Cyberangriff auf die Arztpraxis: Wie Sie die Patientendaten absichern

Stuxnet, Petya und WannaCry: Die eigentümlichen Namen gehören zu unterschiedlichen Schadsoftwares (engl. Malware), die umgangssprachlich auch als Trojaner oder Virus bekannt sind. Im Mai 2017 legte die WannaCry-Schadsoftware die Computer von Bundesbehörden, Bürgern und Unternehmen lahm. Ihr Ursprung: oftmals unbekannt. Ihr Schaden: größer als bislang angenommen. Das Problem: Fehlendes Sicherungsbewusstsein der Daten vor Hackerangriffen.

Wenn die Informationstechnik (IT)-Sicherheit in Arztpraxen oder Kliniken Sicherheitslücken aufweist, kann auch hier Schadsoftware eindringen. So legte beispielsweise am 10. Februar 2016 eine Schadsoftware die IT des Lukaskrankenhauses in Neuss lahm. Der Urheber ist bis heute unbekannt. Die Analyse und die Wiederherstellung der IT kostete das Krankenhaus über eine Million Euro.1 Dieser Vorfall legt das Schadenspotenzial von Cyberangriffen im Gesundheitswesen nahe.

Das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz der Bundesregierung verpflichtet Betreiber von kritischen Infrastrukturen, wie Energieversorgern und Gesundheitsakteuren, zu Mindeststandards in der IT-Sicherheit. Bisher müssen Akteure im Gesundheitswesen Cybervorfälle jedoch nicht melden.2

was ist ein cyberangriff?Ein Cyberangriff ist das unberechtigte Zugreifen auf ein Computernetzwerk. Der Zugriff infiziert die auf dem PC befindlichen Daten mit Schadsoftware. Sie verschlüsselt z. B. die Daten und macht sie unzugänglich. Ziel ist es oftmals persönliche Daten zu stehlen.

Petya beispielsweise verbreitete sich in Computernetzwerken, die das Betriebssystem Microsoft Windows nutzten. Getarnt als Bewerbung wurde Petya als PDF-­Anhang an PCs versendet. Kriminelle Hacker fordern meist ein Lösegeld, um die Daten wieder herauszugeben. Die Hacker von WannaCry forderten 300 US-Dollar Lösegeld in der Digitalwährung Bitcoins. Nicht alle Betroffenen die zahlten erhielten ihre Daten zurück. Die Schadsoftware, mit der Lösegeld erpresst wird, nennt man Erpressungssoftware (engl. Ransomware).

Gelten Arztpraxen als kritische Infrastruktur?

Laut der Bundesärztekammer (BÄK) zählen Arztpraxen aus medizinischer Sicht nicht zu kritischen Infrastrukturen3. Sie argumentiert, dass die medizinischen Diagnosegeräte in Praxen in der Regel autonom und unvernetzt arbeiten. Daher seien die Verpflichtungen, die aus dem IT-Sicherheitsgesetz fließen, unverhältnismäßig und wirtschaftlich schädigend für Arztpraxen, so die BÄK.

Betreffen mich als Praxisinhaber Cyberangriffe?

Trotzdem geht IT-Sicherheit jeden Praxis­inhaber, der einen Internetanschluss hat, etwas an. Fachärzte

  • kommunizieren online mit Patienten,
  • verwahren Patienten­daten virtuell,
  • tätigen ihren Zahlungsverkehr online und
  • vergeben Termine online.

Zudem können Diagnosegeräte eine Verbindung mit dem Internet haben. Alle vernetzten Geräte bieten Eintrittspforten für potenzielle kriminelle Hacker.

Daten kriminell zu Geld machen

Kriminelle Hacker suchen ständig neue Wege, um Personendaten zu stehlen. Im März 2017 veröffentlichten kriminelle Hacker 25.000 gestohlene Operationsaufnahmen sowie Passkopien aus der Datenbank einer kosmetischen Klinik in Litauen.

„Mit gestohlenen Personendaten lassen sich unter Umständen Millionensummen verdienen – entweder auf dem Schwarzmarkt im Darknet oder durch Erpressung. Denn wir sprechen von ganzen Datensätzen zahlreicher Arztpraxen. Die Erpresser wählen meist kleinere Beträge, um viele Patienten zum Freikaufen ihrer Daten zu bewegen“, so Nikolas Botz, Geschäftsführer der Verband Wirtschaft & Arzt GmbH aus Köln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, nicht auf die Forderungen der Erpresser einzugehen und die Polizei zu informieren.

 

beispielrechnungSo viel sind Patienten­daten auf dem Schwarzmarkt wert

100 Arztpraxen mit je 500 Patienten werden „gehackt“. Die Daten von 50.000 Patienten sind gefährdet.

Wenn Hacker nur ein Prozent der Patientendaten erfolgreich verkaufen können, sind das 500 Patienten. Oder aber die Hacker erpressen die betroffenen Patienten gegen eine Lösegeldsumme von 300 Euro.

500 x 300 Euro = 150.000 Euro.

 

Risikofaktoren für Praxisärzte

Veraltete Betriebssysteme, die vom Hersteller nicht mehr mit Sicherheitsupdates versorgt werden, erleichtern Kriminellen jeden PC anzugreifen4. Ein neues Betriebssystem kann auch angegriffen werden, wenn der Nutzer es versäumt ein Sicherheitsupdate zu machen. „Aber auch die Nutzung durch die Praxismitarbeiter, kann einen PC angreifbar machen:

  • Private USB-Sticks,
  • E-Mail-Anhänge oder
  • das Surfen im Internet,

bieten Angriffsflächen für Schadprogramme“, erklärt Botz.

Ein Angriff einer Schadsoftware ist nicht immer auffällig. Meist nistet sich die Schadsoftware ein, breitet sich aus und wird spät bemerkt. Daher rät das BSI präventiv regelmäßige Sicherheitsupdates zu installieren.

Konsequenzen eines Cyberangriffs für die Arztpraxis

Wird eine Arztpraxis Ziel eines Cyberangriffs können Schäden in Millionenhöhe entstehen. Unterschieden wird zwischen Eigen- und Drittschäden:

Eigenschäden

Eigenschäden betreffen den Praxisinhaber selbst. Bei einem Betriebsausfall können Patienten nicht behandelt werden. Das Praxis-­Personal muss aber trotzdem bezahlt werden. Weitere Kostenpunkte sind die Erneuerung der IT-Systeme, die Kosten für einen IT-Forensiker, die Wiederherstellung der Daten, die Rechts- und Schadenersatzansprüche der Patienten.

„Ältere Versicherungsverträge decken Cyberschäden in der Regel nicht ab. Haftpflichtversicherungen erstatten in der Regel kleine Geldbeträge zurück, wenn dies im Vertrag geregelt sein sollte. Um die Betriebs­systeme zu erneuern und die Daten wiederherzustellen braucht man heutzutage IT-Forensiker“, erläutert Botz. IT-Forensiker analysieren methodisch die Daten auf Datenträgern und in Computernetzen zur Aufklärung von Cybervorfällen. Sie prüfen die Stelle wo die Schadsoftware in das System gelangt ist und welche Daten betroffen sind.

Drittschäden

Drittschäden entstehen einem Dritten; hier dem Patienten. Das sind Schäden, die aus dem Verlust oder der Nichtverfügbarkeit der persönlichen Daten entstehen. Wenn Betriebs- oder Patientendaten gestohlen werden, hat das rechtliche Folgen. Darüber hinaus verliert die Praxis auch noch das Vertrauen ihrer Patienten.

Einem Cybervorfall in der Arztpraxis vorbeugen

Damit die Schäden gar nicht erst entstehen, sollten Praxen vorbeugende IT-Sicherheitsmaßnahmen umsetzen. „Je mehr Praxis­abläufe digitalisiert sind und je größer die Praxis ist, umso sinnvoller erscheint eine spezialisierte Cyberversicherung“, rät Botz. Außerdem sollte jeder Praxismitarbeiter für den Umgang mit den Praxis-PCs sensibilisiert werden und die Einfallstore der Hacker kennen. Zusätzlich zu den integrierten Virensoftwares eines Betriebssystems, sollte auch eine spezialisierte Virensoftware gekauft werden, rät Botz. Die Virensoftware eines Betriebssystems reicht heute meistens nicht für die Abwehr einer Schadsoftware eines PCs aus.

 

  • tipps zur it-sicherheit für praxisinhaberWenn Ihr Computersystem veraltet ist: Installieren Sie ein aktuelles Betriebs­system
  • Beschaffen Sie sich eine aktuelle Firewall
  • Kaufen Sie eine externe Virensoftware. Virensoftware von externen Anbietern sind oftmals spezialisierter, als die Virensoftwares, die in Paketen angeboten werden
  • Machen Sie regelmäßig Backups und Sicherheitsupdates
  • Reflektieren Sie: Wie sind Sie als Praxisinhaber/in digital aufgestellt? Wer hat die Administratoren-Rechte in Ihrer Praxis? Wer hat Zugriff auf das Computer­system? Welche Schwachstellen können Sie im PC-Netzwerk identifizieren?
  • Stellen Sie Regeln bezüglich des PC-Umgangs auf: Dürfen Mitarbeiter private E-Mails auf dem Praxis-PC abrufen? Dürfen sie private USB-Sticks am Arbeitsplatz nutzen? Dürfen Sie Online-Bestellungen tätigen?
  • Klären Sie Ihre Mitarbeiter über die Schwachstellen im PC-Netzwerk auf und schärfen Sie das Bewusstsein dafür
  • Um für den Schadenfall vorzusorgen, empfiehlt sich ggf. der Abschluss einer Cyberversicherung für Ärzte

 

Quellen
1 BSI (2016). Die Lage der IT-Sicherheit in Deutschland 2016.
2 BSI (2017). Meldepflicht.
3 Stellungnahme der Bundesärztekammer zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) 2013.
4 BSI (2016). Lagebericht 2016, S. 8.