IT-Sicherheit „Besorgniserregend“ – Cyberattacken werden immer häufiger

Autor: Anouschka Wasner

Auch der Einsatz von Mobiltele­fonen und Tablets in den Praxen muss geregelt werden. Auch der Einsatz von Mobiltele­fonen und Tablets in den Praxen muss geregelt werden. © BillionPhotos – stock.adobe.com

136.000 Cyberangriffe alleine aus dem Inland hat das Bundeskriminalamt im letzten Lagebild für 2022 registriert. Dabei kommt geschätzt nur jeder zehnte Vorfall überhaupt zur Anzeige. Entsprechend bewertet das BKA die Lage als besorgniserregend. Praxen und Kliniken sind dabei Opfer von ziellosen wie auch von zielgerichteten Angriffen. Ihre Verantwortung ist hoch.

Angriffe auf Einrichtungen im Gesundheitswesen sind im Vergleich zum Vorjahr um 74 % gestiegen, sagt der Security Report 2023 von Check Point Software Technologies. Und weltweit gehört das Gesundheitswesen aktuell zu den drei am häufigsten attackierten Branchen.

„Gerade MVZ, Arztpraxen und Diabetologische Schwerpunktpraxen  sind attraktive Opfer für Cyberkriminelle. Die Täter haben leider oft leichtes Spiel!”, sagt Dr. Friedhelm Petry, Diabetologe in einer Gemeinschaftspraxis in Wetzlar, der sich tief in die Thematik eingearbeitet hat. „Umfragen zeigen immer wieder, dass bei der Mehrheit der Praxen die Türen für Cyberkriminelle weit offen stehen.”

Praxen werden überholt von der galoppierenden Digitalisierung

Eines der Probleme: Kliniken und vor allen Dingen Arztpraxen, die nicht zu großen Strukturen gehören, fällt es aufgrund ihrer Größe oft schwer, ausreichend Expertise und Ressourcen für den professionellen Umgang mit der so zügig voranschreitenden Digitalisierung abzustellen. Auch die Bereitschaft, sich mit den Gefahren der Digitalisierung auseinanderzusetzen, ist oft nicht die größte – man hat ja schließlich Medizin studiert, um ärztlich zu arbeiten, nicht um IT-Probleme zu lösen.

So nachvollziehbar diese Position auch ist: Sie greift leider zu kurz. Denn gleichzeitig sind es die Ärztinnen und Ärzte, die für das haften, was in ihrer Praxis mit den Patientendaten passiert. Und die Vorstellung, dass die Praxis einige Tage einfach ausfallen könnte, weil kein PVS mehr funktioniert, kein Rezept mehr ausgestellt werden kann und auch das Kartenlesegerät nicht funktioniert, bringt jedes Praxisteam an den Rand des Vorstellungsvermögens: Versorgende Einrichtungen stehen mehr als alle anderen Unternehmen unter einem extremen Ausfalldruck.

Szene der Cyberkriminellen hat sich professionalisiert

Gleichzeitig werden die Täter aus der globalen Cybercrime-Industrie immer professioneller. Im Darknet ist ein großes Sortiment an Schadsoftware erhältlich. „Unter dem Schlagwort ‚Crime as a service‘ bieten mittlerweile hochprofessionelle Täter anderen Kriminellen ohne IT-Know-how ihre Dienste an”, beschreibt der Diabetologe Dr. Petry die Professionalisierung der Cybercrime-Szene.  

Die größte Bedrohung für Arztpraxen geht dabei von Ransomware aus. Bei einem solchen Angriff wird über eine der möglichen Schwachstellen im System – z.B. über eine Mail oder einen USB-Stick – ein Trojaner in das System eingebracht. Über das Programm nimmt der Erpresser Zugriff auf den Computer und macht z.B. die Daten im System unzugänglich, sodass die Praxis nicht mehr arbeiten kann.

Dann erhält die Praxis ein Erpresser-Schreiben, in dem angedroht wird, die Datensätze im Darknet zu verkaufen, wenn nicht eine bestimmte Summe gezahlt wird. Entspricht diese Summe relativ genau einem Ihrer Bankguthaben, können Sie übrigens davon ausgehen, dass Sie schon länger ausgespäht wurden. Der Verkauf der Gesundheitsdatensätze im Darknet ist allerdings mindestens genauso lukrativ – Experten sprechen von Verkäufen zum Preis von bis zu 250 Euro pro Datensatz. Zum Vergleich: Eine Kreditkartennummer gibt es schon für 5 Euro.

So schützen Sie Ihre Praxis und Ihre Patient*innen

  • Halten Sie Ihr System, Ihre Programme sowie Firewall und Virensoftware immer aktuell. Achten Sie besonders auf die zeitnahe Einspielung von Sicherheitspatches.
  • Legen Sie regelmäßig Back-ups an und lagern Sie diese an einem sicheren Ort, sodass Sie sie bei einem Ransomware-Angriff für die Wiederherstellung der Systeme und Daten nutzen können.
  • Schulen Sie Ihre Mitarbeitenden und stellen Sie Verhaltensregeln auf zur privaten Nutzung der Praxis-PCs, zum Umgang mit USB-Sticks (privaten und nicht privaten) und zum Umgang mit Passwörtern. Klären Sie auch zu Social Engineering auf, bei dem die Angriffe über die Beeinflussung von Menschen erfolgen.
  • Erstellen Sie Notfallpläne für sich für den Fall eines Cyberangriffs: Welche reflexhaften Handlungen sind zu unterlassen? Wer ist zu informieren? Welche Maßnahmen können in welchen Fällen ergriffen werden? Und: Gibt es Meldepflichten, die erfüllt werden müssen? Checklisten wie die IT-Notfallkarte des Bundesamts für Informationssicherheit können ergänzt mit der Telefonnummer des IT-Dienstleisters aufgehängt werden: bit.ly/BSI-Notfallkarte. Mehr dazu auch bei der KBV
  • Überlegen Sie, eine Cyberversicherung abzuschließen. Versichert werden z. B. beschädigte Hard- und Software, Imagekosten, Rechtsberatung und Unterbrechungskosten, aber auch Vertragsstrafen und Schmerzensgeld. Außerdem möglich: Präventionsprogramme, 24/7-Hotline, Bedienfehler, ggf. Erpressungsgeld und Verhandlungen.
  • Regeln Sie die Nutzung von Mobiltelefonen sowie die Heimanbindung –
    auch hierüber kann Schadsoftware in das System gelangen. Vorsichtsmaßnahme für das Praxisintranet: gesicherte VPN-Zugänge nutzen.

Während der kriminelle Übergriff für die Täter also sehr lukrativ ist, steht auf der anderen Seite der potenziell große Impact auf die Patient*innen. Denn die Schäden, die ein Mensch durch den Verlust bzw. die Offenbarung von Gesundheitsdaten erleiden kann, bleiben lebenslang bestehen – und bei Erkrankungen mit erblichem Faktor sogar über die Generationen hinweg. Auch das Öffentlichwerden von chronischen Erkrankungen wie Diabetes kann für Betroffene sehr bedrohlich sein. Sie fürchten, auf dem Arbeitsmarkt oder bei Versicherungsabschlüssen Nachteile zu erleiden oder Diskriminierungen ausgesetzt zu werden.

Hier wird der hohe Verantwortungsdruck auf das Gesundheitswesen deutlich – zumal es angesichts der Zahl und der Professionalisierung der Angriffe heute keine Frage mehr ist, ob eine Praxis einen durchschlagenden Cyberangriff erleiden wird, sondern nur wann. Arztpraxen müssen deswegen alle nur möglichen Vorkehrungen treffen, um Angriffe auf die Praxis-IT zu verhindern. Und zwar unabhängig von Größe oder Art der Praxis – diese Kriterien können das Risiko weder verkleinern noch vergrößern: Oft werden die Schadprogramme in Massen abgefeuert und dringen einfach überall ein, wo sie eine Schwachstelle finden.

Zahlen oder kämpfen – da streiten sich die Gelehrten

Im Ernstfall stellt sich dann für die von Ransomware-Angriffen betroffenen Praxen die Frage, ob sie der Lösegeldforderung, die im vierstelligen, aber auch im sechs- oder sogar siebenstelligen Bereich liegen kann, nachkommen sollen. Sicherheitsbehörden fordern dazu auf, der Zahlungsaufforderung nicht nachzukommen, da nicht garantiert ist, dass die Systeme und Daten wirklich freigegeben und keine Datensätze abgezogen werden. Außerdem bestehe die Gefahr, in Täterkreisen als „Zahler“ markiert zu werden. Andere argumentieren, dass das Geschäftsmodell der Täter darauf beruhe, selbst verlässlich zu sein: Werde bekannt, dass trotz Zahlung keine Freigabe erfolgt, riskierten die Kriminellen, dass zukünftig niemand mehr Lösegeld zahlt.

Was im Rahmen der Diskussion um die Lösegeldzahlung häufig untergeht, ist die strafrechtliche Problematik einer Zahlung, sagt der Rechtsanwalt Daniel Lindenberg. Problematisch sind Lösegeldzahlungen zunächst mit Blick auf Embargovorschriften bzw. Sanktionslisten. Da der Angegriffene meistens nicht weiß, an wen er das Geld zahlt, können zumindest strafbewehrte fahrlässige Sanktionslistenverstöße vorliegen. Daneben erfüllt die Zahlung des Lösegelds auch den Straftatbestand der Unterstützung einer kriminellen Vereinigung. Eine Lösegeldzahlung wird nur bei existenzbedrohenden Eingriffen bzw. Veröffentlichung sensibelster Daten als möglicherweise gerechtfertigt angesehen, nur, wenn die Zahlung zum Zwecke der Gefahrenabwehr für Leib, Leben oder Freiheit erfolgt.

„In Bezug auf die diabetologische Praxis ergeben sich auf dieser Basis gute Verteidigungsmöglichkeiten, da nur durch die Lösegeldzahlung die ordnungsgemäße Behandlung der Patienten sichergestellt werden kann”, so Lindenberg. Trotzdem werden die Behörden im Einzelfall bei einer Interessenabwägung prüfen, so der Rechtsanwalt, ob der Betroffene angemessene IT-Sicherheitsvorkehrungen vorgenommen hatte. Die datenschutzrechtlich verankerte Pflicht zur Gewährleistung von IT-Sicherheit gewinnt dadurch an Bedeutung. Genauso wie die regelmäßige Erstellung von Back-ups, die häufig zu einer schnellen Schadensbegrenzung verhelfen.