausgetauscht werden können. Ein ans Netz angeschlossener Server ist aber auch infektionsgefährdet, wenn ein Virus ins System gerät.
    Ein kleiner Server, der ausschließlich der Datenspeicherung dient, wird als NAS (Network-attached storage) bezeichnet. Er ist eine mögliche Ergänzung der Datensicherungsstrategie. Aber Vorsicht: Einige Hersteller liefern ihre NAS mit voreingestelltem automatischem Backup in die Cloud aus, das für den Benutzer nicht sehr transparent gemacht wird und schwierig bis gar nicht abzustellen ist. Solche Lösungen sollte man aus Gründen des Datenschutzes vermeiden. Zudem sollte man daran denken, dass auch ein NAS befallen werden kann, wenn das System mit einem Virus infiziert wird.
    Ein externer Datenträger hat den Vorteil, dass er außerhalb der Praxis aufbewahrt werden kann. So bleiben die Daten auch bei einem Einbruch oder einem Feuer erhalten. Externe Datenträger können beispielsweise USB-Festplatten, USB-Sticks oder auch Magnetbänder sein. Letztere sind in der Benutzung relativ langsam, der Inhalt bleibt aber anders als bei anderen Medien über Jahrzehnte stabil.
    Ebenfalls sicher vor Schäden und Einbrüchen in der Praxis sind die Daten in einem externen Rechenzentrum. Ein solches können sich im ambulanten Bereich nur große MVZ leisten. Auch kleinere Praxen können aber Verträge mit Anbietern von Rechenzentren abschließen, in denen die Daten sicher und gesetzeskonform gespeichert werden (hierzu muss unter anderem ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden).
    Eine vierte Möglichkeit ist das Backup in eine Cloud, das jedoch einige Sicherheitsprobleme mit sich bringt (siehe unten).
    Ob und wie werden die Medien verschlüsselt?
    Verschlüsselung ist Pflicht, wenn die Daten in eine Cloud gesichert werden. („Es gibt keine Cloud, nur die Computer anderer Leute.“)
    Zur Verschlüsselung gibt es eine Auswahl verschiedener Werkzeuge, beispielsweise TrueCrypt.
    Vorsicht: Wenn Du Dich entscheidest, Deine Backups zu verschlüsseln, verbessert das den Datenschutz, verschlechtert aber den Komfort des Backup-Prozesses. Wenn Euer Praxisteam beim Durchführen der Backups nachlässig wird, weil die Verschlüsselung so aufwändig zu benutzen ist, tut Ihr Euch damit keinen Gefallen. Wenn beispielsweise auf einer externen Festplatte gesichert wird und diese sicher aufgehoben wird (etwa im Tresor), dann ist eine Verschlüsselung nicht notwendig.
    Wo werden die Medien sicher aufbewahrt?
    Die Backupmedien sollten sicher sein vor
    Diebstahl und Unglücksfällen (Feuer, Wasserschaden). Beides kann etwa mit einem ausreichend guten Tresor erreicht werden. Da es unwahrscheinlich ist, dass Praxis und Wohnung gleichzeitig abbrennen, empfiehlt es sich zudem, eine Kopie stets an einem anderen Ort als der Praxis aufzubewahren. Auch diese zweite Kopie muss entsprechend gesichert sein, also nicht offen im Arbeitszimmer liegen, sondern beispielsweise eingeschlossen im heimischen Tresor.
    Wie lange werden die Medien aufbewahrt?
    Hier kommen unter Umständen die gesetzlichen Aufbewahrungsfristen ins Spiel (10 oder 30 Jahre), wenn die Dokumentation nur elektronisch vorliegt. Hier muss man daran denken, dass die Daten nicht nur unleserlich werden können, sondern auch Techniken veralten – viele moderne Computer haben beispielsweise kein CD-ROM-Laufwerk mehr. Magnetbänder sind eine bewährte Art der Langzeitspeicherung. Wenn man andere Medien verwendet, müssen sie regelmäßig umkopiert werden.
    Wenn keine gesetzlichen Aufbewahrungsfristen beachtet werden müssen, kann eine First-in-first-out-Strategie verwendet werden: Die jeweils ältesten Backups werden – beispielsweise nach drei Monaten – mit neuen Backups überschrieben.
    Eine andere Möglichkeit ist das Großvater-Vater-Sohn-Prinzip: Es wird einmal im Monat auf das „Großvater“-Medium gesichert, einmal in der Woche (z.B. freitags) auf das „Vater“-Medium und täglich auf das „Sohn“-Medium. So könnte man beispielsweise für die sechs zurückliegenden Monate jeweils ein Magnetband archiviert haben, für die wöchentlichen Backups externe Festplatten und für die täglichen Backups Verzeichnisse auf dem Server.
    Wer testet wie und wie oft, ob die alten Sicherheitskopien noch lesbar sind?
    Da elektronische Daten mit der Zeit unleserlich werden können, sollte auch dann gelegentlich probeweise eine Wiederherstellung (Rücksicherung) der Daten gemacht werden, wenn kein Datenverlust eingetreten ist. Hier muss natürlich aufgepasst werden, dass keine aktuellen Dateien überschrieben werden. Die Rücksicherung kann beispielsweise an einem dafür vorgesehenen Computer erfolgen, in einem festgelegten Intervall (beispielsweise einmal pro Monat).
    Alle Daten oder nur neue Daten sichern?
    Man unterscheidet drei Vorgehensweisen zur Datensicherung:
    Voll-Backup – alle Daten werden gesichert Differenzielles Backup – nur die Daten, die im letzten Voll-Backup nicht enthalten sind, werden gesichert Inkrementelles Backup – nur die Daten, die seit dem letzten inkrementellen Backup hinzugekommen sind, werden gesichert Das Voll-Backup benötigt den meisten Speicherplatz, ist aber am einfachsten und zuverlässigsten wiederherzustellen. Zudem ist es bei den anderen Backup-Arten schwierig, Daten aus den Backups zu löschen (weil sie beispielsweise privat sind oder weil Speicherplatz freigestellt werden soll).
    Eine gute Strategie ist beispielsweise ein wöchentliches Voll-Backup mit zusätzlich täglichem inkrementellen oder differenziellen Backup.
    Professionelle Lösung oder Eigenkonstruktion?
    Je nachdem, wie IT-affin Praxisinhaber und Team sind, kann eine Datensicherungsstrategie auch selbst umgesetzt werden.
    Hierbei sollten folgende Punkte beachtet werden:
    Die Datensicherung wird oft aus dem Grund selbst gemacht, weil Geld eingespart werden soll. An der Hardware sollte jedoch nicht gespart werden: Billig-Hardware macht auf lange Sicht oft mehr Probleme, als es das eingesparte Geld am Anfang rechtfertigt. Für die Software gilt das nicht unbedingt: Viele gute Lösungen, insbesondere für das Linux-Betriebssystem, aber auch für Windows, sind Open Source und damit kostenlos. Wenn nur eine Person in der Praxis sich mit der Datensicherung auskennt: Was passiert, wenn diese Person ausfällt? Wenn es sich um eine Mitarbeiterin handelt: Was, wenn sie kündigt oder in Ruhestand geht? Wenn es die Praxisinhaberin selbst ist: Was, wenn die Praxis an einen Nachfolger übergeben wird? Es sollten daher immer mindestens zwei Personen mit den Feinheiten der Praxis-IT vertraut sein. Je mehr Daten gesichert werden müssen, desto höher sind die Ansprüche an Hardware und Abläufe. Die Datensicherung einer Hausarztpraxis ist einfacher umzusetzen als die einer radiologischen Praxis. Die Datensicherung darf nicht im Alltagsgeschäft untergehen. Bei Eigenlösungen besteht immer die Gefahr, dass andere Dinge dringender erscheinen. Bei einem Ausfall der IT seid Ihr im Zweifelsfall gleichzeitig damit beschäftigt, den Betrieb aufrechtzuerhalten und den Fehler zu suchen. Dies ist eine stressige Situation, die nicht unbedingt zu besonnenem und analytischem Handeln führt. Man sollte sich diese Doppelbelastung rechtzeitig klarmachen. Bei der Beauftragung eines Dienstleisters fallen regelmäßige Kosten an. Dafür kann man sich bei einem guten Dienstleister jedoch darauf verlassen, dass die Einsatzfähigkeit des Systems schnell wiederhergestellt wird. Je nach Vertrag werden hierfür auch gewisse Garantien ausgesprochen. Es lohnt sich, mehrere Dienstleister zu vergleichen: Wie ist der versprochene Leistungsumfang? Mit wem könnt Ihr Euch ein gutes Arbeitsverhältnis vorstellen? Wenn Ihr einen vertrauenswürdigen Dienstleister habt, hält dieser Euch im Ernstfall den Rücken frei und Ihr könnt Euch derweil auf die Patientenversorgung konzentrieren.
    Die schlechteste Möglichkeit ist, die Aufgabe an einen nicht-professionellen Dritten auszulagern, beispielsweise einen Informatikstudenten aus dem Bekanntenkreis. Die Gefahr ist hoch, dass dieser im Ernstfall nicht erreichbar ist oder nicht genau weiß, was er tut. Der Zugriff eines Dritten auf die Praxis-IT muss ohnehin immer vertraglich geregelt werden (Auftragsdatenverarbeitung) und sollte nicht jemandem gewährt werden, der es nur „nebenher“ macht.
    Schnell wieder einsatzfähig mit Snapshots
    Ein Snapshot ist ein Abbild eines kompletten Dateisystems zu einem bestimmten Zeitpunkt. Man kann anhand eines Snapshots beispielsweise die Konfiguration eines Servers sichern, um ihn im Fall eines Schadens schnell wieder einsatzfähig zu machen. Werkzeuge hierfür sind unter Windows beispielsweise das kostenpflichte Drive Snapshot, unter macOS das ebenfalls kostenpflichtige Volume Snapshot und unter Linux der Logical Volume Manager LVM (Paket lvm2 für Ubuntu).
    Zum Nutzen von Snapshots haben wir Thomas Klug befragt, Geschäftsführer des Medizin-IT-Dienstleisters datenstrom aus Remscheid. Er sagt: „Mit Hilfe eines Snapshots kann ein beschädigtes System schnell wieder einsatzfähig gemacht werden. Wir hatten kürzlich erst den Fall einer Praxis, deren Server von Ransomware befallen wurde. Zu unserer Sicherheitsstrategie gehörte glücklicherweise ein zweiter Server, der nicht ohne weiteres vom Netzwerk aus zugänglich war, so dass er von der Ransomware verschont blieb. Diesen haben wir mit Hilfe des Snapshots zum primären Server der Praxis gemacht. Nach zwei Stunden konnte die Patientenversorgung wieder aufgenommen werden. Wenn erst ein neuer Server aufgesetzt und Daten von externen Medien rückgesichert werden müssen, kann die Ausfallzeit auch einen ganzen Tag betragen. Kürzlich hatten wir sogar einen Fall, in dem die gesamte IT-Ausrüstung eines Praxis ausgeräumt wurde und nur externe Sicherheitskopien vorlagen – die Praxis konnte erst nach einer Woche den normalen Betrieb wieder aufnehmen. Mittlerweile wurde dort auf ein moderneres Datensicherungskonzept umgestellt.“
    Das RTO (die Zeit, bis der Betrieb wieder aufgenommen werden kann – siehe auch Abbildung) kann also durch das Arbeiten mit Snapshots deutlich verkürzt werden. Noch deutlicher sind die Vorteile eines Snapshots bei der Verbesserung des RPO. Das RPO, wie oben besprochen, gibt an, wie alt der aktuellste Datensatz ist, der gerettet werden kann. Dazu Thomas Klug: „Die Snapshots können so eingestellt werden, dass im laufenden Betrieb mit geöffneter Datenbank alle 15 Minuten eine inkrementelle Sicherung durchgeführt wird. Im Ernstfall gehen daher maximal die Daten der letzten 15 Minuten verloren.“
    Vorbeugende Hygiene gegen Systemabstürze
    Zum Schluss noch einmal zurück zur Ransomware und anderen Schädlingen. Tatsächlich ist die Wiederherstellung eines Backups – von ganz wenigen Ausnahmen abgesehen – die einzig realistische Chance, eine Infektion mit einem Cryptotrojaner zu „behandeln“. Aber auch Vorbeugung ist möglich: Hier sind die gleichen Maßnahmen empfehlenswert, die auch dem Schutz vor anderen Viren dienen.
     

    Christina Czeschik
    Die schnelle elektronische Kommunikation hat unser Privatleben bereits revolutioniert. Mal eben per SMS mitteilen, dass man zehn Minuten später zur Verabredung kommt, oder per WhatsApp den Einkaufszettel an den Partner schicken, der noch auf der Arbeit ist: Der Gewinn an Komfort ist beträchtlich.
    Verständlicherweise möchten Patienten diesen Komfort auch im Gesundheitssystem wiederfinden. Warum im Minutentakt mehrere Anrufe in die Hausarztpraxis tätigen, in der Hoffnung, dass gerade eine Arzthelferin am Platz ist, wenn man stattdessen in 30 Sekunden eine WhatsApp-Nachricht mit dem Rezeptwunsch schicken kann? So denken viele Patienten, und da den Ärzten die Zufriedenheit ihrer Patienten am Herzen liegt, bemühen sie sich, ihnen entgegenzukommen.
    Erwartungen der Patienten: E-Mail als Selbstverständlichkeit, Instant Messaging als Bonus
    Eine Suche auf dem Arztbewertungsportal Jameda nach dem Stichwort WhatsApp zeigt: Auf den Seiten von über 200 Ärzten deutschlandweit erwähnen Patienten WhatsApp. In den allermeisten Fällen äußern sie sich lobend über die Möglichkeit, mit der Ärztin oder dem Arzt per WhatsApp zu kommunizieren. Dies spiegelt sich meist auch in guten Bewertungen der Praxis mit vier bis fünf Sternen im Jameda-System. Nur selten wird WhatsApp in negativem Zusammenhang erwähnt: So bewertet ein Patient das Angebot des Arztes, sein Testergebnis per WhatsApp abzufragen, als unprofessionell. Überwiegend beziehen sich negative Wertungen aber darauf, dass Patienten zuweilen den Eindruck haben, dass Praxismitarbeiter ihren privaten WhatsApp-Nachrichten mehr Aufmerksamkeit schenken als ihnen.
    Die Kommunikation per SMS wird in den Patientenkommentaren auf Jameda vorwiegend im Zusammenhang mit Terminerinnerungen diskutiert. Patienten finden auch diese Möglichkeit komfortabel und loben sie in der Regel.
    Wenn man die Kommentare zum Thema E-Mail auswertet, fällt das Bild deutlich anders aus: Die Erreichbarkeit per E-Mail wird kaum je als positives Merkmal einer Praxis hervorgehoben, sondern fehlende Erreichbarkeit negativ kommentiert. Die schnelle Beantwortung von E-Mails an die Praxisadresse wird offenbar als Selbstverständlichkeit erwartet – so wie auch gute telefonische Erreichbarkeit kaum gelobt, sondern schlechte kritisiert wird. (Im Folgenden sind übrigens unverschlüsselte E-Mails gemeint, wenn kurz von „E-Mails“ die Rede ist.)
    Eine Auswahl der Gründe, die Patienten für den Wunsch nach elektronischer Kommunikation nennen:
    Erreichbarkeit des Arztes am Wochenende und nach Feierabend, geringere Wartezeiten am Telefon, geringere Wartezeiten auf Rezepte in der Praxis und Vermeidung von langen Anfahrtswegen. Teilweise sind diese Beweggründe auch aus Sicht des Arztes durchaus nachvollziehbar. Zudem kann beispielsweise eine Verringerung des Anrufvolumens die Anmeldung entlasten und den Praxisablauf reibungsloser gestalten.
    Darf man jedem Patientenwunsch nachkommen?
    Einige Wünsche und Vorstellungen der Patienten müssen aber hinterfragt werden:
    Tatsächlich gibt es Kollegen, die auch am Wochenende und nach Feierabend per Instant Messenger (WhatsApp und ähnliche) oder E-Mail für ihre Patienten erreichbar sind. Hier stellt sich jedoch die Frage, ob das im Sinne der Work-Life-Balance des Arztes nachhaltig ist. Das gilt vor allem, wenn Patienten sich auf dem privaten Smartphone des Arztes melden! Wenn es sich dagegen nicht um eine vom Arzt nur tolerierte Kontaktaufnahme auf dem privaten Handy handelt, sondern den Patienten bewusst angeboten wird, außerhalb der Sprechstundenzeiten (vielleicht auf einem Diensthandy) Kontakt per E-Mail, SMS oder Instant Messenger aufzunehmen, stellt sich natürlich die Frage nach der Abrechnung. Mehr dazu erfährst Du weiter unten in diesem Artikel. Der oben genannten Auswertung von Jameda-Kommentaren zufolge gibt es nicht wenige Patienten, die eine regelrechte Fernbehandlung per Instant Messenger oder E-Mail erwarten. Wenn diese nicht erfolgt, reagieren sie zuweilen empört. Es muss aber klar festgehalten werden, dass – außerhalb von wenigen Modellprojekten – immer noch ein erstmaliger persönlicher Kontakt zwischen Arzt und Patient Voraussetzung einer Behandlung ist. Ausländische Anbieter wie DrEd haben versucht, diese Regel aufzuweichen, und haben dafür in der Vergangenheit viel Kritik eingesteckt. In vielen Fällen ist eine Fernbehandlung zwar möglich (und es drängen auch bereits Mitbewerber von DrEd auf den Markt) – es ist aber nicht ratsam, nach eigenem Ermessen den gesetzlichen Rahmen zu verlassen. Pflichten der Arztpraxis: Zuverlässigkeit und Datenschutz
    Auch Ärzte tragen jedoch die Verantwortung für einige Missverständnisse:
    Wenn eine Kontakt-Mailadresse auf der Praxishomepage steht, kann der Patient zu recht erwarten, dass E-Mails, die an diese Adresse gehen, beantwortet werden – selbst wenn es nur mit dem Hinweis ist, dass vertrauliche Informationen nicht per E-Mail verschickt werden. Ärzte sollten als Dienstleister und Lotsen der Patienten die Verantwortung dafür übernehmen, dass die Kommunikation zwischen ihnen vertraulich und innerhalb des gesetzlichen Rahmens abläuft. Das heißt, wenn ein Patient eine ungeeignete Form der Kommunikation wie beispielsweise WhatsApp vorschlägt oder verlangt, ist es Aufgabe des Arztes, den Patienten auf die damit verbundenen Probleme hinzuweisen und alternative Angebote zu machen. Datenschutz, Haftung und Abrechnung
    Wenn man seinen Patienten die Möglichkeit zur elektronischen Kommunikation anbieten möchte, sind drei Fragen zu klären:
    Datenschutz – Wie kann ich sicher und vertraulich mit dem Patienten kommunizieren? Haftung – In welchen Fällen darf ich fernbehandeln, ohne meine Sorgfaltspflicht zu verletzen? Abrechnung – Wird meine Kommunikation mit dem Patienten bezahlt oder arbeite ich umsonst? Diese drei Themen werden wir im Folgenden genauer anschauen.
    Welche Kommunikationsverfahren sind sicher?
    Technisch gesehen handelt es sich weder bei herkömmlicher E-Mail noch bei SMS um eine sichere, also Ende-zu-Ende-verschlüsselte, Kommunikationsform. Das bedeutet, die Informationen sind hier weniger sicher als beispielsweise in einem herkömmlichen, verschlossenen Brief.
    Welche Informationen dürfen über diese unsicheren Wege verschickt werden? Unproblematisch sind alle Informationen zur Praxisorganisation – die ja in den meisten Fällen auch öffentlich auf der Webseite der Praxis stehen. Beginn und Ende der Termin- oder offenen Sprechstunde, Parkmöglichkeiten und Anreise mit öffentlichen Verkehrsmitteln, über all dies darf der Patient über jedes der genannten Medien informiert werden.
    Wie steht es mit Terminvereinbarungen und der beliebten Terminerinnerung per SMS oder E-Mail? Oft kann schon aus der Art des Termins hergeleitet werden, aus welchem Grund der Arzt aufgesucht wird. Zudem nennt der Patient in der Terminanfrage in der Regel seine Erkrankung oder den Vorstellungsgrund. Es handelt sich also um vertrauliche Daten, die nicht per E-Mail, SMS oder WhatsApp verschickt werden sollten.
    Reine Terminvereinbarungen und Terminerinnerungen per SMS sind weniger kritisch. Im Prinzip ist ja die Tatsache, dass ein Patient einen bestimmten Termin hat, auch durch Beobachtung des Praxiseingangs herauszufinden, und das Verschicken von Postkarten mit Terminerinnerungen ist ebenfalls schon lange im Alltag etabliert, so dass das Risiko, dass Datenschützer daran Anstoß nehmen, nicht null, aber relativ gering ist. Sicherheitshalber sollte das schriftliche Einverständnis eines jeden Patienten vor Nutzung von SMS oder E-Mail eingeholt werden.
    In einige Praxisverwaltungsprogramme ist auch bereits der automatische Versand von Erinnerungen per SMS oder E-Mail integriert. Ebenfalls praktisch: Hier wird in der Regel beim ersten Versand gefragt, ob eine Einverständniserklärung des Patienten vorliegt.
    Was, wenn der Patient eine vertrauliche Anfrage über SMS/Mail/WhatsApp schickt?
    Klar ist: Die Nachricht des Patienten sollte in jedem Fall beantwortet werden. Nachrichten, die im elektronischen Nirwana verschwinden, machen einen unorganisierten und unprofessionellen Eindruck.
    Wenn Du auf Nummer sichergehen möchtest, kannst Du mit einem Hinweis antworten, dass Du per E-Mail/SMS/WhatsApp keine Behandlungsanlässe besprechen möchtest und um telefonische oder persönliche Kontaktaufnahme bittest.
    WhatsApp: Berufliche Nutzung ausgeschlossen
    WhatsApp ist übrigens ein Sonderfall: Die Entwickler werben zwar mit Ende-zu-Ende-Verschlüsselung – jedoch gibt es keinen Mechanismus, mit dem festgestellt wird, dass der Gesprächspartner tatsächlich derjenige ist, der er zu sein scheint. Andere Apps wie beispielsweise Threema haben dies so umgesetzt, dass man vor Beginn der Kommunikation (einmalig bzw. nach Neuinstallation des Messengers) einen Barcode vom Handy des Gegenübers scannen muss. Hinzu kommt, dass WhatsApp laut Geschäftsbedingungen nur für den privaten Einsatz zugelassen ist. Wenn Du WhatsApp für berufliche Zwecke nutzt und dabei „unerwünschte Nebenwirkungen“ auftreten wie zum Beispiel ein Datenleck an die Öffentlichkeit, dann kann WhatsApp damit alle Verantwortung von sich weisen.
    WhatsApp hat zwar das Potenzial der beruflichen Nutzung erkannt und arbeitet zur Zeit an einer WhatsApp-Business-Version, die zunächst in Indien auf den Markt kommen wird. Der Berichterstattung zufolge soll diese aber eher neue Möglichkeiten im Anzeigengeschäft eröffnen. Einfacher gesagt: Private Kunden sollen mehr Werbung zu sehen bekommen. Es ist nicht zu erwarten, dass WhatsApp Business bessere Datenschutzbedingungen mitbringen wird.
    Facebook: Keine vertraulichen Angaben posten
    Als Arztpraxis auf Facebook präsent zu sein, ist dagegen auch nach den Geschäftsbedingungen von Facebook möglich. Dies sollte man aber nur nutzen, um nützliche Informationen zur Praxis und Organisation zu posten, wie etwa Adresse, Telefonnummer und Sprechzeiten. Keinesfalls dürfen medizinische Befunde über Facebook verschickt werden: Nur allzu leicht können Inhalte geteilt werden, und nicht jeder Patient (und nicht jeder Praxismitarbeiter) ist sich darüber im Klaren, dass die Vertraulichkeit auf Facebook von den Einstellungen der Privatsphäre abhängig ist.
    Selbst, wenn man die Verschlüsselung im Facebook-Messenger aktiviert, sind die Nachrichten nicht sicherer als bei WhatsApp: Es fehlt hier wie dort die Garantie, dass der Gegenüber der ist, der er vorgibt zu sein.
    Wenn Deine Arztpraxis auf Facebook oder in anderen sozialen Netzwerken präsent sein will, dann gilt: Alle Angaben, die Ihr auch auf Eurer Praxiswebseite veröffentlichen würdet, sind bei Facebook gut aufgehoben.
    So weit also zu den unsicheren Verfahren. Was sind nun die sicheren Alternativen?
    Verschlüsselte E-Mails: Sicher, aber anfangs aufwändig
    Konventionelle E-Mail und SMS sind nicht Ende-zu-Ende-verschlüsselt. Datenschützer vergleichen oft: Eine unverschlüsselte E-Mail ist so vertraulich wie eine Postkarte.
    Ein hohes Sicherheitsniveau bieten dagegen mit PGP oder S/MIME verschlüsselte E-Mails. Um diese mit dem Patienten auszutauschen, muss man sich ein Schlüsselpaar generieren und dem Patienten den öffentlichen Schlüssel aus diesem Paar zukommen lassen. Sowohl Praxis als auch Patient brauchen dabei einen E-Mail-Client, der die Verschlüsselung beherrscht (dies lässt sich auch per Plugin nachrüsten). Die meisten Patienten werden die Notwendigkeit dazu nicht erkennen und zu dem zusätzlichen Aufwand nicht bereit sein.
    Ein weiterer Nachteil: In der lange erwarteten Telematik-Infrastruktur soll zwar eine Möglichkeit zur verschlüsselten E-Mail-Kommunikation zwischen Ärzten (KOM-LE) etabliert werden – diese schließt aber nicht die verschlüsselte Kommunikation mit Patienten ein. Mit S/MIME oder PGP verschlüsselte E-Mails an oder von Patienten lassen sich nicht über das Praxisverwaltungsprogramm verschicken.
    Ein verschlüsselter Messenger: Threema Work
    Einen guten Ruf unter Datenschützern hat die schweizerische App Threema. Sie bietet nicht nur Ende-zu-Ende-Verschlüsselung, sondern auch Authentifizierung des Gesprächspartners durch Scannen eines Barcodes. Die Features der App sind grundsätzlich die gleichen wie die von WhatsApp: Anlegen von Gruppen, Teilen von Fotos und Videos, Sprachanrufe und anderes. Es handelt sich also um eine vollwertige WhatsApp-Alternative. Nachdem bekannt wurde, dass WhatsApp von Facebook gekauft wurde, hatte Threema denn auch einen deutlichen Zustrom von Nutzern, die um die Sicherheit ihrer Kommunikation fürchteten.
    Wie WhatsApp ist das herkömmliche Threema aber auch nur für die private Nutzung vorgesehen. Als Alternative für berufliche Anwender gibt es Threema Work. Dieses hat zusätzliche Features und kann beispielsweise mit einem zentralen Verzeichnis synchronisiert und für jedes Unternehmen individualisiert werden. Es kostet in der Basisversion einmalig 4,60 EUR (Threema für Privatpersonen: 2,99 EUR). In höheren Versionen wird ein Preis von 1,30 EUR bzw. 1,80 EUR pro Monat und Nutzer fällig.
    Threema Work kann mit privaten Threema-Nutzern kommunizieren, so dass beispielsweise das Versenden von Befunden von einer Threema-Work-Instanz der Praxis an den privaten Threema-Account eines Patienten denkbar ist. Ein weiterer Vorteil: Für die Praxismitarbeiter bleibt die private Kommunikation von der beruflichen Kommunikation getrennt. So ist etwa das Risiko geringer, aus Versehen private Fotos an Patienten oder vertrauliche Befunde an private Kontakte weiterzuleiten.
    Die Identifikation als Threema-Nutzer erfolgt nicht mit der Handynummer, sondern mit einer Kennung, die aus Buchstaben und Zeichen besteht. Diese kann zwischen dem Threema-Work-Nutzer in der Arztpraxis und dem Patienten ausgetauscht werden. Es besteht also nicht die Notwendigkeit, die berufliche oder gar private Handynummer des Arztes herauszugeben.
    Nachteil: Threema ist in keines der gängigen Praxisverwaltungssysteme integriert. Von Seiten der Threema-Entwickler ist nicht geplant, eine Version für das deutsche Gesundheitssystem herauszubringen. Auch eine Desktop-App gibt es nicht.
    Dedizierte Apps und Portale für das Gesundheitswesen
    Die Videosprechstunde wird zwar stets als Paradebeispiel für die Telemedizin genannt – aber eine Videoverbindung ist keine Voraussetzung für eine zielführende Kommunikation zwischen Arzt und Patient. Telemedizin-Vorreiter DrEd aus Großbritannien hat seine Videosprechstunde sogar mangels Nachfrage eingestellt und arbeitet nun nur noch mit textbasierten Fragebögen. DrEd und seine Mitbewerber sind aber insofern besonders, als dass sie die ärztliche Leistung gleich mit anbieten.
    Welche Möglichkeiten hat nun eine Ärztin oder ein Arzt in Deutschland, mit einer speziell aufs Gesundheitswesen zugeschnittenen App mit den Patienten zu kommunizieren? Die folgende Liste zeigt nur einen Ausschnitt des aktuellen Angebots.
    Mein Arzt direkt ist ein Internet-Portal, in dem Ärzte und Patienten sich in einem Online-Sprechzimmer treffen können. Mit Hilfe von individuellen Zugangscodes wird sichergestellt, dass tatsächlich nur der eingeladene Patient das Sprechzimmer betreten kann. Neben einer Einrichtungspauschale von 49,90 EUR werden eine Grundgebühr von 19,90 EUR pro Monat und eine Umsatzbeteiligung für die Rechnungsabwicklung fällig. Das Honorar pro Fall kann der Arzt dabei selbst festlegen und mit seiner Antwort zusammen mitteilen. Die Auszahlung erfolgt durch Mein Arzt direkt.
    Wie steht es um den Datenschutz? Auf der Webseite wird angegeben, dass die Daten zuverlässig verschlüsselt würden, jedoch ohne weitere Details zu nennen. Ob es sich um eine sichere Ende-zu-Ende-Verschlüsselung handelt, ist also unklar.
    PVS-Anbieter medatixx hat eine Patientenapp im Programm, die natürlich auch in die firmeneigenen PVS eingebunden ist, und zwar als Teil der Kommunikationslösung x.comcenter: x.patient. Neben einem Messenger enthält x.patient ein Vitalparameter-Tagebuch, einen Medikationsplan mit Erinnerungsfunktion und eine automatische Folgerezeptanforderung. Wie andere medatixx-Lösungen scheint die App mit Benutzerfreundlichkeit zu punkten und ist nahtlos in das PVS eingebunden. Zur Verschlüsselung gibt es aber auch hier keine konkreten Informationen – Ende zu Ende? Ein weiterer Nachteil: Nicht jeder interessierte Arzt wird gleich das PVS wechseln wollen, um per App mit Patienten zu kommunizieren.
    Mit großen Ambitionen startete Klara (ehemals Goderma) in Deutschland: Geplant war eine Diagnostik-App, die jedoch in Deutschland unter anderem am Fernbehandlungsverbot scheiterte. Die Gründer wechselten auf zwei Arten ihre Strategie: Klara ist nun eine Kommunikations App – und man scheint sich vollkommen auf den US-amerikanischen Markt eingeschossen zu haben. Klara hat einige Features, die auch deutsche Praxismanagerinnen nützlich fänden: Beispielsweise kann automatisch berechnet werden, wieviel Prozent der Patienten ihren Termin nicht einhalten. Für deutsche Praxen ist eine Zusammenarbeit mit Klara, die mittlerweile in New York sitzen, leider keine Option, so lange Klara nicht dem US-europäischen Datenschutzabkommen Privacy Shield beigetreten ist.
    Der sichere Messenger MediOne ist speziell für das Gesundheitswesen angepasst und stellte eine sichere Alternative zu Whats-App dar: die Kommunikation ist Ende-zu-Ende verschlüsselt und kann entsprechend den Datenschutzanforderungen der DSGVO in der Arztpraxis / MVZ eingesetzt werden. Patienten können ohne großen Aufwand die App installieren, in der Arztpraxis wird die Software auf einem stationären PC benutzt.
    Zukunftsmusik: Was sollte eine Arzt-Patienten-App eigentlich leisten können?
    Keine der bisher besprochenen Lösungen fügt sich nahtlos in die Prozesse einer Arztpraxis ein – und auf Patientenseite sind zumindest die sicheren Lösungen gleichzeitig nicht komfortabel genug.
    Um Ärzten und MFAs den Alltag tatsächlich zu erleichtern, sollte eine App zur elektronischen Patientenkommunikation folgende Funktionen bereitstellen:
    Sie sollte sich auch von einem stationären Desktop-Rechner (oder Laptop) aus bedienen lassen. Idealerweise sollte sie auch mit dem PVS verzahnt sein.  Damit verbunden: Nachrichten sollen von mehreren Mitgliedern des Praxisteams bearbeitet werden können, nicht nur vom Besitzer oder Benutzer des einen Praxis-Smartphones (oder privaten Smartphones des Arztes). Sie sollte mit einer Verschlüsselung arbeiten, die den Namen auch verdient: Also Ende-zu-Ende, mit Authentifizierung der Gesprächspartner. Sie sollte für den Patienten einfach vom Smartphone aus zu nutzen sein, mit minimalem Installations- oder Anmeldungsaufwand. Sie sollte für den Patienten kostenlos sein – und idealerweise auch für den Arzt. Wir werden diesen Bereich im Auge behalten und hoffen, Euch bald eine Lösung präsentieren zu können! 
    Damit zum nächsten Thema: Wenn man für sich eine sichere und komfortable App identifiziert hat, muss als nächstes entschieden werden, in welchen Fällen und mit welchen Patienten sie zum Einsatz kommen soll.
    Wann darf ich fernberaten oder fernbehandeln?
    Die Möglichkeit der Fernberatung muss man verantwortungsvoll einsetzen: Größer als bei der persönlichen Vorstellung ist hier das Risiko, wichtige Hinweise auf schwere Erkrankungen zu übersehen oder die Dringlichkeit einer Erkrankung falsch einzuschätzen.
    Laut einer Statistik des Start-ups Klara führen 20% der elektronischen Kommunikation zwischen Arzt und Patient zu einer persönlichen Vorstellung des Patienten. Der genaue Prozentsatz ist sicher sehr von den demographischen Merkmalen der Patienten abhängig. Mit der Anordnung einer persönlichen Vorstellung sollte man aber eher zu großzügig als zu sparsam sein.
    Dass vor einer Fernbehandlung zumindest einmal ein persönlicher Kontakt zwischen Arzt und Patient stattgefunden haben sollte – das oft kritisierte „Fernbehandlungsverbot“ – ist sicher eine gute Faustregel. Ein unbekannter Patient ist unter Umständen eine tickende Zeitbombe, wenn er im elektronischen Anamnesegespräch wichtige Vorerkrankungen verschweigt, die im persönlichen Gespräch möglicherweise durch körperliche Zeichen aufgefallen wären.
    Bei einem bekannten Patienten gibt es eine ganze Reihe von Anlässen, die sich für die elektronische Konsultation eignen:
    Wundkontrollen (fotografisch) Verlaufskontrollen von Hauterkrankungen Fragen zur Medikamenteneinnahme Fragen zu vom Patienten oder Pflegedienst gemessenen Vitalwerten (Blutdruck, Blutzucker, INR-Wert) Besprechung des weiteren Vorgehens nach Krankenhausaufenthalt oder Facharztbesuch Verlaufskontrolle von Gesundheitsstörungen, die evtl. eine Überweisung zum Facharzt oder ins Krankenhaus notwendig machen (LWS-Schmerzen, Sodbrennen, Restless Legs) Übermittlung von Befunden inkl. Laborergebnissen Wenn sich hier Komplikationen andeuten – Wundinfekt, Blutdruckspitzen oder ähnliches – muss eine persönliche Vorstellung vereinbart werden.
    Nicht geeignet für die elektronische Konsultation sind Anlässe, bei denen entweder ein schwerwiegender Verlauf möglich ist und zeitnah ausgeschlossen werden muss, oder Erkrankungen, zu denen noch kein persönlicher Arzt-Patienten-Kontakt stattgefunden hat, zum Beispiel :
    Akute, erstmalig aufgetretene Symptome, wie Brustschmerzen, Atemnot oder auch Beschwerden im Rahmen eines grippalen Infekts Blutdruck- und Blutzuckerentgleisungen Herzrhythmusstörungen (Arrhythmie) oder Herzfrequenzstörungen (Bradykardie, Tachykardie) Akut aufgetretene neurologische Ausfälle Dies ist keine erschöpfende Aufzählung. Im Einzelfall muss stets vorsichtig abgewogen werden, ob eine persönliche Konsultation angezeigt ist, um schwerwiegende Verläufe rechtzeitig zu erkennen.
    Wie kann man elektronische Kommunikation abrechnen?
    Nach GOÄ können die Nummern 1 (Beratung) und 3 (eingehende Beratung, mind. 10 min) auch für die Beratung „per Fernsprecher“ abgerechnet werden. Dies lässt sich auch auf die elektronische Kommunikation verallgemeinern. Voraussetzung ist auch hier, dass der Erstkontakt nicht nur elektronisch erfolgt ist. Obwohl für Telefonate Zuschläge für Unzeiten erhoben werden können: A – außerhalb der Sprechstunde, B – zwischen 20 und 22 Uhr sowie zwischen 6 und 8 Uhr, C – zwischen 22 und 6 Uhr sowie D – samstags, sonn- und feiertags, wird in Bezug auf E-Mail und Instant Messaging eher davon abgeraten, da auch eine asynchrone Bearbeitung der Nachrichten, beispielsweise am Montagmorgen, möglich ist.
    Nach EBM können sogenannte „mittelbare“ Arzt-Patienten-Kontakte dann abgerechnet werden, wenn es entweder im Quartal keinen anderen Kontakt gab (Ziffer 01435) oder die Inanspruchnahme unvorhergesehen und zur Unzeit erfolgt (Ziffer 01100 / 01101). Was mittelbare Patientenkontakte sind, wird in den Allgemeinen Bestimmungen der KBV definiert: Kontakte, bei denen sich Arzt und Patient nicht am selben Ort befinden, soweit dies berufsrechtlich zulässig ist. Wie wir oben schon festgestellt haben, ist die elektronische Kommunikation zulässig, soweit sie zuverlässig verschlüsselt ist, könnte also als mittelbarer Kontakt theoretisch wie oben abgerechnet werden. Aber: Wegen des Fernbehandlungsverbots muss zuvor ein Patientenkontakt stattgefunden haben – und wenn dieser im gleichen Quartal war, wird die Ziffer 01435 wiederum gestrichen. Die Abrechnungsmöglichkeiten nach EBM sind also eher mager.
    Anders bei der Videosprechstunde. Diese stellt Arzt und Patient weitere Medien zur Verfügung, um ein vollständiges Bild des Behandlungsanlasses zu zeichnen: Bild und Ton. Durch die Vorgaben des E-Health-Gesetzes hat auch eine abrechenbare Leistungsziffer nach EBM in die Gebührenordnung Einzug gehalten.

    Christina Czeschik
    50% aller E-Mails sind Spam
    Das geht aus einer Studie von Symantec hervor. Diese hat ebenso ermittelt, dass jeder berufliche E-Mail-Nutzer pro Tag im Durchschnitt 42 E-Mails erhält. Im Schnitt 21 davon sind Spam: Es geht also um „Business Opportunities“ in Nigeria, die Sie nicht interessieren, oder um verschreibungspflichtige Medikamente aus dem Ausland, nach denen Sie nie gefragt haben.
    Schon seit E-Mail zum allgemeinen Kommunikationsmittel geworden ist, wird über das Ärgernis Spam geklagt. Fest steht aber: Wenn eine Spam-E-Mail nicht auch gelegentlich einmal den gewünschten Erfolg zeigen würde, dann gäbe es das Phänomen nicht. Eine Studie der UC San Diego hat gezeigt, dass die Betreiber einen bestimmten Spam-Netzwerks mit ihrem Tun 7000 US-Dollar pro Tag einnehmen. Die Chefs der Operation nehmen dabei mit Hilfe eines Virus fremde Computer ein, die sie dann anweisen, in ihrem Auftrag die Spam-Mails zu versenden. Dies bezeichnet man auch als Botnetz.
    Ein solches Botnetz kann viele Hunderte von Millionen Spam-Nachrichten pro Tag verschicken. Die Forscher stellten in „ihrem“ Botnetz fest, dass 28 einzelne Mails von insgesamt 350 Millionen tatsächlich zu einem Kauf – beispielsweise von Viagra oder Haarwuchsmittel – führten. Diese geringen Erfolgsquoten genügen, um das Spam-Business profitabel zu halten.
    Spam nicht nur auf E-Mail beschränkt
    Tatsächlich ist E-Mail-Spam aber leicht rückläufig: Während Spam jetzt gerade 50% aller Nachrichten ausmacht, waren es 2013 noch 66%. Für diesen Rückgang gibt es vermutlich zwei Gründe: Spamfilter halten so viele der Spam-Mails ab, dass weniger Mails tatsächlich gelesen werden und noch weniger zu einem Kauf führen. Und die Spammer weichen zunehmend auf andere soziale Kanäle aus.
    Das Phänomen Spam hat mittlerweile nämlich praktisch jedes soziale Netzwerk – Facebook, WhatsApp, Twitter, Xing & Co. – erreicht. Die Urheber des Spam gehen dabei in der Regel so vor, dass sie die Konten echter Mitglieder übernehmen und den Spam an deren Freunde senden, aber auch sogenannte Wegwerf-Konten einrichten, die häufig gewechselt werden. Spammer nutzen hier auch die eingebauten Funktionen sozialer Netzwerke: So kann dort Spam beispielsweise auch speziell an Mitglieder bestimmter Gruppen oder mit bestimmten demographischen Merkmalen versandt werden.
    Wie funktioniert ein Spamfilter?
    Einer der Gründe, warum Spam sich von E-Mails in die sozialen Netzwerke verlagert: Die Spamfilter für E-Mail-Postfächer werden immer besser.
    Spamfilter sind Programme, die jede einzelne ankommende E-Mail begutachten. Dabei betrachten sie drei Bereiche:
    Ist der Absender ein bekannter Spammer? Oder hat er ein Postfach bei einem Provider, der viele Spammer beheimatet? Stehen im Header (Kopf) der E-Mail verdächtige Informationen? Liest sich der Textkörper der E-Mail wie eine Spam-Mail? Die erste Frage ist für ein Computerprogramm am leichtesten zu beantworten – es braucht hier nur seine Liste von verdächtigen Absendern durchzugehen, die sogenannte Blacklist. Zusätzlich vergeben manche Filter „Strafpunkte“ für E-Mails, die in der Empfängeradresse nur eine Mailadresse, aber keinen Namen stehen haben, also etwa robert.koch@gmail.com statt „Robert Koch“ robert.koch@gmail.com.
    Auch bei Punkt zwei – der Analyse des Headers – kommen Blacklists zum Einsatz. Der Header der E-Mail beinhaltet die Empfänger- und Absenderadressen, die Adresse, an die geantwortet werden soll, die IP-Adressen der Server, über die die E-Mail zugestellt wurde, und einiges mehr an technischen Informationen. Verdächtige Hinweise im Header: Ist die Reply-to-Adresse eine andere als die Absenderadresse? Das könnte darauf hindeuten, dass der Absender weder Antworten noch Fehlermeldungen erhalten will, weil er Tausende oder Millionen von E-Mails verschickt hat. Wird versucht, eine respektable Domain nachzuahmen, beispielsweise g00gle.com statt google.com oder gnnail.com statt gmail.com?
    Die Analyse des Textkörpers ist schließlich am schwierigsten – denn sogar Menschen können hier eine Spam- oder Phishing-E-Mail nicht immer eindeutig identifizieren. Gute Spamfilter greifen hier auf Machine Learning und künstliche Intelligenz zurück. Das heißt: Der Filter wird mit einer riesigen Menge an echten E-Mails trainiert. Zu jeder dieser Mails bekommt er mitgeteilt, ob es sich um eine Spam- oder um eine vertrauenswürdige E-Mail handelt. Er lernt so anhand statistischer Methoden von selbst, anhand welcher Merkmale er die beiden am besten unterscheiden kann. Dies können zum Beispiel bestimmte Schlüsselwörter sein („free“, „kostenlos“, „viagra“, „click here“, „sofortkredit“ und ähnliche), viele Links oder Links zu bekannten verdächtigen Webseiten, besonders bunte Farben im HTML oder – im Gegenteil – Text in Schriftgröße 0, den Spamversender manchmal in ihre Mails einbetten.
    Wie trainiere ich meinen Spamfilter?
    Aktuelle Spamfilter werden immer auf dem Mailserver aktiv, also bevor Du Deine E-Mails auf den Computer heruntergeladen hast. Sie können dazu entweder auf dem Server selbst installiert sein – viele E-Mail-Provider haben bereits gute Spamfilter laufen – oder in Deinem E-Mail-Client. Von Deinem Client aus stellt der Filter dann eine Verbindung zu Deinem E-Mail-Postfach auf dem Server her und tut dort seine Arbeit. So enthalten beispielsweise Windows Outlook und Mozilla Thunderbird schon Spamfilter, die nach einer gewissen Trainingsphase relativ zuverlässig arbeiten.
    Diese Trainingsphase solltest Du von Hand unterstützen: Jedes Mal, wenn eine unerkannte Spam-Nachricht in Deinem Postfach landet, solltest Du sie manuell als „Spam“ markieren. Dies hilft dem Spamfilter, in Zukunft noch zuverlässiger Spam und vertrauenswürdige E-Mails voneinander zu unterscheiden. Im bei Mozilla Thunderbird eingebauten Spamfilter funktioniert dies beispielsweise, indem Du das Flammensymbol der verdächtigen Nachricht durch einen Klick aktivierst (siehe Abbildung).
    Wichtig: Wenn Du einmal eine E-Mail fälschlicherweise als Spam markiert hast, mache dies auf jeden Fall wieder rückgängig – sonst lernt Dein Filter etwas Falsches, und Du erhöhst das Risiko, dass harmlose E-Mails im Spamfilter landen.
    Auch von der anderen Seite – der Seite der vertrauenswürdigen Absender und E-Mails – her kann man den Spamfilter trainieren. So werden in der Regel Adressen aus dem eigenen Adressbuch automatisch von der Spamfilterung ausgenommen. Man kann daneben auch vertrauenswürdige Domains definieren, so dass dann kein Absender von dieser Domain mehr dem Spamfilter zum Opfer fällt.
    Bei Spam gilt, ähnlich wie bei Computerviren: Zwischen Angreifern und Verteidigern läuft ein ständiges Katz-und-Maus-Spiel. Sobald die Entwickler von Spamfiltern eine zuverlässige Methode entdeckt haben, um Spam zu identifizieren, versuchen die Spamurheber, diese auszuhebeln. Da aber die neuesten Filter „live“ mitlernen, fällt dies den Spamabsendern immer schwerer.
    Spam öffnen oder nicht?
    Nicht jede Spam-E-Mail enthält nur lästige, aber harmlose Sonderangebote. Spam bringt dabei vor allem zwei Gefahrenquellen ins Spiel: Malware – also Viren, Würmer und Trojaner – und Phishing-Attacken.
    Malware kannst Du Dir schon durch das Öffnen eines E-Mail-Anhangs einfangen. Auch eine scheinbar harmlose Word-Datei kann sogenannte Makroviren beinhalten, die den Rechner schon beim Anklicken des Anhangs befallen. Ebenfalls streng verboten: Auf Links klicken. Hier kannst Du Dir sowohl einen Virus holen als auch Opfer einer Phishing-Attacke werden (mehr zum Phishing weiter unten).
    Im Prinzip kann sogar das Anschauen einer HTML-E-Mail zu einer Infektion führen. Moderne E-Mail-Clients deaktivieren aber aus diesem Grund in der Regel alle aktiven Inhalte von HTML-Mails, so dass der reine Textinhalt dann gefahrlos betrachtet werden kann.
    Wenn Du Dir nicht sicher bist, ob Dein E-Mail-Client dies tut, halte Dich besser an die Faustregel: Verdächtige E-Mails nicht öffnen.
    Wie erkenne ich eine Phishing-Mail?
    Eine besonders gefährliche Art von Spam sind Phishing-Mails. Diese ähneln in Inhalt und Aufmachung offiziellen Mails, beispielsweise von Deinem Telekommunikationsanbieter oder Paketdienst. Typischerweise enthalten diese Mails einen Link, mit dem Du Dich bei der entsprechenden Firma einloggen sollst. Als „Motivation“ dient dabei beispielsweise eine gefälschte Rechnung, der zufolge Du einen hohen Betrag nachzahlen sollst oder erstattet bekommst. Dies ist der Köder, mit der der Täter "fischt".
    Auch gern genommen: Man fordert Dich auf, Dich zum Ändern Deines Passworts einzuloggen, weil man eine Sicherheitslücke in der Passwortdatenbank gefunden habe. Erst, wenn Du dieser Aufforderung nachkommst, gerät Dein Passwort wirklich in falsche Hände, nämlich in die der „Phisher“. Diese geben sich große Mühe, um passend zu den offiziell wirkenden Phishing-Mails auch scheinbar seriöse Webseiten zu gestalten, auf denen Du dann versuchen sollst, sich einzuloggen. Die Webseite wird jedoch nicht von Deinem Provider oder Deiner Bank betrieben, sondern von den Betrügern selbst: Das heißt, diese halten nach Deinem Login-Versuch Deine Benutzerdaten in den Händen.
    Man muss zugeben: Phishing-Mails werden immer ausgefeilter und sind oft nur noch schwer von offiziellen Mails zu unterscheiden. Mit einigen Merkmalen verraten sich die Täter jedoch immer wieder:
    - Grammatik- und Rechtschreibfehler. Auch wenn Deine Bankberaterin gelegentlich mal ein Komma vergisst – ein mit Rechtschreibfehlern gespicktes Schreiben oder eines, in dem „der“, „die“ und „das“ wild durcheinandergeworfen werden, stammt mit ziemlicher Sicherheit nicht von ihr.
    - Unspezifische Anrede. Verdächtig ist nicht nur „Sehr geehrte Damen und Herren“ oder „Sehr geehrte Kunden“, sondern auch, wenn der erste Teil Deiner E-Mail-Adresse als Anrede verwendet wird, beispielsweise: „Lieber rmueller“.
    - Drohungen und Eile. Wenn die Sperrung Deiner Kreditkarte droht, dann wird Deine Bank Dich anrufen statt eine pampige E-Mail zu schreiben (sonst solltest Du vielleicht die Bank wechseln). Wenn der Absender Zeitdruck vortäuscht, ist dies immer als verdächtig zu werten.
    - Fremde Empfängeradresse. Wenn Deine eigene Adresse gar nicht im Empfängerfeld steht, sondern eine Adresse, die Du nicht kennst, ist dies ebenfalls höchst verdächtig auf Phishing oder Spam im Allgemeinen.
    - Falsche Empfängeradresse. Du hast Dich bei Paypal mit Ihrer Web.de-Adresse registriert, die angebliche Mail von Paypal trifft aber bei Deiner T-Online-Adresse ein? Ebenfalls unseriös.
    - Kleine Abweichungen in URLs und E-Mail-Adressen. Phisher hoffen darauf, dass Du nur flüchtig liest und nicht bemerkst, dass Yahoo! natürlich nicht unter der URL yah00.com zu finden ist. Oft werden auch Absenderadressen bei großen Providern verwendet, zum Beispiel dhl-kundenservice@gmail.com – der echte DHL-Kundenservice hat natürlich eine Adresse bei der Domain @dhl.de. Das gilt auch für Webadressen: Große Unternehmen lassen nicht immer, aber fast immer, alle ihre Aktivitäten über eine einzige große Domain laufen. So ist der Kundenservice von Paypal unter www.paypal.com/de/selfhelp/contact/email zu finden, nicht unter www.paypal-kundenservice.de.
    Im Zweifel gilt: Folge den Anweisungen in der E-Mail nicht. Wenn Du sichergehen willst, ob Deine Bank Dir eine E-Mail geschrieben hat, dann ruf sie an oder schreibe eine E-Mail an eine Dir bekannte Adresse dort. Wenn Du versehentlich doch einen Link in einer Phishing-Mail angeklickt hast, gib auf keinen Fall Deine Daten ein. Wenn Du es doch getan hast, musst Du das dort verwendete Passwort in allen Deinen Accounts, in denen Du es auch benutzt, ändern. Auch aus diesem Grund wird empfohlen, nie das gleiche Passwort für mehr als ein Konto zu verwenden.
    Wie sind Deine Erfahrungen mit Spam und Phishing-Mails? Ist Deine Praxis schon einmal Ziel einer Phishing-Attacke geworden? Hast Du weitere Tipps zur digitalen Selbstverteidigung?
     
     

×
×
  • Neu erstellen...

Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten.

Datenschutzerklärung

Wenn Dir Teramed gefällt, melde Dich kostenlos an.

Erhalte sofort Zugriff auf alle QM-Vorlagen und die Möglichkeit, Fragen im Forum zu stellen.

Anmelden Kostenlos verbinden

 Erst einmal weiterlesen, später vielleicht...