Cyber-Attacke: Bewerber entpuppt sich als Erpresser
Kriminalhauptkommissar Dirk Beerhenke ist im Dezernat Kriminalprävention der Kölner Polizei für Cyberkriminalität zuständig. Sein Wissen, das er innerhalb von 17 Jahren als Ermittler im Cybermilieu erworben hat, bringt er in Fortbildungen für Ärzte ein.
Welche Geräte sind angreifbar? Neben PC, Smartphone, Smart-TV und Babyphones mit Internetzugang kommen per Fernwartung erreichbare medizinische Geräte in Betracht. Selbst RFID-Chips, die z.B. in Kleidungsstücken der Diebstahlsicherung im Laden dienen, machen eine Kommunikation möglich.
Android und Windows besonders beliebt bei Tätern
Im Fokus der Täter stehen Android und Windowssysteme aufgrund ihrer großen Marktanteile. Laut Beerhenke kann man sich bei Windowssystemen auch einen Virus einfangen, ohne vorher etwas aktiv getan zu haben, etwa einen Dateianhang zu öffnen. Darum: „Installieren Sie eine Antivirensoftware!“
Besonders gefährlich seien Angriffe auf das IT-System mittels Schadsoftware wie Cryptotrojaner. Sie erfolgen in der Regel über E-Mails mit pdf-Anhängen.
Aktuell benutzen Täter Bewerbungsunterlagen als Tarnung. Die Praxis bekommt eine E-Mail mit der Bewerbung auf eine MFA-Stelle. Die Unterlagen seien als pdf-Datei angehängt. Doch: „Wenn Sie die öffnen, ist es schon passiert“, warnt der Hauptkommissar. Dann habe man vielleicht ein Schadprogramm geöffnet, das alle Praxisdaten verschlüsselt, kopiert oder vernichtet. Und es erscheint die Aufforderung, ein Lösegeld in Bitcoins zu zahlen, um wieder an seine Daten heranzukommen. „Manchmal hat eine Zahlung Erfolg, manchmal sind aber schon alle Daten gelöscht“, so Beerhenke. Er rät: „Nicht zahlen!“
Inzwischen existieren Netzwerke von automatisierten Schadprogrammen, sog. Botnets. Sie laufen auf vernetzten Rechnern und nutzen die Anbindungen sowie lokale Ressourcen und Daten, ohne dass der Eigentümer davon etwas weiß.
Wie kann man sich schützen? Erstens keine Anhänge von unbekannten Absendern öffnen. Zweitens die Funktion „Dateierweiterungen“ aktivieren. Die unterdrückte Erweiterung sei Standard ab Windows 7. Sie unterdrücke Dateikennungen wie „pdf.exe“ oder „pdf.com“, die zeigten, dass ein Programm und keine Textdatei angehängt wurde.
Niemals online ohne Antivirensoftware!
Arztpraxen sollten auch keine Geräte nutzen, die noch mit Windows XP laufen. „Windows XP mit Internetverbindung ist eine Katastrophe“, so der Cyberpolizist. Im Hamburger Hafen seien auf diesem Weg Containerkräne ferngesteuert worden.
Der sicherste Weg, um die Weitergabe von Schadsoftware im Praxisnetzwerk zu verhindern, sei eine physikalische Trennung. Der mit dem Internet verbundene Rechner an der Annahme, an dem E-Mails empfangen und Bestellungen aufgegeben werden können, sollte getrennt sein von den Terminals des Behandlungsnetzwerks mit Patientendaten, Befunden, Röntgenbildern und Praxisverwaltungssoftware. Haben mehrere Arbeitsplätze in der Praxis einen Internetzugang, rät der Kommissar zu weiteren gesonderten Rechnern oder Tablets, die keinesfalls mit dem Behandlungsnetzwerk verbunden sein sollten.
Zur Datenübertragung vom Annahmerechner in das Behandlungsnetzwerk empfiehlt Beerhenke einen USB-Stick, der nur für diesen Zweck verwendet werden dürfe. Mithilfe besonderer Applikationen könne sichergestellt werden, dass nur dieser Stick gelesen werden könne.
„Seien Sie für den Worst Case vorbereitet“, sagt der Polizist. Das Personal sollte regelmäßig informiert werden, was passieren kann, wie man sich schütze und wie im Fall eines Falles zu reagieren sei. Zuallererst gelte nach einem erfolgten Angriff: „Alles abschalten.“
Ist der Schadensfall eingetreten, sollte ein „Krisenraum“ vorhanden sein, in dem Fachleute und Ermittler während des laufenden Praxisbetriebs arbeiten könnten. „Alle relevanten Informationen müssen auf Papier vorhanden sein, denn die Rechner sind tot.“ Handyfotos eigneten sich zur Beweissicherung.
Schließlich müsse mit einer vollständigen Neuinstallation des Betriebssystems „sauber gemacht werden“. Eine Schnellformatierung reiche nicht aus.