So können sich Praxen schützen!

Wie sehen also sinnvolle Schutzmaßnahmen aus? Wie groß ist das Bedrohungsszenario und wie laufen Angriffe auf die interne IT-Infrastruktur einer Praxis überhaupt ab?

Laut Zahlen des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) war 2021 ein erneutes Rekordjahr für Hackerangriffe mit 144 Millionen Schadprogramm-Varianten. Das sind 20% mehr als im Vorjahr, wobei die Dunkelziffer um ein Vielfaches höher liegen dürfte.¹ Zur schmerzlichen Wahrheit gehört außerdem, dass dieser Trend auch nicht vor Branchen Halt macht, in denen Datenschutz und Datensicherheit eine besonders hohe Priorität genießen – wie zum Beispiel im Gesundheitswesen. Zwar gibt es in Deutschland keine genauen Statistiken über die tatsächliche Anzahl von Cyberattacken auf Praxen, Apotheken, Krankenhäuser oder Pflegeeinrichtungen, was auch daran liegt, dass keine Anzeigepflicht bei der Polizei besteht; die Häufung an öffentlich bekannt gewordenen Fällen ist allerdings nicht zu übersehen. Zum Jahreswechsel warnte deshalb auch die Kassenärztliche Bundesvereinigung (KBV) vor einer stetig steigenden Anzahl von Hackerangriffen und unterstrich damit nochmals deutlich die konkrete Bedrohungslage.² Zwar stehen meist nur die Sicherheitsvorfälle bei großen Kliniken im Fokus der medialen Berichterstattung, aber auch viele kleinere Praxen sind von Hackerangriffen betroffen – eben mit dem Unterschied, dass viele Vorfälle erst gar nicht den Weg in die breite Öffentlichkeit finden. An der Brisanz dieses Themas ändert das freilich nichts: Sind die Patientendaten erst einmal entwendet oder ist der Zugriff auf das eigene IT-System blockiert, steht der Praxisbetrieb notgedrungen still. Zurückholen lassen sich die Daten in der Regel nur sehr schwer.

Die Anatomie eines Hackerangriffs

Um das Phänomen vermehrter Hackerangriffe in seiner Gesamtheit zu begreifen und gezielte Gegenmaßnahmen zu implementieren, müssen wir uns vorab die Anatomie solcher Angriffe ansehen. An erster Stelle steht hier die Frage: Wie sieht eine typische Cyberattacke im Gesundheitswesen überhaupt aus? Das Problem: Leider lässt sich genau dieser Aspekt nicht allgemeingültig beantworten, denn Kriminelle nutzen viele Wege, um sich unerlaubten Systemzugriff zu verschaffen oder den Betriebsablauf empfindlich zu stören. Nur im gemeinsamen Ziel zeigt sich ihr gleicher Charakter: Alle wollen sie – zugunsten des eigenen Vorteils – den betroffenen Firmen maximal schaden. Um dennoch einen Überblick über die Angriffsmöglichkeiten zu erhalten, blicken wir auf vier ausgewählte kriminelle Verfahren, vor denen sich auch Praxen unbedingt schützen sollten.

Überlastung der IT-Infrastruktur durch DDOS-Angriff

DDOS steht für „Distributed Denial of Service”. Hierbei werden gezielt die Server webbasierter Dienste (z.B. Online-Kalender) mit derart vielen Anfragen „bombardiert”, dass es zu einer Überlastung der IT-Infrastruktur kommt.³ Die Systeme können die Anfragen nicht mehr verarbeiten und brechen unter der Last zusammen, wodurch sie für eine unbestimmte Zeit außer Gefecht gesetzt werden. Betroffen sind hier nicht die Server von Verwaltungssystemen, die in den Praxen stehen, sondern die Server von Online-Diensten.

Datendiebstahl durch Phishing

Anders als bei DDOS-Attacken geht es bei Phishing-Mails nicht unmittelbar um das Lahmlegen der IT-Infrastruktur des betroffenen Unternehmens, sondern um Datendiebstahl.⁴ Die Täter wollen mithilfe von echt wirkenden E-Mails ihre Opfer dazu bringen, persönliche oder finanzielle Daten preiszugeben – nicht selten unter Aufbau einer künstlichen Drohkulisse („Setzen Sie Ihr Konto innerhalb der nächsten 24 Stunden zurück, andernfalls [...]”). Im schlimmsten Fall wandern auf diese Weise diverse Bankdaten oder der Benutzername für die hauseigene Software-Lösung mitsamt dem Passwort direkt an die Cyberkriminellen.

Kennwortangriffe – Erraten durch automatisiertes Programmieren

Während Hacker beim Phishing versuchen, Benutzer mit List dazu zu bringen, ihre Zugangsdaten zu verraten, basiert der sogenannte Kennwortangriff darauf, diese durch wiederholtes (automatisiertes) Probieren zu erraten. Dabei kann es sich zum Beispiel um einen Wörterbuchangriff handeln, wo alle gängigen Kennwörter, wie etwa „Passwort123”, „Sommer22” oder „qwertz”, beim Login-Prozess getestet werden. Dem gegenüber steht die „Brute Force”-Taktik.⁵ Hier werden mithilfe eines automatisierten Tools so lange verschiedene Benutzername-Passwort-Kombinationen ausprobiert, bis man die richtige durch Zufall findet.

Software-Angriffe mit Schadprogrammen

Während Hacker bei Phishing und Kennwortangriffen versuchen, an legitime Zugangsdaten zu einem System zu kommen, um Daten auszuspähen oder zu stehlen, werden bei einem Angriff mit Malware (= „bösartige Software”) Schadprogramme gezielt auf dem System des Opfers installiert. Viren und Trojaner sind sicherlich die bekanntesten Formen von Malware; beide Varianten werden häufig durch den Download bzw. das Öffnen von Datei-Anhängen oder das Anklicken von Links aktiviert, ehe sie im Inneren des Systems ihr Unwesen treiben.⁶ So können Kryptotrojaner beispielsweise den Zugriff auf das Betriebssystem blockieren, indem sie potenziell wichtige (oder schlichtweg alle) Dateien auf den Computern der Opfer verschlüsseln. Wird die Firma oder der Benutzer daraufhin zur Zahlung von Lösegeld aufgefordert, spricht man von Ransomware (zu Deutsch: Erpressungssoftware).

Das Gesundheitswesen hat einen besonderen Reiz für Hacker

Laut dem Softwareunternehmen Sophos sind die weltweiten Ransomware-Angriffe auf das Gesundheitswesen innerhalb eines Jahres um 94% angestiegen.⁷ Das sind ungeheuerliche Zahlen. Und: Deutsche Praxen bilden hier keine positive Ausnahme. So beobachtete neben der KBV auch die Zentrale Ansprechstelle Cybercrime (ZAC) der Berliner Polizei, dass die Bedrohungslage für IT-Systeme im Gesundheitswesen deutlich steigt.

Woher das Interesse der Hacker am Gesundheitswesen und insbesondere an den Arztpraxen kommt? Darauf gibt Olaf Borries, Kriminalhauptkommissar des ZAC, in einem Interview vom April eine ziemlich präzise Antwort⁸: „Keiner sollte meinen, dass er als Ziel von Cyberkriminellen uninteressant ist. Wer meint, er habe ja nur eine kleine Arztpraxis, wer interessiere sich schon für diese Daten, denkt in die falsche Richtung. Die Frage ist nicht: Welchen Wert haben die Daten für den Täter? Die Frage ist eigentlich: Welchen Wert haben die Daten für mich, wenn sie weg oder unerreichbar, also zum Beispiel verschlüsselt sind?“ Damit spielt er richtigerweise auf das Dilemma an, in dem sich viele Ärzte befinden. Je sensibler die Daten sind, desto größer ist die Bereitschaft, sie unter allen Umständen wieder zurückzuholen – ein lohnendes Geschäft für die Angreifer. Ohne frühere Befunde, die bisherige Medikation oder das aktuelle Terminmanagement lässt sich ein Praxisalltag schließlich kaum sinnvoll weiterführen. Trotzdem rät das ZAC davon ab, auf etwaige Lösegeldforderungen einzugehen; eine Garantie, dass die Daten wieder entschlüsselt werden, gibt es schließlich nicht. Stattdessen sollte man umgehend den IT-Dienstleister und die Polizei einschalten und Geschäftspartner sowie Patienten proaktiv informieren.

Wie können sich Arztpraxen schützen?

Kommen wir zur wichtigsten Frage: Wie lässt sich verhindern, dass Cyberkriminelle Zugriff auf das eigene System erlangen und beispielsweise mittels Ransomware Geld erpressen können? Da die Angriffe verschiedene Vektoren nutzen, um ihre Ziele zu erreichen, müssen auch verschiedene Schutzmaßnahmen ergriffen werden. In der Regel werden einem dabei zuerst technische Maßnahmen in den Sinn kommen. Die KBV hat hier mit der IT-Sicherheitsrichtlinie eine ganze Reihe sinnvoller Sicherheitsvorkehrungen detailliert aufgelistet.⁹

Hierzu zählt unter anderem, dass jede Praxis über eine funktionierende Firewall verfügen muss. Dabei handelt es sich um ein Sicherungssystem, das den Datenverkehr analysieren, weiterleiten und notfalls blockieren kann, um unerwünschte Netzwerkzugriffe zu verhindern und Server-Überlastungen vorzubeugen. Es gibt bereits sehr gut schützende Systeme für wenige Hundert Euro. Außerdem hat jede Praxis auch aktuelle Virenschutzprogramme einzusetzen, mit denen neue Dateien (z.B. E-Mail-Anhänge oder Dateien auf USB-Sticks) auf Schadsoftware überprüft werden; ebenso sind aktuelle Schutzprogramme vor Phishing im Browser zu empfehlen. Darüber hinaus schreibt die KBV in ihrer Sicherheitsrichtlinie fest, dass Praxen lediglich verschlüsselte Internetanwendungen nutzen dürfen – schließlich sind alle Daten, die im Klartext vorliegen, leichte Beute für Hacker. Praxen sollten deshalb darauf achten, nur Webseiten zu besuchen, die mit „https://“ (sicheres Übertragungsprotokoll für verschlüsselten Datentransfer) beginnen, oder ggfs. einen VPN-Dienst verwenden, der den eigenen Datenstrom im Internet verschlüsselt.

Weitere sinnvolle technische Vorkehrungen:

• Gerätezugang nach Nutzung sperren oder sich abmelden

• Downloads nur von vertrauenswürdigen (bekannten) Seiten

• Zugriffsberechtigungen für jeden Mitarbeiter regeln

• Regelmäßige Datensicherungen

• Regelmäßige Updates des Betriebssystems und verwendeter Apps

Natürlich sind die hier aufgeführten Punkte nur eine kleine Selektion der wichtigsten Sicherheitsmaßnahmen. Sofern noch nicht geschehen, sollten Ärzte deshalb unbedingt die gesamte IT-Sicherheitsrichtlinie lesen, die auf der Website der KBV einzusehen ist.

Gemeinsamer Kraftakt notwendig

Technische Schutzmaßnahmen helfen aber nur gegen einen Teil der üblichen Angriffe – insbesondere Phishing- und Malware-Angriffe benötigen die „Mithilfe“ der Benutzer, um an Zugangsdaten zu gelangen oder die Schadsoftware zu installieren. Dabei wird oft auf die Unerfahrenheit der Benutzer oder fehlende Zeit zur gewissenhaften Prüfung gebaut. Anhand einiger einfacher Regeln kann man solche Angriffe aber erkennen (oder zumindest misstrauisch werden):

• E-Mails oder andere Nachrichten, in denen Sie von Ihnen bekannten Absendern (z.B. Ihrer Hausbank oder Ihrem Internetanbieter) dazu aufgefordert werden, Passwörter oder persönliche Daten wie Kontonummern einzugeben, sind IMMER Fälschungen. Lassen Sie sich nicht in die Irre führen: Diese Nachrichten sind oft täuschend echt aufgemacht, aber eben auch der klassische Weg, um an Ihre Benutzerdaten zu gelangen.

• Nehmen wir an, dass Sie sich entschieden haben, den Anhang einer scheinbar vertrauenswürdigen E-Mail zu öffnen: Brechen Sie den Vorgang sofort ab, wenn sich Ihr Rechner nun mit der Frage meldet, ob er ein Programm ausführen oder installieren soll (z.B. „eingebundene Makros“). Diese Abfrage, die gerne ohne nachzudenken bestätigt wird, ist die „letzte Bastion“ gegen einen Malware-Angriff.

• Geben Sie Zugangsdaten NIE an Dritte weiter. Einige der erfolgreichsten Angriffe nutzen Methoden des „Social Engineerings“, also das Vortäuschen persönlicher Beziehungen, um an die benötigten Zugangsdaten zu kommen.¹⁰ Zahlreiche Datendiebstähle oder -manipulationen sind tatsächlich „interne Jobs”, werden also aus verschiedensten Motiven von Mitarbeiterinnen und Mitarbeitern begangen.¹¹

• Durch Einschränkungen von Zutritts- oder Zugriffsrechten kann gesteuert werden, dass Mitarbeiter nur das zu sehen bekommen, was sie für ihre Arbeit benötigen. Insbesondere die Berechtigungen zur Systemadministration sollten so wenig Personen wie möglich haben.

• Verwenden Sie keine einfachen Passwörter wie „Praxis“. Alles, was im Duden steht (und noch einiges mehr), wird von Hackern im Rahmen von Kennwortangriffen verwendet.

Literaturtipp
zum Thema Datensicherheit: Was ist bei der Auswahl der Praxissoftware zu beachten?

Autor:
Alexander Wilms
Geschäftsführer RED Medical Systems , München

Alexander Wilms betreut seit annähernd 20 Jahren die allgemeinärztliche Praxis seiner Frau in IT-Fragen und war maßgeblich an der Entwicklung von RED ­Medical , der ersten webbasierten Arztsoftware, beteiligt.