180 Grad IT Bildmarke

Cyberrisiken und IT-Angriffe bei Arztpraxen und Apotheken

Allgemein

Die Welt ist kleiner geworden durch die Globalisierung. Praktisch alles kann über das Internet in Sekundenschnelle digital erreicht werden. Und alles, heißt in diesem Fall wirklich alles. Auch so sensible Daten, wie die über uns als Person oder unseren Körper. Immer im Sinne der Gesundheit werden in Arztpraxen und Apotheken massenweise Daten über uns gespeichert, dokumentiert und verarbeitet. Durch die Digitalisierung inzwischen zumeist sogar vollständig digital. Doch was passiert, wenn diese Informationen mal in falsche Hände gelangen? Der GDV Gesamtverband der Deutschen Versicherungswirtschaft e.V. hat sich intensiv mit dieser Problematik beschäftigt und interessante Daten erhoben, wie es um Cyberrisiken und die IT-Sicherheit bei Ärzten und in Apotheken steht.

Sensible Gesundheitsdaten als Angriffspunkt für Cyber-Attacken

Kaum eine Branche arbeitet mit so sensiblen Daten wie das Heilwesen. Personenbezogene Gesundheitsdaten zählen zu den besonderen Kategorien personenbezogener Daten. Der Verlust solcher Informationen hat nicht nur für die betroffene Person Folgen, sondern auch für den, der sie verloren hat. Dadurch und durch die immer weiter voranschreitende Digitalisierung auch im Gesundheitswesen, steigt der Druck auf Ärzte, Apotheker, Pflegedienste oder Kliniken. Sie müssen konsequenter als je zuvor mit der Datensicherheit umgehen und alle denkbaren Schutzmaßnahmen ergreifen, um die IT vor Cyber-Angriffen und Hacker-Attacken zu schützen.

Die Digitalisierung sollte eigentlich eine Chance für Apotheken und Arztpraxen sein, um sich neu zu strukturieren, Prozesse schneller und automatisierter abzuhandeln. Die Zusammenarbeit mit Krankenkassen wird bequemer und schneller, der fachliche Austausch wird gefördert und die Patientenkommunikation vereinfacht. Wer könnte da denn schon etwas Böses vermuten? Mit diesen Vorteilen wächst jedoch auch die Verantwortung dafür, die genutzten Systeme so zu schützen, dass die verarbeiteten sensiblen Gesundheitsdaten so gut geschützt werden wie möglich. Diese Notwendigkeit ist in der Gesundheitsbranche jedoch teilweise noch nicht angekommen. Allzu oft leben verantwortliche Ärzte oder Apotheker in dem Glauben, in Sachen IT gut aufgestellt zu sein, nur weil alle paar Wochen ein Backup manuell durchgeführt wird. Obwohl die Gefahren der digitalen Verarbeitung gesehen werden, zeigen Sicherheitstests, dass Risiken und potenzielle Gefahrenquellen schlichtweg unterschätzt werden. Das macht die gesamte Branche angreifbar, denn ein erfolgreicher Hacker-Angriff und gestohlene Patientendaten haben eine große Reichweite und maßgebliche Imagefolgen für den gesamten Wettbewerb. Nicht zuletzt deshalb ist es zunehmend wichtiger, sichere Computersysteme zu haben, die auf verschiedenen Ebenen einen Schutz gewährleisten können.

Die Erhebung des GDV unterstreicht diese Informationen mit erschreckenden Zahlen, die zeigen, wie sehr die Risiken unterschätzt und die eigene IT-Infrastruktur überschätzt werden:

1%
aller Befragten glauben, dass die eigene Praxis/Apotheke zu klein ist, um Ziel einer Cyber-Attacke zu werden.
1%
der Befragten möchten in der nächsten Zeit keine Investition in die IT-Sicherheit tätigen.
1
von 25 getesteten Arztpraxen sind nicht auf einen Ausfall der IT-Systeme vorbereitet.
1
von 25 Arztpraxen wird dieselbe Zugangskennung von mehreren User mit einfachen oder sogar ohne Passwörter genutzt.

Trotzdem glauben rund 80 % der befragten Apotheker und Ärzte, dass die eigene Praxis oder Apotheke ausreichend gegen Cybercrime geschützt ist. Dieses hohe Vertrauen in die eigenen Schutzvorkehrungen für die IT sorgt dafür, dass rund 30 % der Befragten in der nächsten Zeit keine Investition in die IT-Sicherheit tätigen werden.

Die größten IT-Risiken für Ärzte und Apotheker

Wie groß der Schaden werden kann, wird häufig erst klar, wenn man selbst Betroffen ist. Doch würde ein Krimineller an Daten wie Abrechnungen, Patiententermine, Krankenakten, Patientenbriefe oder Gutachten kommen, wäre mit ernsten, vielleicht sogar existenzbedrohenden Folgen zu rechnen. Umso schlimmer ist es, eine solche Gefahr zur unterschätzen. Dabei lassen sich die Risikofaktoren bereits ohne große Vorkenntnis eingrenzen.

1. Risiko: Passwörter

Zugänge werden unter den Mitarbeitern geteilt, es fehlen Passwortrichtlinien, sämtliche Benutzer haben alle Administratorrechte, es werden zu einfache Passwörter genutzt oder ehemalige Mitarbeiter werden nicht in der Rechteverwaltung entfernt. Wie sich das Risiko „Passwort und Zugänge“ letztendlich äußert, ist egal. Wichtig ist jedoch, dass das Bewusstsein für die Passwortsicherheit da ist. Jede zweite Praxis-IT der Erhebung ist mit dem Passwort „Praxis“ zugänglich. Dass das keine sichere Barriere für Hacker darstellt, dürfte klar sein.

IT-Sicherheitsexperten geben jedoch hilfreiche Tipps für sichere Passwörter:

  • Langes, individuelles Passwort

Neben den altbekannten Sonderzeichen, Groß- und Kleinbuchstaben ist jedoch auch die absolute Länge eines Passwortes entscheidend. Je länger das Passwort ist, umso länger benötigt ein Computer, um es zu entschlüsseln. Die Kombination aus Länge, Zeichenart und der regelmäßige Wechsel von Passwörtern sorgen dafür, dass eine höhere Sicherheit möglich wird.

  • Passwort-Manager

Inzwischen wird für jeden Account und jeden Zugang ein eigenes Passwort benötigt, was bedeutet, dass man nicht nur beruflich, sondern auch privat zig Passwörter im Kopf haben müsste. Verschlüsselte Passwort-Manager sorgen dafür, dass lange, starke Passwörter einfach verwaltet werden können. Diese werden über ein Master-Kennwort verwaltet. So muss man sich nur noch ein einziges, sicheres Passwort merken, um die Sicherheit zu erhöhen.

  • Zwei-Faktor-Authentifzierung

Gerade aufgrund der besonderen Kategorie von Patientendaten ist eine Zwei-Faktor-Authentifizierung zielführend. Das funktioniert so, dass neben der Eingabe eines Passwortes zusätzlich ein Sicherheitscode beispielsweise auf das Handy geschickt wird, der zur Ausführung eingegeben werden muss. So fällt jeder Versuch eines Hacks direkt auf.

2. Risiko: Unbedachte Mitarbeiter

Bereits ein Klick auf schädlichen Mailanhang oder einen Fake-Link kann die kompletten IT-Systeme einer Praxis oder Apotheke außer Gefecht setzen. Deshalb ist es so wichtig, dass Mitarbeiter und alle Nutzer der Systeme für diese Gefahren sensibilisiert werden und wissen, wie mit solchen Schadangriffen umgegangen werden muss. Eine regelmäßige Schulung ist daher unerlässlich. Auch grundlegende Richtlinien für den Umgang mit E-Mails können bereits präventiv dazu beitragen, sich vor solchen Angriffen zu schützen. Außerdem helfen hohe Sicherheitseinstellungen in den Betriebssystemen dabei, schädliche Software von vornherein zu filtern. Unerlässlich bleibt dafür, dass Virenscanner und Firewall immer auf dem neuesten Stand der Technik sind und regelmäßige Aktualisierungen erfahren. Sind die Mitarbeiter geschult und für den Umgang mit derartigen Programmen oder Mails sensibilisiert, sollte darauf geachtet werden, dass Absender und Betreff kritisch geprüft werden. Cyberkriminelle nutzen gerne seriöse Identitäten, um dadurch Vertrauen zu erwecken und so Zugang zu den Systemen zu erhalten. Wirkt eine Mail unglaubwürdig oder erweckt sie auch nur im geringsten Misstrauen, gilt es schnell und professionell zu reagieren, entweder über interne IT-Administratoren oder gar durch einfaches Löschen.

3. Risiko: Datensicherungen

Bereits ein Klick auf schädlichen Mailanhang oder einen Fake-Link kann die kompletten IT-Systeme einer Praxis oder Apotheke außer Gefecht setzen. Deshalb ist es so wichtig, dass Mitarbeiter und alle Nutzer der Systeme für diese Gefahren sensibilisiert werden und wissen, wie mit solchen Schadangriffen umgegangen werden muss. Eine regelmäßige Schulung ist daher unerlässlich. Auch grundlegende Richtlinien für den Umgang mit E-Mails können bereits präventiv dazu beitragen, sich vor solchen Angriffen zu schützen. Außerdem helfen hohe Sicherheitseinstellungen in den Betriebssystemen dabei, schädliche Software von vornherein zu filtern. Unerlässlich bleibt dafür, dass Virenscanner und Firewall immer auf dem neuesten Stand der Technik sind und regelmäßige Aktualisierungen erfahren. Sind die Mitarbeiter geschult und für den Umgang mit derartigen Programmen oder Mails sensibilisiert, sollte darauf geachtet werden, dass Absender und Betreff kritisch geprüft werden. Cyberkriminelle nutzen gerne seriöse Identitäten, um dadurch Vertrauen zu erwecken und so Zugang zu den Systemen zu erhalten. Wirkt eine Mail unglaubwürdig oder erweckt sie auch nur im geringsten Misstrauen, gilt es schnell und professionell zu reagieren, entweder über interne IT-Administratoren oder gar durch einfaches Löschen.

4. Risiko: Fehlende Sicherheitsupdates

Sicherlich zählen Computerupdates nicht zu den Haupttätigkeiten einer Apotheke oder einer Arztpraxis. Aber wird mit veralteten Systemen und nicht mehr aktuellen Sicherheitsvorkehrungen gearbeitet, so erhöht sich die Anfälligkeit gegenüber Angriffen. Regelmäßige Sicherheitsupdates sind also in gewisser Weise doch Teil des Kerngeschäfts in der Gesundheitsbranche oder sollten zumindest dazu gemacht werden.

5. Risiko: Kein Notfallplan vorhanden

Wie wichtig Dokumentation und Prozessplanung sind, zeigt sich erst im Krisenfall. Kein Wunder also, dass lediglich eine von 25 befragten Praxen und Apotheken ein schriftliches Notfallkonzept in der Schublade hat, um im Ernstfall schnell reagieren zu können. Andere habe einen Dienstleistervertrag, um die Verfügbarkeit ihrer Systeme zu gewährleisten. Doch über 30 % haben keinerlei Notfallmanagement und würden im schlimmsten Fall erst einmal mittellos dastehen. Das diese Variante der gefährlichere Weg ist haben bereits zahlreiche betroffene Apotheken und Arztpraxen schmerzlich feststellen müssen. Deshalb lautet der Tipp hier ganz klar: Es sollte festgelegt sein, was im Bedarfsfall zu tun ist und wer dafür verantwortlich ist. Eine Dokumentation dieses Plans macht die Abläufe greifbar und belastbar.

Wie sicher ist Ihre IT?

Mobile Device Management

Was ein Cyber-Angriff und seine Folgen kosten können

Empfehlungen und Risikoeingrenzung sind schön und gut. Doch um erfassen zu können, welche Auswirkungen ein „einfacher“ Datenklau im Gesundheitswesen haben kann, hat sich der GDV eines einfachen Mittels bedient: Fakten! Auf der Grundlage der Erhebung soll die folgende Abbildung zeigen, mit welchen Kosten zu rechnen wäre:

Angriff / Datenklau

Hacker attackieren die IT-Systeme einer Praxis und klauen Patientendaten, die sie als Druckmittel für Lösegeld verwenden

Information an Betroffene und Behörden

Die betroffenen Patienten müssen umgehend informiert und der Verlust sensibler Daten der Datenschutzbehörde gemeldet werden. Über das genaue vorgehen lohnt sich die Konsultation eines Rechtsbeistandes, da auch auf Seiten der Betroffenen viele Fragen entstehen.

Kosten für Information: 4.000 Euro

Anwaltskosten: 2.000 Euro

IT-Forensik

Um die Schwachstelle im System schnell zu finden und zu eliminieren müssen schnell IT-Spezialisten herangezogen werden. Die IT-Infrastruktur wird bereinigt und gehärtet.

Kosten für IT Forensik: 5.000 Euro

Betriebsausfall

Bis die Schwachstelle gefunden und wieder versiegelt ist  und weiterer Datenklau damit verhindert werden kann, muss die Praxis geschlossen bleiben, da das Risiko eines weiteren Eingriffs zu groß wäre. Auch eine Abrechnung mit der Krankenkasse über die IT ist in dieser Zeit nicht möglich.

Kosten für Betriebsunterbrechung: 5.000 Euro

Datenmissbrauch

Die Kriminellen haben die gestohlenen Gesundheitsdaten einiger Patienten öffentlich gemacht. Die Betroffenen verlangen Schadenersatz von der Arztpraxis.

Kosten für Schadenersatzforderungen: 20.000 Euro nach Art. 82 DSGVO

Imagekrise

Nicht nur die betroffenen Patienten wenden sich von der Praxis ab, auch durch die öffentliche Berichterstattung über den Fall in den Medien wollen sich viele Patienten nicht mehr auf die Praxis verlassen.

Kosten für Krisenkommunikation: 1.000 Euro

Bußgeld

Die Datenschutzbehörde verhängt aufgrund des  vermeidbaren Datenlecks und des Datenverlustes ein Bußgeld.

Diese Aufstellung an möglichen Kosten steht beispielhaft für die Folgen eines Cyber-Angriffs und auch wenn diese Darstellung nicht für eine individuelle Betrachtung herangezogen werden kann, macht sie doch klar, wie schnell es zu einem Martyrium werden kann, wenn man seine IT-Infrastruktur nicht ausreichend schützt. Klar ist jedoch auch, dass es keine absolute Sicherheit geben kann, denn es entwickeln sich immer wieder neue kriminelle Vorgehensweisen, Maschen und Möglichkeiten. Doch man kann sich von vornherein wehren. Ein solider Grundschutz kann jedoch bereits wahre Wunder wirken, weshalb folgende Schutzeinrichtungen in jedem Fall umgesetzt sein sollten, um die IT zu schützen.

Diese Schutzmaßnahmen sind notwendig

Wer die Gefahren und Cyberrisiken nicht unterschätzt hat einen klaren Vorteil, denn er kann von vornherein bereits Maßnahmen zum Schutz ergreifen und diese richtig Priorisieren. Diesen Schutz sollte jeder haben, der auf eine funktionierende IT angewiesen ist:

  • Individueller Zugang je Nutzer: Wenn jeder Nutzer die gleichen Zugangsdaten verwendet, ist es nicht möglich den Zugang zu den Systemen zu sichern. Eine individuelle Zugangsauthentifizierung ist daher wichtig, auch um dokumentieren zu können, wer das System wann verwendet hat.
  • Automatische Sicherheitsupdates und stets aktuelle Systeme: Mit regelmäßigen Updates schützt man sich vor Sicherheitslücken
  • Wöchentliche Sicherungskopien: Wenn Hardware zerstört, Daten versehentlich gelöscht oder Systeme angegriffen werden ist es dringend notwendig, schnell auf eine gespeicherte Datenbasis zurückgreifen zu können. Die regelmäßigen Backups schützen also vor extremem Datenverlust.
  • Unberechtigten Zugriff auf Backups verhindern: Die versehentliche oder absichtliche Manipulation von Datenbackups kann mit einem entsprechenden Rechtemanagement zusätzlich eingeschränkt werden.
  • Admin-Rechte nur an Administratoren vergeben: Mit den Zugangsrechten eines Administrators kann man viel im System organisieren, aber auch viel zerstören. Deshalb ist eine gezielte Auswahl, wer solche Rechte erhält, ratsam. Diese sollten nur dann verteilt werden, wenn sie auch wirklich für die Arbeit benötigt werden.
  • Zusätzlicher Schutz für mobile System und Onlinesysteme: Server sind ständig über das Internet erreichbar und daher ein begehrtes Ziel für Angriffe und auch Mobilgeräte sind aufgrund ihrer Handlichkeit besonders schützenswert, da sie schnell mal verloren gehen oder gestohlen werden können. Eine sogenannte Zwei-Faktor-Authentifizierung ermöglicht eine zusätzliche Sicherheitsbarriere.
  • Virenscanner zum Schutz vor Schadsoftware: Egal ob Viren, Trojaner oder Ransomware. Große Schäden entstehen durch infizierte Systeme. Auch wenn ein Virenscanner keinen 100 prozentigen Schutz gewährleisten kann, sollte mindestens einer genutzt und regelmäßig aktualisiert werden.
  • Datensicherungen physisch getrennt aufbewahren: Nicht nur menschliche Angriffe können die Datensicherung bedrohen, auch beispielsweise Feuer kann die Datensicherung gefährden, weshalb stets mehrere Sicherungsdateien vorhanden und an unterschiedlichen Orten aufbewahrt werden sollten.
  • Passwortrichtlinien festlegen: Mit speziellen Richtlinien für Passwörter hinsichtlich Länge, Zeichenart und Wechselhäufigkeit können Passwörter besser geschützt werden. Ein Änderungsintervall sollte technisch erzwungen werden, um einfachste Passwortattacken von vornherein auszumerzen.
  • Individueller Zugang je Nutzer: Wenn jeder Nutzer die gleichen Zugangsdaten verwendet, ist es nicht möglich den Zugang zu den Systemen zu sichern. Eine individuelle Zugangsauthentifizierung ist daher wichtig, auch um dokumentieren zu können, wer das System wann verwendet hat.

Das Fazit: Reale Cyberrisiken und wie man sich vor Hacker-Attacken schützen kann

Die Studie des GDV zu Cyberrisiken bei Ärzten und Apotheken hat eines deutlich werden lassen: die massive Gefahr einer digitalen Attacke über die IT-Systeme, Software, Cloud-Lösungen und mehr hat nicht nur massiv zugenommen, sondern das Bewusstsein dafür ist nicht in gleichem Maße angestiegen. Doch jedes noch so kleine Unternehmen ist ein potenzielles Ziel von Cyber-Angriffen, wenn es auf digitale IT-Infrastruktur baut. Jetzt hängt die Gesundheitsbranche aber auch viele andere Branchen noch hinterher und hat starken Nachholbedarf in Sachen IT-Sicherheit, um sich gegen die vielfältigen Cyberrisiken aufzustellen. Die gute Nachricht ist, dass es Mittel und Wege gibt, sich prophylaktisch dagegen zu wehren. Die schlechte Nachricht ist, man muss auch wirklich konsequent etwas für den Schutz der IT tun und kann sich nicht auf alten Maßnahmen ausruhen. Grund genug spätestens jetzt zu handeln, denn bis etwas passiert, ist nur eine Frage der Zeit.

Auch interessant

Nächster Beitrag
Microsoft beendet Support für Windows 7 – Das können Sie jetzt tun

Ähnliche Beiträge

Menü