Praxismanagement

Verwundbar


Cyberkriminalität  Keiner redet gern darüber: Über die Gefahren, die für Mediziner im Netz lauern – über Angreifer, die Patientendaten abgreifen oder Medizintechnik manipulieren wollen. Doch erste Zahlen zeigen: Die Bedrohung ist real. Die Forderung von IT-Sicherheitsexperten an die Gesundheitswirtschaft lautet: Überwindet Eure Apathie


Text: Romy König

Hier stimmt etwas nicht. Das wird wohl der erste Gedanke sein, wenn es die eigene Praxis erwischt: Der Rechner ließ sich gerade noch normal hochfahren, die Anmeldung im System klappte – routinierte EDV-Schritte, täglich derselbe Ablauf. Doch plötzlich lassen sich einzelne Dateien nicht öffnen. Nicht die Arztbriefe und Abrechnungen, nicht die Terminverwaltung, nicht die Ultraschallbilder der Patientin, die gleich den ersten Termin des Tages hat. Man klickt noch etwas herum, zunehmend hilfloser und misstrauischer, am Ende dann schließlich dieser Gedanke: Nein, hier stimmt etwas nicht. 

Dann öffnet sich ein Fenster, die Nachricht eines Unbekannten: Er sei bereit, einen Code herauszugeben, mit dem sich der Zugriff auf die Dateien und Bilder wiederherstellen lasse. Doch unter einer Bedingung: Er will Geld.

„Die Cybercrime-Industrie wirkt wie eine Welt fernab unseres Alltags (…). Wir müssen diese Apathie überwinden.“

Patientendaten in Geiselhaft

Was ein wenig nach einem abgehalfterten Krimi klingt, nach Science-Fiction vielleicht auch, ist in vereinzelten Arztpraxen, so etwa in Bonn, bereits Realität geworden: Sie sind Opfer von Hackern geworden. Die Computerwelt hat einen Fachbegriff für das, was sich der Mediziner da unbemerkt in sein EDV-System geholt hat: „Ransomware“. Eine betrügerische Schadsoftware, die in der Lage ist, die Praxis-IT zu sabotieren, die Daten zum Beispiel so zu verschlüsseln, dass dem Anwender der Zugriff verweigert wird. „In den meisten Fällen fordern die Täter ein Lösegeld, das in Form von digitaler Währung zu zahlen ist“, schreibt das Bundeskriminalamt (BKA) in seinem im September veröffentlichten Lagebericht zu Cyberkriminalität in Deutschland. „Nach Zahlung der geforderten Summe wird den Geschädigten die Übermittlung eines Freischaltcodes zugesagt, mit dem sie das blockierte System entsperren bzw. entschlüsseln und anschließend nutzen können.“

Internetverbrechen, das macht der BKA-Bericht deutlich, nehmen in der deutschen Wirtschaft immer mehr zu: So wurden im vergangenen Jahr 85.960 Fälle von Cyberkriminalität erfasst – das entspricht einem Anstieg von vier Prozent im Vergleich zu 2016. Den entstandenen Schaden bezifferte das BKA auf 71,4 Millionen Euro (im Jahr zuvor waren es noch 50,9 Millionen Euro).

So schützen Sie sich:

Mauern Sie! 

Eine Firewall scannt den Datenverkehr zwischen Ihrem PC und dem Internet. Von außen eingehende verdächtige Daten blockt sie ab. Einen Schritt weiter geht ein umfassenderes „Unified Threat Management“: Eine UTM-Infrastruktur untersucht die Dateien genauer und sondert Bedrohungen wie etwa Schadsoftware oder Viren aus. Auch Spam filtert dieses Tool heraus.

Keine Chance für Viren

Auf jeden Rechner gehört ein Virenschutz – und dieser sollte regelmäßig aktualisiert werden. Wichtig ist, nicht nur den Server mit einem Schutzprogramm auszustatten, sondern auch jeden Rechner, der zu dem Netzwerk gehört.

Immer aktuell 

Halten Sie Ihr Betriebssystem und Ihre Software aktuell, deinstallieren Sie Programme, die Sie nicht benötigen. Je weniger Angriffsfläche, desto besser.

Nur 17 Prozent der Ärzte sehen ein Risiko für ihre Praxis

Naiv, wer glaubt, nur Großkonzerne, Banken oder Energieversorger seien das Ziel von Hackern. Dass die Internetkriminalität nun auch Arztpraxen erreicht, belegt eine aktuelle Erhebung von Forsa aus diesem Sommer: Vier Prozent der befragten Arztpraxen hatten in den vergangenen 24 Monaten einen Angriff aus dem Netz erlebt. Das mag vielleicht erst einmal nach wenig klingen. Bricht man das Ergebnis aber auf absolute Zahlen herunter, waren immerhin acht von 200 befragten Praxen betroffen; noch konkreter: eine von 25. Die Bedrohung wird real. 

Interessantes Detail der Erhebung, die Forsa im Auftrag des Gesamtverbands der deutschen Versicherungswirtschaft (GDV) durchgeführt hat: Etwas mehr als die Hälfte der Befragten (52 Prozent) schätzte die Gefahr aus dem Netz für Arztpraxen ganz allgemein als gering oder sehr gering ein. Die eigene Praxis sehen die Ärzte sogar noch weniger von Cyberangriffen bedroht: Nur 17 Prozent der Befragten sehen hier ein hohes Risiko.

Für Sven Weizenegger ist es genau dieses trügerische Sicherheitsempfinden, das kleineren Firmen oder auch Freiberuflern zum Verhängnis wird: „Ein Mangel an Bewusstsein, Organisation und an richtigem Einsatz von Technik sind die größten Gefahren im Bereich Datensicherheit für kleine und mittelständische Unternehmen“, sagt der IT-Sicherheitsexperte. Weizenegger ist der erste professionelle Hacker, der als Angestellter eines Telekommunikationskonzerns in IT-Systeme von Kunden einbrach, um die Strukturen auf Schwachstellen zu prüfen. Mittlerweile leitet er eine eigene Cybersicherheitsfirma und ist unlängst in den Beirat eines neuen Cybersecurity-Inkubators berufen worden, Teil eines Programmes des Bundeswirtschaftsministeriums.

Organisatorisch sei es ratsam, so Weizenegger, innerhalb einer Firma wie auch einer Arztpraxis eine Person zu bestimmen, die für die IT zuständig ist: „Der Verantwortliche muss beispielsweise dafür sorgen, dass ordentliche Passwörter gesetzt, Daten ordnungsgemäß vernichtet oder beim mobilen Arbeiten feste Regeln befolgt werden.“ Technisch sehe er jedoch meist dieselben Stolperstellen: Da fehlten Firewall und Antiviren-Programme, sei die Software veraltet, fänden keine oder nur unregelmäßige Sicherheitsaktualisierungen statt.

Auch Medizintechnik betroffen

Ein Phänomen, das übrigens nicht nur in Arztpraxen, sondern auch in Kliniken auftreten kann. Das offenbarte eine Tagung, für die das Bundesamt für Arzneimittel und Medizinprodukte (BfArM) zuletzt mehrere Sicherheitsexperten zusammengerufen hatte: Florian Grunow, der im Auftrag von Kliniken und Medizingeräteherstellern nach Sicherheitslücken in deren Systemen fahndet, berichtete von fehlenden Software-Updates in der Klinik-IT, von Endoskopen, deren Windows-Betriebssysteme samt Patientendatenbank auf einer zwei oder drei Jahre alten Version laufen und von Ultraschallgeräten, deren Betriebssysteme zehn Jahre hinter dem aktuellen Stand zurückliegen. „Für Angreifer sind das offene Einfallstore“, so Grunows Fazit. Das Problem: Die Geräte können manipuliert, gar aus der Ferne gesteuert werden. So wie der von ihm untersuchte Kernspintomograph (MRT), der über ein Netzwerk aus Rechnern lief, die weder durch Firewall noch Virenschutz abgesichert waren. Beim Hauptrechner fand Grunow mehr als 100 offene Zugänge, sogenannte „Ports“; der Zugang war zu allem Übel auch noch über das Gäste-WLAN der Klinik möglich. „Innerhalb kürzester Zeit hätte ein Angreifer dieses kleine Netzwerk kompromittieren, das MRT massiv schädigen oder zum Beispiel Spuleneinstellungen verändern können.“ 

In der Hinterhand

Eine Firewall scannt den Datenverkehr zwischen Ihrem PC und dem Internet. Von außen eingehende verdächtige Daten blockt sie ab. Einen Schritt weiter geht ein umfassenderes „Unified Threat Management“: Eine UTM-Infrastruktur untersucht die Dateien genauer und sondert Bedrohungen wie etwa Schadsoftware oder Viren aus. Auch Spam filtert dieses Tool heraus.

Gut verschlüsselt

Erhöhen Sie die Datensicherheit in Ihrer Praxis, indem Sie Spezialverfahren zum Verschlüsseln Ihrer E-Mails verwenden (siehe auch unser Titelbeitrag in Ausgabe 2018/01). Software wie WinZip, 7-Zip oder IZArc verpackt die Dateien und verschließt sie mit einem Passwort, das dem E-Mail-Empfänger telefonisch oder persönlich mitgeteilt wird.

Und im schlimmsten Fall …

Ist doch etwas passiert, sind Daten gekapert worden? Keine falsche Scheu oder Scham: Sie sind als Praxisinhaber verpflichtet, der Aufsichtsbehörde sowie Ihren Patienten zu melden, dass Dritte Kenntnis von Patientendaten erhalten haben könnten. Ja, das ist unangenehm, aber auch ein Anreiz zu überlegen: Wo gibt es ein Leck, wie kann ich meine Praxis-IT noch besser sichern? Und vielleicht kann dieser Ausblick etwas munter stimmen: Die Aufklärungsrate von Cyberkriminalität liegt in Deutschland derzeit bei 40,3 Prozent, Tendenz: steigend.

Tatort Schwarzmarkt

Doch warum ist das Gesundheitswesen überhaupt für Kriminelle interessant? Zum einen lassen sich über das Lahmlegen von Systemen, über das Kapern von Daten Gelder erpressen. Zum anderen gelten medizinische Daten aber mittlerweile auch selbst als einträgliche Handelsware. McAfee schreckte Anfang des Jahres mit einer Studie über eine regelrechte Cybercrime-Industrie auf, in der sich ganze Märkte für gestohlene Patientendaten entwickelten. Das kalifornische Cybersicherheitsunternehmen hatte das Dark Web durchkämmt und war dabei unter anderem auf einen Verkäufer gestoßen, der Daten von 397.000 Patienten feilbot. Preise von derzeit bis zu 2,42 Dollar werden laut McAfee pro Patientendatensatz erzielt; damit lägen sie nur geringfügig unter dem Wert von Kreditkarteninformationen im Massengebinde.

„Ein Mangel an Bewusstsein, Organisation und an richtigem Einsatz von Technik sind die größten Gefahren“, so Sven Weizenegger.

Erste Schritte für mehr Schutz

Nur langsam formiert sich eine Gegenwehr. So haben das BfArM und das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich eine Initiative gegen Cyberangriffe auf Medizintechnik gestartet. In einer gemeinsamen Studie untersuchen sie derzeit, wie und wodurch Medizinprodukte digital attackiert und manipuliert werden können. Daraus wollen die beiden Ämter im kommenden Jahr Empfehlungen für Hersteller und Anwender ableiten.

Und auch jene Arztpraxen, mit denen die Forsa-Mitarbeiter telefoniert haben, sind gar nicht so schlecht gerüstet: Etwa vier Fünftel der Befragten gaben an, regelmäßig Sicherheitsupdates einzuspielen und die Systeme auf dem aktuellen Stand zu halten (83 Prozent) sowie eine Firewall oder Vollverschlüsselung vorzuhalten (80 Prozent). Doch das heißt auch: Gut 20 Prozent sind weitgehend ungeschützt, möglichen Angreifern, Erpressern oder Dieben mithin ausgeliefert. 

Ein wenig haben die Sicherheitsexperten von McAfee sogar Verständnis für dieses Verharren in Gutgläubigkeit und Starre. „Die Cybercrime-Industrie wirkt wie eine Welt fernab unseres Alltags“, schreiben sie in ihrem Report. Das verleite nun einmal dazu, die Gefahren zu ignorieren. Und doch ist die Forderung der Cyberprofis mehr als deutlich: „Wir müssen diese Apathie überwinden.“

Wir verwenden auf dieser Seite Cookies. Wenn Sie auf OK klicken oder weiter diese Seite nutzen, sind Sie mit der Nutzung von Cookies einverstanden. Mehr Informationen und Möglichkeit zur Deaktivierung.