5 Praxisbeispiele zum Umgang mit Cyber-Kriminalität in der Arztpraxis

Die Bedrohung durch Cyber-Kriminelle nimmt zu, wie beispielsweise die Cybervorfälle auf den Softwareanbieter medatixx im Jahr 2021 gezeigt haben. Die Kassenärztliche Bundesvereinigung (KBV) hat Beispiele aus der Praxis zusammengestellt, die konkrete Szenarien von Cybervorfällen in der Arztpraxis vorstellen und Handlungsoptionen für den Ernstfall aufzeigen. Eine wichtige Rolle bei der Prävention spielen Aufklärung und Fehlerkultur im Praxisteam.

Die Vorgehensweise der Hackerinnen und Hacker ähnelt sich und häufig findet ungewollt eine aktive „Mitarbeit“ der Betroffenen selbst statt – zum Beispiel durch Anklicken eines Links in einer E-Mail. In der Folge eines Angriffs werden etwa Zugänge gesperrt, Daten geklaut, verschlüsselt und anschließend ein „Lösegeld“ gefordert.

Fünf reale Beispiele aus der Praxis hat die Kassenärztliche Bundesvereinigung (KBV) in einer Praxisinformation zusammengestellt. Die Vorfälle reichen von einem unberechtigten Zugriff auf den DSL-Router und das WLAN über manipulativen Support-Betrug bis hin zum Verlust der Praxis-Datensicherung auf einem USB-Stick auf dem Heimweg.

Die Beispiele sind dreiteilig aufgebaut: Am Anfang steht die Beschreibung des Cybervorfalls in der Arztpraxis, es folgt die Einschätzung des potenziellen Risikos für die Praxis-IT und schließt ab mit Praxistipps zur Prävention von Cybervorfällen. Eine wichtige Säule stellt dabei die IT-Sicherheitsrichtlinie der KBV dar, die jeweils an die aktuelle Bedrohungslage angepasst wird.

Fehlerkultur verbessern

Eine weitere wirkungsvolle Maßnahme, die Praxen eigenständig durchführen können, ist die Etablierung einer transparenten und vertrauensvollen Fehlerkultur im Team.

Hierdurch lässt sich wichtige Präventionsarbeit leisten und potenzieller Schaden begrenzen. Denn Vertuschen oder Verschweigen von Fehlern kann zu einer weiteren Verbreitung von Malware (Schadsoftware) führen. Es ist daher wichtig, dass Fehler wie versehentliche und unbedachte Klicks sofort eingestanden werden.


Beispiel 1: Unberechtigter Zugriff auf DSL-Router

Beschreibung

Eine Praxis hat ihren DSL-Router im Flur stehen. Durch Zufall wird festgestellt, dass sich fremde Smartphones in das Netzwerk eingewählt haben (im Systemprotokoll aufgelistet). Offenbar wurden die aufgedruckten Zugangsdaten des Routers dafür benutzt, sich Zugang zum Router und/oder dem WLAN zu verschaffen.

Risiko

Ein direkter Einfluss auf die Prozesse, Geräte und Patientendaten der Praxis kann nicht festgestellt werden. Dennoch ist eine Manipulation von Praxis-Endgeräten im WLAN und eine Offenlegung von Patientendaten nicht auszuschließen. Im günstigsten Falle wurde der Zugang nur für das Surfen im Internet missbraucht.

Reaktion

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

  • Der IT-Dienstleister wird beauftragt, den DSL-Router auf Werkseinstellungen zurückzusetzen.
  • Es werden sichere, individuelle Kennwörter und ein neuer Netzwerkschlüssel für den Zugriff auf den Router vergeben.
  • Für Patientinnen und Patienten sowie andere externe Personen wird ein Gast-WLAN eingerichtet.
  • Der Router wird in einem abschließbaren Raum aufgestellt und alle dezentralen technischen Komponenten der Telematikinfrastruktur (TI), z.B. der Konnektor, in demselben Raum untergebracht.
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung, DSGVO).

Praxistipps

  • Router nie bei den Standard-Einstellungen belassen.
  • Geräte wie DSL-Router restriktiv konfigurieren, z.B. WPS-Tastenfunktion deaktivieren, mit der ansonsten mittels Knopfdruck am Router eine unkomplizierte Verbindung eines Geräts mit dem WLAN möglich ist.
  • Wichtige Geräte räumlich vor dem Zugriff durch Dritte schützen.

 

Beispiel 2: Support-Betrug durch Anruf

Beschreibung

Eine Praxis erhält einen Anruf – angeblich von der Firma „Microsoft“. Der Mitarbeiter behauptet, dass der Praxis-PC von einem Virus befallen sei und daher das Windows-System per Fernwartung geprüft werden müsse (sogenannter „Support Scam“). Die Praxisinhaberin stimmt aufgrund der professionellen und vertrauenserweckenden Gesprächsführung zu. Es findet eine Scheinprüfung statt, bei der sich der kriminelle Anrufer auf den PC schaltet. Anschließend wird ein kostenpflichtiges Schutzprogramm angeboten. Die Praxisinhaberin schöpft Verdacht und beendet das Telefonat und die Fernwartung.

Risiko

Es ist nicht auszuschließen, dass der Praxis-PC und andere Endgeräte sowie das Netzwerk ausgespäht wurden. Datendiebstahl oder Datenmanipulation sind wahrscheinlich.

Reaktion

Die Praxisinhaberin ruft ihren IT-Dienstleister an und die Netzwerkverbindung des betroffenen Computers wird sofort gekappt, um Schlimmeres zu verhindern.

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

  • Der IT-Dienstleister nimmt eine Neuinstallation des Computers vor und spielt die Datensicherung des Vortags auf.
  • Es erfolgt eine Meldung an die Polizei und eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 DSGVO).
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO).

Praxistipps

Firmen wie z.B. „Microsoft“ und Behörden wie die Polizei würden niemals einen Fernzugriff auf ein IT-Endgerät verlangen – bei einem solchen Anruf einfach auflegen.

Cyber-Kriminelle nutzen persönliche Kontakte zu Menschen, um sie dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren. Diese Methode der Manipulation heißt „Social Engineering“.

 

Beispiel 3: Support-Betrug durch Warnmeldung im Browser

Beschreibung

Während mit dem Internet-Browser z.B. „Google Chrome“ gearbeitet wird, erscheint folgender Hinweis: „Der Server meldet: Windows wurde aufgrund verdächtiger Aktivitäten blockiert. Bitte rufen Sie uns an: 032-221-850-307!“ In der Warnmeldung wird die Praxismitarbeiterin dazu aufgefordert, ihren Windows-Benutzernamen und das Kennwort einzugeben. Das Fenster lässt sich nicht schließen und es ertönt ein anhaltender Warnton. Die Mitarbeiterin ruft bei der Hotline an und wird zu einer Fernwartung überredet: Die Betrüger greifen dabei auf den PC zu und geben vor, dass System zu prüfen. Irgendwann schöpft die Mitarbeiterin Verdacht und legt auf.

Risiko

Es kann nicht ausgeschlossen werden, dass der Praxis-PC und das Netzwerk ausgespäht wurden. Ein Datendiebstahl oder eine Datenmanipulation sind wahrscheinlich.

Reaktion

Die Praxismitarbeiterin schaltet den Computer über den Ein-/Ausschalter ohne Herunterfahren aus (sogenanntes „hartes Ausschalten“) und ruft den IT-Dienstleister an.

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

  • Der IT-Dienstleister nimmt eine Neuinstallation des Computers vor und spielt die Datensicherung des Vortags auf.
  • Es erfolgt eine Meldung an die Polizei und eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 DSGVO).
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO).

Praxistipps

Das Risiko-Bewusstsein beim Praxisteam kann durch Aufklärung und Schulungen geschärft werden. Dabei werden Bedrohungen und Sicherheitsvorkehrungen kennengelernt, um im Ernstfall Panik und Unwissen zu minimieren.

 

Beispiel 4: Digitaler Einbruch über Fernzugang der Praxis

Beschreibung

In einer Praxis läuft dauerhaft ein Computer, auf den von Zuhause aus zugegriffen werden kann – über das Internet und den von „Microsoft“ bereitgestellten Dienst „Remote Desktop Protocol“ (RDP). An einem Morgen lässt sich in der gesamten Praxis nicht mehr auf den Server zugreifen und das Praxisverwaltungssystem nicht starten. Auch auf dem Fernzugriff-Computer können lokal abgelegte Dokumente nicht geöffnet werden. Höchstwahrscheinlich ist über den RDP-Zugang ein digitaler Einbruchsversuch gelungen und die Cyber-Kriminellen haben mit sogenannter Ransomware (Erpressungssoftware) zugeschlagen. Es ist kein normaler Praxisbetrieb möglich (kein Zugriff auf Patientenakten, Terminkalender, Adressen, Formulare, etc.) und Patientinnen und Patienten müssen nach Hause geschickt werden.

Risiko

Auch wenn es keine Erpressung gibt, ist die Vertraulichkeit von Patientendaten möglicherweise gefährdet. Nicht alle patientenbezogenen Dokumente lagen innerhalb einer verschlüsselten Datenbank und sind damit nur unzureichend gegen Einsichtnahme und Diebstahl geschützt.

Reaktion

Die Praxis ruft ihren IT-Dienstleister an, es werden keine weiteren Computer im Netzwerk gestartet, der Fernzugriff-PC wird vom Netz getrennt und der RDP-Zugriff deaktiviert.

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

  • Der IT-Dienstleister nimmt eine komplette Neuinstallation des Servers und des Fernzugriff-Computers vor und spielt die Datensicherung des Vortags auf.
  • Es erfolgt ein Virenscan und eine Sicherheitsprüfung weiterer, auch scheinbar nicht betroffener Arbeitsstationen sowie von Druckern, Geräten der Telematikinfrastruktur wie z.B. der Konnektor oder das eHealth-Kartenterminal, etc.
  • Es erfolgt eine Meldung an die Polizei und eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 DSGVO).
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO).

Praxistipps

Von Fernzugriffsmöglichkeiten auf die Praxis-IT mittels RDP über das ungesicherte Internet ist dringend abzuraten. Falls ein Fernzugriff erforderlich ist, sollte dieser mittels Zugang über ein professionelles Virtuelles Privates Netzwerk (VPN) gesichert sein.

Die Praxis sollte gemeinsam mit einem IT-Dienstleister prüfen, welche Daten wo liegen und wie sie abgesichert werden. Gegebenenfalls sollten sie zusammengelegt und verschlüsselt werden.

 

Beispiel 5: Verlust einer unverschlüsselten Datensicherung

Beschreibung

Eine Praxis speichert täglich die eigenen Dateien und ein Back-up des Praxisverwaltungssystems auf USB-Sticks (Standard-Geräte ohne zusätzliche Sicherheitsfeatures). Ein Stick wird am Ende des Tages mit nach Hause genommen, ein zweiter Stick bleibt als Tagessicherung in der Praxis. Die Daten werden ohne weitere Maßnahmen zum Schutz der Vertraulichkeit abgespeichert. An einem Tag geht der eine USB-Stick auf dem Heimweg verloren.

Risiko

Durch den Verlust des USB-Sticks wurden die Daten offengelegt, eine Korrektur ist nicht mehr möglich. Es besteht ein hohes Risiko für die Patientendaten, persönliche Rechte und Freiheiten sind unmittelbar betroffen.

Reaktion

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

Der Verlust wird der Polizei und der Versicherung gemeldet.

  • Nach Anraten der Polizei wurde der IT-Dienstleister zwecks Datenschutz/Datensicherheitsmaßnahmen eingeschaltet. Es werden zwei sichere externe Festplatten mit USB-Anschluss angeschafft und weitere Konfigurationen des Praxis-Computers vorgenommen.
  • Die betroffenen Patientinnen und Patienten werden unverzüglich benachrichtigt (nach Art. 34 DSGVO).
  • Es erfolgte eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 DSGVO).
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO).

Praxistipps

Zusätzliche externe Datensicherungen sind absolut notwendig, müssen aber hinreichend gesichert werden (z.B. Speichermedien, die eigene Verschlüsselung mitbringen).

 

Quelle: Kassenärztliche Bundesvereinigung