Leichte Sprache
Der Praxisrechner arbeitet spürbar langsamer, auf dem Computer tauchen unbekannte Programme auf oder der Webbrowser sieht plötzlich anders aus — Cyberangriffe machen sich auf unterschiedliche Weisen bemerkbar. Wie können Praxen einen Virenangriff vermeiden und was ist zu tun, wenn sich doch Malware auf dem Rechner breitgemacht hat?
von Marc Strohm
Häufig ist es eine unscheinbare E-Mail an die Arztpraxis, durch die der Angriff erfolgt. Wird die Datei im Anhang dieser E-Mail geöffnet, beginnt ein Trojaner damit, sämtliche Dateien auf dem Rechner zu verschlüsseln. Anschließend verkündet eine Nachricht, dass sich die Dateien gegen ein Lösegeld, häufig in der Kryptowährung Bitcoin, wieder entschlüsseln ließen. Zahle die Praxis nicht, würden die Dateien nach Ablauf eines eingeblendeten Timers endgültig gelöscht. In einem Fall wie diesem wurde der Rechner mit sogenannter „Ransomsoftware“ infiziert — nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) die häufigste Art eines Cyberangriffes.
Wie viele Arztpraxen in Nordrhein jährlich Opfer eines Hackangriffs werden, lässt sich dem NRW-Innenministerium zufolge nicht genau sagen, da die Polizeiliche Kriminalstatistik Arztpraxen nicht spezifisch als Opfer erfasst. Lediglich zu Krankenhäusern, die als Kritische Infrastruktur (KRITIS) registriert seien, führe das BSI eine Statistik. Demnach wurden dem BSI im vergangenen Jahr im Bereich der medizinischen Versorgung deutschlandweit 99 Störungen gemeldet, von denen 15 als Angriffsversuche von unbekannten Tätern identifiziert wurden. Zum lukrativen Ziel für Kriminelle würden Arztpraxen und Krankenhäuser, da sie über sensible Patientendaten verfügten, die für Behandlung, Dokumentationen und Abrechnung benötigt würden, wodurch der Gesundheitssektor erpressbar werde, so das Ministerium. Der Diebstahl von vertraulichen, personenbezogenen Gesundheitsdaten stelle dabei einen besonders schwerwiegenden Eingriff dar. Auch wenn die Verlockung nach einem Ransomwareangriff groß ist, das Lösegeld zu zahlen, raten sowohl das BSI als auch das NRW-Innenministerium dringend davon ab. Es sei unklar, ob die Erpresser die verschlüsselten Daten wieder entschlüsselten oder gestohlene Daten, wie versprochen, von ihren Geräten löschen würden.
Daten, die einmal gestohlen wurden, seien grundsätzlich als kompromittiert zu betrachten, teilte das BSI auf Anfrage dem Rheinischen Ärzteblatt mit. Zwar habe sich das IT-Sicherheitsniveau der KRITIS-Krankenhäuser kontinuierlich verbessert, doch in den alle zwei Jahre stattfindenden Sicherheitsüberprüfungen seien immer wieder Sicherheitsmängel aufgefallen, vor allem im Bereich der Technischen Informationssicherheit gefolgt von organisatorischen Mängeln besonders im Hinblick auf die Etablierung und den Betrieb eines Information Security Management Systems (ISMS), das innerhalb einer Einrichtung Verfahren und Regeln zur IT-Sicherheit definiert, kontrolliert und fortlaufend verbessert.
Auch in Arztpraxen sind nach einer IT-Sicherheitsüberprüfung des Gesamtverbandes der deutschen Versicherungswirtschaft Mängel festgestellt worden. So verwendeten 22 von 25 Praxen keine oder nur sehr einfache Passwörter, es gebe keine getrennten Zugriffsrechte für verschiedene Nutzerinnen und Nutzer und in vielen Fällen seien Zugangsdaten im Darknet aufzufinden, wodurch ein Schutz von sensiblen Patientendaten kaum sicherzustellen sei.
Als Gesamtverantwortlicher der Telematikinfrastruktur (TI) kommt der gematik bei der Abwehr von Cyberangriffen eine besondere Rolle zu. So führen die Anbieter der Praxissoftware der gematik zufolge nicht nur regelmäßige Schwachstellenscans und Penetrationstests durch, sondern sind auch verpflichtet, für ihre Dienste ein Security Monitoring zu etablieren, um potenzielle Angriffe auf ihre Infrastruktur zu erkennen und abzuwehren. An ihre Grenzen gerate diese TI-Sicherheitsleistung durch die dezentralen Strukturen in den Praxen. Dazu brauche es die Mitarbeit der Ärztinnen und Ärzte sowie der Praxisangestellten, die angehalten seien, die verbindliche Richtlinie zur Datensicherheit der Praxis-IT der Kassenärztlichen Bundesvereinigung (KBV) umzusetzen (https://www.kbv.de/html/it-sicherheit.php).
Der optimale Schutz für den Rechner
Um den Praxisrechner optimal gegen Cyberangriffe zu schützen, rät die gematik zu technischen Sicherheitsmaßnahmen wie regelmäßigen Sicherheitsupdates und einem aktuellen Virenschutz. Die Kassenärztliche Vereinigung Nordrhein (KVNo) hat ein E-Learning-Portal eigens zum Thema IT-Sicherheit aufgelegt. Sie rät, bei der Installation von Firewalls und Anti-Virenprogrammen Rücksprache mit dem PVS-Anbieter zu suchen, der dafür Sorge trage, dass die Programme im System optimal funktionierten.
Um den Rechner vor unbefugten Zugriffen zu schützen, empfiehlt die KVNO, nach Möglichkeit für die Mitarbeiterinnen und Mitarbeiter verschiedene Nutzerkonten anzulegen und auf die Nutzung eines Geräts mit Administratorrechten zu verzichten. Diese Nutzerkonten ließen sich mit sicheren Passwörtern und zusätzlicher Zwei-Faktor-Authentifizierung sichern. Noch immer sind nach Angaben des BSI einfache Zahlenkombinationen wie 1234 als Passwort weit verbreitet — so auch in Arztpraxen. Als optimale Länge für ein Passwort gelte daher: Je länger desto besser. Ein gutes Passwort solle mindestens über acht Zeichen verfügen, besser mehr, Groß- und Kleinbuchstaben, sowie Ziffern und Sonderzeichen enthalten, wobei auf Begriffe aus dem Wörterbuch verzichtet werden sollte. Um bei einer Vielzahl von passwortgesicherten Anwendungen nicht den Überblick zu verlieren, empfiehlt das BSI einen Passwort-Manager. Dieses System verwalte sämtliche Passwörter, sodass sich der Nutzer nur das sichere Passwort für den Passwort-Manager merken müsse.
Neben technischen Sicherheitsvorkehrungen wie diesen empfiehlt das NRW-Innenministerium Ärztinnen und Ärzten, ihre Mitarbeitenden für das Thema IT-Sicherheit zu sensibilisieren und regelmäßig zu schulen. Da ein Großteil der Ransomwareangriffe durch einen verseuchten Mailanhang ausgelöst werde, empfiehlt die gematik eine besondere Sensibilisierung bei Phishing Mails. So sei eine Mail verdächtig, wenn sie voller Grammatik- und Orthografiefehler sei, dringend persönliche Daten oder PIN-Nummern eingegeben werden sollen und die E-Mail keine namentliche Ansprache an den Empfänger enthalte. Wenn nicht eingeschätzt werden könne, ob es sich bei einer E-Mail um eine Phishing Mail handelt, solle der Absender direkt kontaktiert werden, zum Beispiel telefonisch — dabei solle jedoch auf keinen Fall auf die dubiose Mail geantwortet werden. Zwar gehe von Anhängen in E-Mails stets ein Risiko aus, doch vor allem wenn die Dateinamen auf .exe oder .zip endeten, sei besondere Vorsicht geboten. Bei der Nutzung des Internets könne ein Ad-Blocker dabei helfen, Werbung wie Videos, Pop-Ups oder Banner zu blockieren, hinter denen sich Schadprogramme verbergen könnten. Um zu verhindern, dass nach einem Cyberangriff weitere Systeme befallen werden, sei es sinnvoll, die Netzwerkinfrastruktur zu segmentieren. Dabei werde mit verschiedenen technischen Verfahren ein großes Netzwerk in kleinere Subnetzwerke geteilt. Bekanntestes Beispiel sei der Gastzugang beim WLAN, während Mitarbeiter einen anderen Zugang erhielten.
Wenn doch mal etwas passiert ist…
Selbst bei Einhaltung all dieser Vorgaben kann ein IT-Sicherheitsvorfall nie hundertprozentig ausgeschlossen werden. Um dennoch handlungsfähig zu bleiben, empfiehlt die KVNO, einen IT-Notfallplan zu erstellen, der festlegt, wer in der Praxis bei einem Angriff welche Aufgabe übernimmt. So solle nach Bekanntwerden des Sicherheitsvorfalls der befallene Computer umgehend vom Strom und vom Netzwerk getrennt werden, was eine Verbreitung des Schadprogramms verhindere. Unmittelbar nach dem Angriff solle auch die Polizei eingeschaltet werden, die das Schadensausmaß beurteile. Neben den örtlichen Polizeidienststellen stehe den Praxen dabei auch der Single Point of Contact (SPoC) des Landeskriminalamtes NRW als Ansprechpartner zur Verfügung. Zusätzlich empfiehlt die KVNO eine Strafanzeige beim zuständigen Landeskriminalamt zu stellen. Sollten Patientendaten vom Angriff betroffen sein, müsse dies den Patienten und innerhalb von 72 Stunden auch der Landesbeauftragten für Datenschutz und Informationsfreiheit gemeldet werden. Hinweise zum Umgang mit gestohlenen Patientendaten gibt auch die Beratung zum Datenschutz der Ärztekammer Nordrhein (siehe Kasten).
Bei gestohlenen Passwörtern empfehlen die IT-Experten, alle Passwörter und Sicherheitsabfragen umgehend zu ändern. Bestehe der Verdacht, dass Kontodaten, Kreditkartennummern oder PINs auf einer gefälschten Webseite eingegeben wurden, sei das entsprechende Kreditinstitut mit einer Sperrung der Konten zu beauftragen.
Um den Datenverlust nach einem Cyberangriff geringzuhalten, sei die regelmäßige Erstellung von Backups wichtig, so die KVNO. Die Daten könnten dabei manuell oder mithilfe von Datensicherungsprogrammen automatisch gesichert werden und sollten sicher verwahrt werden. Nach einem Cyberangriff könne der IT-Dienstleister das System mit den vorhandenen Datensicherungen wiederherstellen, nachdem er eine Neuinstallation vorgenommen und die infizierten Festplatten ausgetauscht habe.
Nützliche Nummern und Webseiten
Praxen, die von einem Cyberangriff betroffen sind, können sich neben der örtlichen Polizeidienststelle auch an den SPoC des Landeskriminalamts NRW wenden. Dieser ist rund um die Uhr unter der Rufnummer 0211 939-4040 erreichbar. Strafanzeige kann beim Landeskriminalamt unter cybercrime.lka(at)polizei.nrw.de erstattet werden.
Auf einer eigenen Webseite gibt die Polizei Auskunft darüber, was Opfer von Cybercrime tun können, welche Rechte sie haben und welche Hilfs- und Unterstützungsangebote bestehen: https://www.polizei-beratung.de/opferinformationen/cybercrime/
Informationsmaterial dazu, wie ein Vorfall bewältigt, gemeldet und wie ihm vorgebeugt werden kann, stellt das BSI auf seiner Homepage zur Verfügung. Dort findet sich auch das Handbuch „Erste Hilfe bei einem schweren IT-Sicherheitsvorfall“: https://www.bsi.bund.de/dok/13983460
Die KVNO stellt auf ihrer Homepage ein E-Learning-Modul zu E-Mail-, Internet-, und Passwortsicherheit zur Verfügung: https://www.kvno.de/praxis/beratung/it-beratung/datenschutz-und-datensicherheit/e-learnings
In einem Selbsttest auf der Seite der KBV können 15 Fragen zum Datenschutz und zur Informationssicherheit beantwortet werden. Die Fragen reichen dabei von Aufbewahrungsfristen über Patientenunterlagen bis hin zu Zugängen zu IT-Systemen: https://praxischeck.kbv.de/mpc/courses/list.xhtml
Zusätzlich gibt die KBV in einer eigenen Praxisinfo Hinweise, wie auf verschiedene Formen der Cyberkriminalität, wie zum Beispiel Support-Betrug durch Warnmeldungen im Browser, reagiert und wie sie verhindert werden können: https://www.kbv.de/media/sp/PraxisInfo_IT-Sicherheit_Beispiele_Tipps.pdf
Wenn Patientendaten gestohlen wurden, gelten zusätzlich die Bestimmungen der DSGVO. Weitere Hinweise kann in diesem Fall der Ansprechpartner zum Datenschutz der Ärztekammer Nordrhein geben. Dieser ist unter folgenden Kontaktdaten erreichbar: 0211 4302-2320, E-Mail: claus.buschkamp(at)aekno.de
Innerhalb von 72 Stunden muss außerdem eine Meldung beim Landesbeauftragten für Datenschutz und Informationsfreiheit NRW eingereicht werden: https://ldi-fms.nrw.de/lip/authenticate.do