Cyberangriffe Daten verschlüsselt, Lösegeld gefordert

Praxismanagement , Praxis-IT Autor: Isabel Aulehla

Nach einem Angriff brauchen IT-Dienstleister einige Tage, um das System neu aufzusetzen. Nach einem Angriff brauchen IT-Dienstleister einige Tage, um das System neu aufzusetzen. © Oleksii – stock.adobe.com

Arztpraxen arbeiten mit sensiblen Daten, halten intern aber kein IT-Fachwissen parat – ein ideales Ziel für Hacker. Ein Experte erklärt, wie Niedergelassene sich schützen können.

Jede Praxis muss damit rechnen, mit Malware angegriffen zu werden. „Das ist keine Frage des „Ob“, sondern eine des „Wann“, meint Lars Huwald, Informatiker und Kriminaloberkommissar bei der Zentralen Ansprechstelle Cybercrime (ZAC) der Polizei Berlin. Die Stelle betreut schnell und unbürokratisch Unternehmen und Verbände, die Opfer eines Cyberangriffs wurden. Der Experte hat einige Tipps, wie Praxen sich schützen können. 

TI-spezifische Risiken

Je mehr technische Schnittstellen in einem Betrieb existieren, desto angreifbarer ist er. In Arztpraxen bringt die TI daher auch Sicherheitsrisiken mit sich. Sie funktioniere als „Blackbox“, so Huwald. Welche Daten wohin gesendet werden, sei auch für Profis nicht einsehbar – Praxis­inhaber tragen dennoch die Verantwortung. „Das ist juristisch wie technisch hoch delikat.“ 

Für den Fall, dass es zu technischen Fehlern kommt, sollten die Zuständigkeiten mit dem IT-Dienstleister abgestimmt sein: Kann er weiterhelfen oder muss die Gematik handeln?Um fürs Erste weiterarbeiten zu können, werden oft Workarounds entwickelt. Huwald warnt allerdings davor, da sie oft das Sicherheitskonzept umgehen. „Wir haben eine Gemengelage, die schwer zu verteidigen, schwer zu überblicken und schwer zu warten ist“, resümiert er.

Derzeit würden Gesundheitseinrichtungen noch nicht spezifisch angegriffen. Die Täter würden ungezielt Schadsoftware verbreiten, die auf Programme ziele, die insbesondere größere Unternehmen nutzen. Welche Betriebe die Täter letztlich treffen, sei Zufall. Auch die Unikliniken, die in den letzten Jahren von Cyberangriffen betroffen waren, hätten bloß eine der anvisierten Softwares genutzt, so Huwald. 

Der Experte hält es aber prinzipiell für denkbar, dass sich Tätergruppen künftig auf die TI spezialisieren könnten. Beispielsweise könnten sie infolge eines Updates, das Probleme mit angeschlossenen Druckern verursacht, eine Homepage basteln, die der der Gematik täuschend ähnlich sieht. Dort könnten sie etwa auffordern, einen neuen Treiber herunterzuladen – wohinter sich dann natürlich eine Schadsoftware verbirgt. 

Wie laufen Cyberangriffe ab?

Cyberangriffe nutz­en vor allem den „Faktor Mensch“ aus, betont Huwald. In den meisten Fällen würden Mails verschickt, in denen zum Öffnen von Schadsoftware verleitet wird. Beispielsweise soll ein als Rechnung getarnter Anhang oder ein Link angeklickt werden. Je nach Masche ist der Text der Mail mal mehr und mal weniger passend auf das potenzielle Opfer zugeschnitten. 

Sobald Beschäftigte die Schadsoftware nichtsahnend heruntergeladen haben, arbeitet diese oft wochen- oder monatelang im Verborgenen und verschafft sich Zugang zu allen weiteren angeschlossenen Systemen. Hierbei fließen oft bereits Daten ab, da die Täter so immer wieder mit der Veröffentlichung drohen können. Dann verschlüsselt die Malware die Daten, sodass sie nicht mehr zugänglich sind. Die Täter behaupten, wenn die Praxis eine gewisse Summe zahle, würden sie eine Software zur Verfügung stellen, mit der die Daten wieder entschlüsselt werden können. Es handelt sich also um (versuchte) Erpressung.

Was deutet auf einen Angriff hin?

Es ist schwer zu erkennen, ob der Betrieb bereits von Schadsoftware infiltriert wurde. Aufmerksam werden sollten Angestellte besonders dann, wenn sie ein Dokument im Mail­anhang angeklickt haben, sich aber nichts öffnet, erklärt Huwald. Oder wenn ein bis dato nie gesehenes Fenster erscheint. Auch wenn das System sehr langsam läuft, sei das verdächtig. Schon beim kleinsten Verdacht sollte der IT-Dienstleister eingeschaltet werden. Er könne ermitteln, ob es sich um einen technischen Fehler oder einen Cyberangriff handelt. Entsprechend wichtig sei es, dass der Vertrag mit dem Dienstleister eine Prüfung ermögliche, ohne lange in der Warteschleife zu hängen. „Wenn man früh genug reagiert, kann man den Angriff im Keim ersticken“, ermutigt der Experte. Im Zweifel lohne es sich, auf das Bauchgefühl zu hören. 

Wie kann man sich schützen?

Da die Angriffe über eine Täuschung der Mitarbeitenden funktionieren, sollte im Team ein Gefahrenbewusstsein herrschen. Dieses kann etwa bei Fortbildungen vermittelt werden. Noch wichtiger sei aber eine gute Fehlerkultur, betont der Kriminaloberkommissar. Jeder müsse angstfrei berichten können, wenn er versehentlich etwas Verdächtiges angeklickt hat. 

Um den Schaden möglicher Angriffe zu minimieren, sollte ein Rechte- und Rollenkonzept etabliert werden. In manchen Praxen meldet der Inhaber oder die Inhaberin sich morgens an jedem PC an, alle Angestellten arbeiten dann mit vollem Zugriff auf alle Daten des Praxis­systems und mit allen Rechten. Dies sollte möglichst getrennt werden, empfiehlt Huwald. Es sei bereits viel Wert, wenn die MFA am Empfang nur Zugriff auf das Mailprogramm und den Kalender haben. 

Noch besser – wenn auch etwas archaisch – sei es, einen Rechner einzig und allein für das Empfangen und Senden von Mails zu verwenden. Er wird nicht an das Praxisverwaltungssystem angeschlossen. Wird dann in einer Mail versehentlich eine Schadsoftware geöffnet, gehen kaum Daten verloren und der IT-Dienstleister muss nur diesen Rechner neu aufsetzen. 

ZAC – Schnell die Polizei am Apparat

In jedem Bundesland gibt es eine Zentrale Ansprechstelle Cybercrime der dortigen Polizei. Die ZAC wurden geschaffen, damit Unternehmen und Verbände im Fall eines Cyberangriffs schnell, unbürokratisch und kostenfrei professionelle Hilfe bekommen. Die Experten können erste technische Hinweise dazu geben, welche Teile des Systems betroffen sein könnten. Vor allem erklären sie aber, was organisatorisch zu beachten ist und helfen, in der Panik nichts zu vergessen. Zudem sind die Stellen in die langwierige, internationale Strafverfolgung der Täter eingebunden. 

Die Kontaktdaten der ZAC der Bundesländer finden Sie hier

Auch für die Datensicherung hat der Experte einen Tipp: Es mache zwar absolut Sinn, eine Software zu kaufen, die die Daten automatisiert regelmäßig sichere. Doch Schadsoftware sei teils so programmiert, dass sie erst losschlage, wenn die Datensicherung ablaufe. „Hoch automatisierte Systeme sind eben auch hoch automatisiert angreifbar.“

Um auch im Fall eines Angriffs noch Zugang auf alle Daten zu haben, sollten mehrere externe Festplatten vorhanden sein, die mittels eines programmierten Skripts eine Datensicherung vornehmen, wenn sie an den PC angeschlossen werden. Am Ende einer Woche sichert dann beispielsweise die Praxisinhaberin oder der -inhaber die Daten und nimmt die verschlüsselte Festplatte mit nach Hause, die Woche darauf übernimmt dies ein Beschäftigter mit einer anderen Festplatte. So bestehe eine gute Chance, Daten von einem Zeitpunkt greifbar zu haben, zu dem das System noch nicht kontaminiert war. „Komfort und Sicherheit widersprechen einander manchmal“, kommentiert Huwald den etwas höheren Aufwand.

Was tun, wenn die Praxis gehackt wurde?

Sind eines Morgens alle Systeme verschlüsselt und nur noch eine erpresserische Nachricht der Täter abrufbar, „brenne den meisten der Kopf“, berichtet Huwald. Natürlich sollte umgehend der IT-Dienstleister informiert werden. Zusätzlich ist es ratsam, die Zentrale Ansprechstelle Cybercrime der Polizei des jeweiligen Bundeslands anzurufen. „Wir liefern eine schnelle Ersteinschätzung der Dimension des Angriffs“, erklärt der Experte. Zudem wissen die Stellen, welche Angriffsmaschen kursieren und können daher oft sagen, welcher Teil des Systems betroffen ist. Davon abgesehen unterstützen sie bei den weiteren Abläufen. Sie erinnern beispielsweise daran, dass innerhalb von 72 Stunden eine Erstmeldung des Vorfalls bei der Landesdatenschutzbehörde erfolgen muss, falls der Abfluss von Daten nicht ausgeschlossen werden kann. Andernfalls drohen Bußgelder. Die Hilfe der ZAC ist unbürokratisch und kostet nichts.

Von einer Zahlung an die Täter rät Huwald ab. Oft werde sie in der Hektik des kollabierten Praxisalltags für die schnellste Lösung gehalten – dies sei aber falsch. „Die Summe wird in einer Kryptowährung gefordert, für die niemand ein Konto hat. Dies einzuleiten, dauert schon“, erklärt Huwald. „Außerdem denken die Unternehmen, die Systeme würden einfach entschlüsselt. Aber sie bekommen nur eine Software, mit der sie die Daten selbst entschlüsseln müssen. Und die ist oft langsam und stürzt dauernd ab.“ Und natürlich gebe es Tätergruppen, die ihr Wort nicht halten und nichts zur Verfügung stellen.

Schneller gehe es, wenn der IT-Dienstleister das Praxissystem selbst neu aufsetze, so der Experte. Dies sei nicht allzu schwer und meist eine Sache von ein, zwei Tagen. Die Praxis ist also schnell wieder arbeitsfähig, wenn die Zuständigkeiten klar und Notfallpläne vorhanden sind. Die Daten können mithilfe einer der Datensicherungen wiederhergestellt werden. Schwieriger sei es zu prüfen, welche Daten exakt abgeflossen sind. Dies müsse nach und nach nebenher erfolgen. 

Medical-Tribune-Bericht