Cyber-Angriffe auf Praxen – die Bedrohung ist real - gdv.de · Januar 2019 Mit freundlicher...

Januar 2019 Nachdruck Mit freundlicher Unterstützung des Gesamtverbands der Deutschen Versicherungswirtschaft e.V.

Neu-Isenburg. Eine von 25 Arzt-praxen ist in den vergangenen zweiJahren mindestens einmal Opfer vonInternet-Angriffen geworden und hatdadurch einen Schaden erlitten. Apo-theken sind noch häufiger betroffen:Zwölf Prozent von ihnen sind bereitsOpfer von Cyber-Angriffen gewesenund mussten dabei einen Schadenhinnehmen, vier Prozent sogar mehr-fach. Der Schaden trat vor allem inForm von Kosten für Aufklärung undDatenwiederherstellung auf.

Die Zahlen ergeben sich aus einerrepräsentativen Forsa-Umfrage imAuftrag des Gesamtverbands derDeutschen Versicherungswirtschaft.Dafür waren im Juni und Juli vergan-genen Jahres in 200 zufällig ausge-wählten Arztpraxen und 101 Apothe-ken die mit der IT-Infrastruktur be-trauten Mitarbeiter befragt worden.

Wie real die Bedrohung durchCyber-Angriffe tatsächlich ist, zeigtauch die im Herbst 2018 veröffentlich-te Antwort der hessischen Landesre-gierung auf eine Anfrage aus der SPD-Landtagsfraktion: Demnach sind zwölfvon 44 Plankrankenhäusern des Lan-des, die geantwortet haben, seit Anfang

2016 Opfer von Hackerangriffen oderSchadsoftware geworden – damit warmehr als jedes vierte Haus betroffen.Wie bei Praxen und Apotheken istmeist Schadsoftware, die per E-Mailkommt, Ursache für die Schäden.

Wie die Umfrage weiter zeigt, siehtdie Mehrheit kein hohes Risiko fürArztpraxen oder Apotheken inDeutschland, Opfer von Internetkri-minalität zu werden: Nur neun Pro-zent der für die IT-Sicherheit zustän-digen Mitarbeiter in Arztpraxen se-hen demnach ein sehr hohes Risiko,35 Prozent ein hohes Risiko.

Dagegen glauben 53 Prozent derÄrzte, das Risiko sei eher oder sehrgering. Wenn es um die eigene Praxisoder Apotheke geht, wird das Risikosogar noch niedriger eingeschätzt:Nur 17 Prozent der Arztpraxen und23 Prozent der Apotheken sehen hier

ein hohes oder sehr hohes Risiko. DasSelbstbewusstsein, mit der eigenenPraxis oder Apotheke weniger von Cy-ber-Risiken betroffen zu sein, leitendie Befragten vor allem daraus ab,dass sie ihre Systeme „umfassend ge-gen Cyber-Angriffe geschützt haben“(80 Prozent der Praxen) und dass ihrePraxis oder Apotheke in der Vergan-genheit noch nie Opfer von Internet-Angriffen war (81 Prozent der Praxen,72 Prozent der Apotheken).

64 Prozent der Praxen und 49 Pro-zent der Apotheken wähnen sich zu-dem in Sicherheit, weil sie Patienten-/Kundendaten nur verschlüsselt spei-chern. Fast jede zweite Praxis spei-chert die Daten zudem auf Rechnern,die nicht ans Internet angeschlossensind, 45 Prozent der Praxen sindüberzeugt, ihre Daten seien für Inter-net-Kriminelle nicht interessant.

Cyber-Angriffe auf Praxen –die Bedrohung ist realViele Ärzte halten dasRisiko, mit ihren PraxenOpfer von Cyber-Angriffenzu werden, weiterhinfür gering. Eine Umfragezeigt allerdings, dassdas Risiko nicht zuunterschätzen ist.

Von Hauke Gerlof

Viren in Sicht? Anwender müssen stets auf der Hut sein. © REDPIXEL / STOCK.ADOBE.COM

Cyber-Sicherheit

2 Januar 2019

Cyber-Sicherheit

Neuss/Gießen. Am Morgen des 10. Fe-bruar 2016 ist die Stimmung im Lu-kaskrankenhaus gereizt. Die Systemearbeiten ungewöhnlich langsam, Feh-lermeldungen laufen ein, an denmeisten Rechnern geht bald garnichts mehr. Schließlich ploppt auf ei-nigen Bildschirmen eine Botschaftauf: Sämtliche Dateien, heißt es da,seien verschlüsselt, wolle man sie wie-derhaben, werde ein Lösegeld fällig.

Die Cyberattacke auf das Lukas-

krankenhaus in Neuss hat einer stau-nenden Öffentlichkeit erstmals vorAugen geführt, wie angreifbar inzwi-schen Institutionen sind, derenlebensrettender und lebenserhalten-der Dienst am Menschen abhängigvon digitaler Infrastruktur ist.

Haben deutsche Kliniken aus demAngriff damals gelernt? Wie sichersind ihre Patientendaten? KönnenHacker auch medizinische Geräte ma-nipulieren? Diesen Fragen ging derHessische Rundfunk in einer Serie imInformationsradio HR-Info nach. Da-zu dokumentierte der Sender zu-nächst den am Aschermittwoch 2016erfolgten Angriff auf das Lukaskran-kenhaus in Neuss. Später ging es umeinen Testangriff von IT-Sicherheits-profis auf das Evangelische Kranken-haus Mittelhessen in Gießen.

28 Kliniken in NRW betroffenIm Frühjahr 2016 meldeten 28 Kran-kenhäuser in NRW Cyberangriffe andas Gesundheitsministerium des Lan-des, die alle nach demselben Musterverliefen: Im Anhang einer E-Mailhatten Erpresser einen Trojaner ver-steckt, der sich beim Öffnen im Kran-

kenhausinformationssystem verbrei-tete und der Firewalls wie Antiviren-programme austrickste, indem erständig seine Signatur änderte.

Wer auf die Erpressung mit derRansomware (englisch ransom fürLösegeld) wie reagierte, ob und wel-che Kliniken für die Entschlüsselungihrer Daten zahlten, ist nicht bekannt.Die meisten Krankenhäuser hieltenden Vorfall – wie nahezu alle Unter-nehmen, die Opfer solcher Attackenwerden – aus Angst vor einem Image-verlust geheim. Das Lukaskranken-haus dagegen wählte den umgekehr-ten Weg und informierte neben demGesundheitsministerium, dem Lan-deskriminalamt (LKA) und dem Bun-desamt für Sicherheit in der Informa-tionstechnik (BSI) auch die Öffent-lichkeit – im Rückblick ein Glücksfall.

„Das war wirklich besonders“, sagtHenning Steiner, der mit seinem Kol-legen Oliver Günther die HR-Pod-cast-Serie zum Cybercrime verant-wortet hat. „Dadurch wurde zumersten Mal deutlich, wie abhängig diemoderne Medizin mittlerweile vonfunktionierender digitaler Technikist.“

An ihrer digitalen Seite ist dieMedizin extrem verwundbarEin Cyber-Angriff kannden Betrieb in einer Klinikzeitweise um Jahrzehntezurückwerfen. Das zeigtesich vor zwei Jahren imLukaskrankenhaus in Neuss.Es gibt jedoch wirksameGegenmaßnahmen,beweist das Beispiel einerKlinik in Mittelhessen.

Von Pete Smith

Blick in den Schockraum des Agaplesion Evangelisches Krankenhauses Mittelhessen: Auch Medizingeräte und Medizin-produkte müssen vor dem Zugriff durch Hacker geschützt werden. © HR / JENS NAUMANN

Tatsächlich katapultierte der Ha-cker-Angriff die Neusser Klinik zu-rück in die 1990-er Jahre: Nachdemman alle Systeme heruntergefahrenhatte, mussten die Ärzte ihre Befundewie früher per Hand schreiben, Rönt-genbilder wurden vom Boten in dieAbteilungen gebracht, Briefe mitDurchschlägen getippt. „Bis die erstenSysteme wieder hochgefahren werdenkonnten, verging fast eine Woche“, soSteiner. „Bis dahin blieb den Klinik-mitarbeitern jeder Zugriff auf digitalePatientenakten verwehrt, musstenOperationen verschoben und dasKrankenhaus zeitweise von der Not-fallversorgung abgemeldet werden.“

Auf Anraten des LKA hat das Lu-kaskrankenhaus weder das Lösegeldgezahlt noch Kontakt zu den Erpres-sern aufgenommen. Dennoch ent-stand ihm ein immenser Schaden, denDr. Nicolas Krämer, KaufmännischerGeschäftsführer der Einrichtung, spä-ter auf eine Million Euro bezifferte.

Das Geld sei fast ausschließlich fürdie Honorarzahlungen an externe Be-rater und IT-Sicherheitsexperten ge-flossen. Langfristig habe man insofernvon diesen Investitionen profitiert,dass die digitale Sicherheitsarchitek-tur auf den neuesten Stand gebrachtwerden konnte. Von einem Imagever-lust könne dagegen keine Rede sein,habe man doch schon einen Monatnach dem Angriff mehr Patienten ge-zählt als im selben Vorjahresmonat.

Haben die Ereignisse von Neussdie IT-Sicherheit deutscher Klinikenflächendeckend verbessert? Dasglaubt HR-Redakteur Steiner nicht.„Der Vorfall hat viele aufgeschreckt,das schon, doch nach wie vor habenviele Kliniken in punkto IT-Sicher-heit großen Nachholbedarf.“ Angreif-bar seien ja nicht nur die internenSysteme, sondern vor allem auch diemedizinischen Geräte. „Wenn ein Ha-cker eines dieser Geräte manipuliertund dieses dadurch ausfällt, ist imschlimmsten Fall selbst der Tod einesPatienten nicht auszuschließen.“

Worst-Case-SzenarioUm dieses Worst-Case-Szenario ginges unter anderem auch bei einemTestangriff der Berliner IT-Sicher-heitsfirma HiSolution auf das Agaple-sion Evangelische Krankenhaus Mit-telhessen in Gießen, über den dieHR-Info-Redaktion ebenfalls in ihrerSerie berichtete. Die Simulation hatte

das Krankenhaus selbst in Auftrag ge-geben. „Je weiter wir in der Digitali-sierung voranschreiten, je mehr wirMedizintechnik und IT vernetzen,desto höher ist die Gefahr“, sagt Se-bastian Polag, Geschäftsführer derGießener Klinik. „Wenn ein Arzt auf-grund der von einem Hacker manipu-lierten Werte eines Patienten Thera-pieentscheidungen trifft, kann das inder Praxis fatale Folgen haben.“

Filter für E-Mail-AnhängeDas Evangelische Krankenhaus be-stand den Praxistest mit Bravour,nicht zuletzt weil man 2016 die IT-Si-cherheit konzernweit auf den Prüf-stand gestellt hat. Seither werden et-wa E-Mail-Anhänge von vornhereinausgefiltert, um sie in einer digitalenQuarantäne auf Viren zu untersu-chen. Endgeräte werden ausnahmslosauf Richtlinienkonformität geprüft.

Zwei Tage hätten die Berliner IT-Experten vergeblich versucht, sichvon außen Zugriff auf das klinikeigeneSystem zu verschaffen, sagt Polag.Erst als man ihnen durch Bekanntga-be der entsprechenden Passwörterden Zugriff gewährt habe, hätten dieFachleute die ein oder andereSchwachstelle erkannt, die man dannhabe beseitigen können.

„Eine Schwachstelle, die wir garnicht auf dem Schirm hatten, betrafdie zugekaufte Software für Medizin-produkte, die wir selbst nicht admi-nistrieren“, berichtet Polag. „Theore-tisch hätte man darüber sogar Zugangzu Patientendaten bekommen kön-nen. Wir haben das unmittelbar anden Hersteller gemeldet, der den Feh-ler dann auch schnell behoben hat.“

Seither habe man sich auferlegt, je-de zugekaufte Software einem Pene-trationstest zu unterziehen. „Eigent-lich wäre das natürlich Aufgabe desHerstellers“. Polag fordert, die Fir-men gesetzlich zu diesen Tests zu ver-pflichten.

„Leider müssen Krankenhäuser inDeutschland derzeit sämtliche Kostenfür ihre IT-Sicherheit selbst tragen – dagibt es aktuell keine finanzielle Unter-stützung vom Bund.“ Auch HR-Redak-teur Steiner sieht den Kostendruck alseine der Ursachen, dass viele Klinikenihre IT-Sicherheit vernachlässigen:„Wenn sich ein Krankenhaus zwischeneinem neuen CT-Gerät und einem Ge-rät zur Datensicherung entscheidenmuss, wählt es im Zweifelsfall das CT.“

Januar 2019 2

Cyber-Sicherheit

Tatsächlich katapultierte der Ha-cker-Angriff die Neusser Klinik zu-rück in die 1990-er Jahre: Nachdemman alle Systeme heruntergefahrenhatte, mussten die Ärzte ihre Befundewie früher per Hand schreiben, Rönt-genbilder wurden vom Boten in dieAbteilungen gebracht, Briefe mitDurchschlägen getippt. „Bis die erstenSysteme wieder hochgefahren werdenkonnten, verging fast eine Woche“, soSteiner. „Bis dahin blieb den Klinik-mitarbeitern jeder Zugriff auf digitalePatientenakten verwehrt, musstenOperationen verschoben und dasKrankenhaus zeitweise von der Not-fallversorgung abgemeldet werden.“

Auf Anraten des LKA hat das Lu-kaskrankenhaus weder das Lösegeldgezahlt noch Kontakt zu den Erpres-sern aufgenommen. Dennoch ent-stand ihm ein immenser Schaden, denDr. Nicolas Krämer, KaufmännischerGeschäftsführer der Einrichtung, spä-ter auf eine Million Euro bezifferte.

Das Geld sei fast ausschließlich fürdie Honorarzahlungen an externe Be-rater und IT-Sicherheitsexperten ge-flossen. Langfristig habe man insofernvon diesen Investitionen profitiert,dass die digitale Sicherheitsarchitek-tur auf den neuesten Stand gebrachtwerden konnte. Von einem Imagever-lust könne dagegen keine Rede sein,habe man doch schon einen Monatnach dem Angriff mehr Patienten ge-zählt als im selben Vorjahresmonat.

Haben die Ereignisse von Neussdie IT-Sicherheit deutscher Klinikenflächendeckend verbessert? Dasglaubt HR-Redakteur Steiner nicht.„Der Vorfall hat viele aufgeschreckt,das schon, doch nach wie vor habenviele Kliniken in punkto IT-Sicher-heit großen Nachholbedarf.“ Angreif-bar seien ja nicht nur die internenSysteme, sondern vor allem auch diemedizinischen Geräte. „Wenn ein Ha-cker eines dieser Geräte manipuliertund dieses dadurch ausfällt, ist imschlimmsten Fall selbst der Tod einesPatienten nicht auszuschließen.“

Worst-Case-SzenarioUm dieses Worst-Case-Szenario ginges unter anderem auch bei einemTestangriff der Berliner IT-Sicher-heitsfirma HiSolution auf das Agaple-sion Evangelische Krankenhaus Mit-telhessen in Gießen, über den dieHR-Info-Redaktion ebenfalls in ihrerSerie berichtete. Die Simulation hatte

das Krankenhaus selbst in Auftrag ge-geben. „Je weiter wir in der Digitali-sierung voranschreiten, je mehr wirMedizintechnik und IT vernetzen,desto höher ist die Gefahr“, sagt Se-bastian Polag, Geschäftsführer derGießener Klinik. „Wenn ein Arzt auf-grund der von einem Hacker manipu-lierten Werte eines Patienten Thera-pieentscheidungen trifft, kann das inder Praxis fatale Folgen haben.“

Filter für E-Mail-AnhängeDas Evangelische Krankenhaus be-stand den Praxistest mit Bravour,nicht zuletzt weil man 2016 die IT-Si-cherheit konzernweit auf den Prüf-stand gestellt hat. Seither werden et-wa E-Mail-Anhänge von vornhereinausgefiltert, um sie in einer digitalenQuarantäne auf Viren zu untersu-chen. Endgeräte werden ausnahmslosauf Richtlinienkonformität geprüft.

Zwei Tage hätten die Berliner IT-Experten vergeblich versucht, sichvon außen Zugriff auf das klinikeigeneSystem zu verschaffen, sagt Polag.Erst als man ihnen durch Bekanntga-be der entsprechenden Passwörterden Zugriff gewährt habe, hätten dieFachleute die ein oder andereSchwachstelle erkannt, die man dannhabe beseitigen können.

„Eine Schwachstelle, die wir garnicht auf dem Schirm hatten, betrafdie zugekaufte Software für Medizin-produkte, die wir selbst nicht admi-nistrieren“, berichtet Polag. „Theore-tisch hätte man darüber sogar Zugangzu Patientendaten bekommen kön-nen. Wir haben das unmittelbar anden Hersteller gemeldet, der den Feh-ler dann auch schnell behoben hat.“

Seither habe man sich auferlegt, je-de zugekaufte Software einem Pene-trationstest zu unterziehen. „Eigent-lich wäre das natürlich Aufgabe desHerstellers“. Polag fordert, die Fir-men gesetzlich zu diesen Tests zu ver-pflichten.

„Leider müssen Krankenhäuser inDeutschland derzeit sämtliche Kostenfür ihre IT-Sicherheit selbst tragen – dagibt es aktuell keine finanzielle Unter-stützung vom Bund.“ Auch HR-Redak-teur Steiner sieht den Kostendruck alseine der Ursachen, dass viele Klinikenihre IT-Sicherheit vernachlässigen:„Wenn sich ein Krankenhaus zwischeneinem neuen CT-Gerät und einem Ge-rät zur Datensicherung entscheidenmuss, wählt es im Zweifelsfall das CT.“

s ist eine immer noch häufigunterschätzte Gefahr – inZeiten der immer stärkeren

Vernetzung Opfer von Viren oderHackern zu werden. Das zeigenauch die Zahlen der Forsa-Umfragein Arztpraxen und Apotheken.Die große Mehrheit hält die Gefahr für die eigene Einrichtungfür gering.

Dahinter steckt viel Selbstbe-wusstsein, im Netz vorsichtig ge-nug zu sein oder genügend Sicher-heitsvorkehrungen getroffen zuhaben. Auch der Glaube, die Datenin der Arztpraxis seien für potenzi-elle Angreifer nicht interessant, istnoch weit verbreitet.

Patientenakten haben einenWert für ErpresserEin Irrglaube, denn dasErpressungspotenzial ist ange-sichts immer weiter wachsenderAnforderungen an die Dokumen-tation hoch – auch aufgrund derdank der Datenschutzgrundver-ordnung (DSGVO) potenzielldrakonischen Strafen, die nieder-gelassenen Ärzten drohen. Aberauch der Wert von Patientenaktenfür Erpresser sollte nicht unter-schätzt werden.

Die Prozesse, um Cyber-Sicherheit in Praxen zu etablieren,sollten daher zur Chefsachewerden – zusammen mit demPraxisteam. Dazu gehören auchFortbildungen für alle Mitarbeiter,um Risiken durch Mails nurscheinbar bekannter Herkunft zuerkennen. Wer zu schnell klickt,hat noch schneller verloren.Der größte Unsicherheitsfaktorist immer noch der Mensch.

E

KOMMENTAR

ChefsacheCyber-Sicherheit

Von Hauke Gerlof

Schreiben Sie dem Autor: [email protected]

Januar 2019 3

Cyber-Sicherheit Cyber-Sicherheit

Neu-Isenburg. IT-Sicherheitslückensind sein Metier. Wenn Michael Wies-ner einen sogenannten Pen-Test star-tet – Pen steht für Penetration in einfremdes IT-System –, dann darf er da-bei keine Lücke übersehen, denn fallsdoch, könnte am Ende alles umsonstgewesen sein. Hacker könnten insSystem eindringen oder Erpressungs-trojaner die Patientendaten ver-schlüsseln. Wiesner hat reichlich Er-fahrung gesammelt in vielen Jahrenals IT-Sicherheitsexperte und Pen-Tester. „Bisher haben wir jedes Kran-kenhaus innerhalb von 30 Minutengeknackt“, sagt er selbstbewusst.

Zurzeit ist der Profi-Hacker ver-mehrt mit Arztpraxen beschäftigt:Sein Unternehmen ist zuständig fürdie 25 Arztpraxen, die einen kostenlo-sen, vom Gesamtverband der Deut-schen Versicherungswirtschaft gestif-teten IT-Sicherheitscheck bekamen,nachdem sie sich bei der „ÄrzteZeitung“ gemeldet hatten. Und er istsich sicher, trotz der Ergebnisse derForsa-Umfrage, die einen sehr verant-wortungsvollen Umgang mit Datensi-cherheit bei der großen Mehrheit na-helegen: „Viele Ärzte tun sich nichtleicht mit IT-Sicherheit, weil sie mitder IT so wenig wie möglich zu tunhaben wollen.“ Vier besonders häufigvorkommende Sicherheitslücken hater in Praxen wie in vielen anderen Un-ternehmen ausgemacht:

Sicherheitslücken in Hard- und Soft-ware: „Ganz klar Problem Nummereins“, sagt Wiesner. „Viele Systemewerden einfach nicht aktualisiert.Wenn Sicherheitslücken gefunden

werden, dann bleiben sie häufig inden Systemen drin, obwohl es längstUpdates gibt.“ Abhilfe schaffen könneman, wenn man sich dem Herstelleranvertraut, der dann Updates auto-matisch einspielt. Oder den IT-Dienstleister – bei Ärzten also meistden Servicepartner des Praxis-EDV-Herstellers – beauftragt, sich umdie Aktualisierung aller Systeme zukümmern. Das Problem dabei: „IT-Sicherheit ist häufig nicht dieKernkompetenz dieser Anbieter.“ EinBeispiel: „Das Wannacry-Virus, einErpressungstrojaner, ist 2017 über ei-ne Schwachstelle in der Software inviele Systeme gekommen. Wenn wirjetzt einen Pen-Test machen, dann istgenau diese Schwachstelle in vielenSystemen immer noch nicht be-hoben.“

Unsichere Passwörter: Die Passwör-ter, stellt Wiesner wieder und wiederfest, „sind oft immer noch ganz einfach“.Ein typisches Passwort in einem Albis-System sei immer noch „Albis“. Auchwenn es häufig nicht einfach zu handha-ben sei: Passwörter sollten heute min-destens acht Zeichen lang sein – mitGroß- und Kleinschreibung, Sonder-zeichen und Ziffern. Die derzeitigeRechenkapazität erlaube es Hackern,kürzere und weniger komplexe Pass-wörter binnen zehn Minuten zu kna-cken. Bald werde es wegen immerschnellerer Rechner nötig sein, neunoder zehn Zeichen lange Passwörter zumachen.

Angriffe vor Ort: Hacker könnenauch in der Praxis oder in der Klinikzuschlagen – indem sie einen unbeob-achteten Moment nutzen, um zum

Beispiel mit einer Netzwerk-WanzeZugang zu erhalten, der dann aus derFerne funktioniert. Auch interne Si-cherheitsvorkehrungen sind dahernicht außer Acht zu lassen.

Zugriff von außen: Gerade diesesProblem ist für viele Praxen relevant,weil der Fernzugriff häufig nach derGrundeinstellung nicht richtig gesi-chert wird. Manche Servicepartnervon Praxissoftware-Häusern sagten:„Deaktivieren Sie erstmal alle Au-thentifizierungsmechanismen.“ Solasse sich eine Fernwartung vonaußen einstellen. „Doch nachher wirdvergessen, dass dann dahinter keinPasswort mehr ist.“ Über den „Port445“ kämen Eindringlinge dann wiedurch eine offene Haustür ins Systemund könnten dort alles machen. „Daliegen die Daten dann völlig offen imInternet, und die Ärzte ahnen nichtsdavon.“

Doch was tun, um auf Nummer si-cher zu gehen? Dienstleistern auf dieFinger sehen – „das kann nicht jeder“räumt Wiesner ein. Zur Absicherungder Praxissoftware gebe es auch keineechten Standards oder Zertifizierun-gen. Er empfiehlt daher, ab und zu ei-ne Sicherheitsüberprüfung zu ma-chen, um das Sicherheitsniveau zutesten, so wie das die 25 Arztpraxenbekamen, die sich zu Beginn der SerieCybersicherheit bei der „Ärzte Zei-tung gemeldet hatten. Nicht zuletztgilt: Die Prozesse, die für die Sicher-heit unumgänglich sind, sollten im-mer wieder neu geübt und gelerntwerden – vom angestammten Teamund von neuen Mitarbeitern.

„Hacker kommen wie durcheine offene Tür in Arzt-Systeme“Nehmen niedergelasseneÄrzte Gefahren durchCyber-Angriffe ernst genug?Die Ärzte selbst glaubenmehrheitlich, dass sie dastun. Ein Sicherheitsexpertegießt Wasser in den Wein.

Von Hauke GerlofSind alle Ports gesichert? Dann haben es Hacker von außen schwer.

© T

ASC

HA

/ ST

OC

K.A

DO

BE

.CO

M

Neu-Isenburg. Immer wieder behaup-ten Profi-Hacker, sie könnten in Un-ternehmen, auch in Arztpraxen undKrankenhäuser, ohne Probleme in dieIT-Systeme eindringen – wenn siewollten. Doch nur selten werden Fällebekannt – wie beim Lukaskranken-haus in Neuss vor zwei Jahren –, indenen es tatsächlich zu Datenverlus-ten kommt. Vielleicht aus diesemGrunde fühlen sich IT-Beauftragte

und Inhaber von Arztpraxen und Apo-theken ziemlich sicher, dass ihre eige-ne Einrichtung gut gegen Internet-Kriminalität geschützt ist.

Genügend Maßnahmen ergriffenIn einer repräsentativen Forsa-Um-frage zeigten sich 81 Prozent inArztpraxen und 77 Prozent in Apo-theken überzeugt, dass die eigenePraxis/Apotheke „in ausreichendemMaße Maßnahmen zum Schutz vorInternet-Kriminalität ergriffen“ hat.Nur 14 Prozent in den Arztpraxen(Apotheken: 17 Prozent) glauben, dasssie noch mehr tun müssten.

Die Umfrage ist im Auftrag des Ge-samtverbands der Deutschen Versi-cherungswirtschaft (GDV) von derforsa Politik- und SozialforschungGmbH im Sommer 2018 vorgenom-men worden. Befragt wurden 200Arztpraxen und 101 Apotheken.

Auch wenn sich die Praxen undApotheken sicher vor Cyber-Angrif-fen fühlen, so sehen sie doch mehr-

heitlich die Notwendigkeit, in SachenSicherheit am Ball zu bleiben.

Laut Umfrage wollen fast 20 Pro-zent der Arztpraxen auf jeden Fall „inden nächsten zwei Jahren in weitereSchutzmaßnahmen vor Internet-Angriffen investieren, „wahrschein-lich“ wollen dies 36 Prozent tun –insgesamt also deutlich über 50 Pro-zent.

Minderheit will nicht mehr tunUnd nur 27 Prozent wollen „ehernicht“ weiter investieren, acht Pro-zent „auf keinen Fall“. Zehn Prozentwählten die Antwort „weiß nicht“.

Bei den Apothekern ist das Be-wusstsein, mehr tun zu müssen, hö-her als bei Ärzten: Mehr als drei vonfünf von ihnen wollen auf jeden Falloder wahrscheinlich in den kommen-den zwei Jahren in Cyber-Sicherheitinvestieren. 30 Prozent sehen dieseNotwendigkeit „eher nicht“, und nurvier Prozent wollen „bestimmt nicht“aktiv werden.

Praxen fühlen sich sichervor Cyber-AngriffenSind Arztpraxen undApotheken gut abgesichertgegen Cyber-Angriffe? DieInhaber und IT-Beauftragtenin den Praxen sind sichda in der großen Mehrheitsehr sicher, zeigt eineUmfrage.

Von Hauke Gerlof

81 %

14%

Arztpraxen

JA

NEIN,müsste noch

mehr tun

77 %

17%

Apotheken

JA

NEIN,müsste noch

mehr tun

Quelle: Forsa

Grafik: ÄrzteZeitung

Auf die Frage: „Hat Ihre eigene Praxis/Apothekein ausreichendem MaßeMaßnahmen zum Schutz vorInternetkriminalität ergri�en?“ antworteten

Auf die Frage: „Haben Sie vor, in dennächsten zwei Jahrenin weitere Schutzmaßnahmenvor Internetangri�enzu investieren?“ antworteten

auf jeden Fallweiß nicht weiß nicht

ehernicht

bestimmtnicht

27 %

8 %

10 %19 %

36 %

Arztpraxen

auf jeden Fall

ehernicht

bestimmt nicht

30 %

4 5

25 %

36 %

Apotheken

wahrscheinlichwahrscheinlich

4 Januar 2019 Januar 2019 4

Cyber-Sicherheit

Neu-Isenburg. IT-Sicherheitslückensind sein Metier. Wenn Michael Wies-ner einen sogenannten Pen-Test star-tet – Pen steht für Penetration in einfremdes IT-System –, dann darf er da-bei keine Lücke übersehen, denn fallsdoch, könnte am Ende alles umsonstgewesen sein. Hacker könnten insSystem eindringen oder Erpressungs-trojaner die Patientendaten ver-schlüsseln. Wiesner hat reichlich Er-fahrung gesammelt in vielen Jahrenals IT-Sicherheitsexperte und Pen-Tester. „Bisher haben wir jedes Kran-kenhaus innerhalb von 30 Minutengeknackt“, sagt er selbstbewusst.

Zurzeit ist der Profi-Hacker ver-mehrt mit Arztpraxen beschäftigt:Sein Unternehmen ist zuständig fürdie 25 Arztpraxen, die einen kostenlo-sen, vom Gesamtverband der Deut-schen Versicherungswirtschaft gestif-teten IT-Sicherheitscheck bekamen,nachdem sie sich bei der „ÄrzteZeitung“ gemeldet hatten. Und er istsich sicher, trotz der Ergebnisse derForsa-Umfrage, die einen sehr verant-wortungsvollen Umgang mit Datensi-cherheit bei der großen Mehrheit na-helegen: „Viele Ärzte tun sich nichtleicht mit IT-Sicherheit, weil sie mitder IT so wenig wie möglich zu tunhaben wollen.“ Vier besonders häufigvorkommende Sicherheitslücken hater in Praxen wie in vielen anderen Un-ternehmen ausgemacht:

Sicherheitslücken in Hard- und Soft-ware: „Ganz klar Problem Nummereins“, sagt Wiesner. „Viele Systemewerden einfach nicht aktualisiert.Wenn Sicherheitslücken gefunden

werden, dann bleiben sie häufig inden Systemen drin, obwohl es längstUpdates gibt.“ Abhilfe schaffen könneman, wenn man sich dem Herstelleranvertraut, der dann Updates auto-matisch einspielt. Oder den IT-Dienstleister – bei Ärzten also meistden Servicepartner des Praxis-EDV-Herstellers – beauftragt, sich umdie Aktualisierung aller Systeme zukümmern. Das Problem dabei: „IT-Sicherheit ist häufig nicht dieKernkompetenz dieser Anbieter.“ EinBeispiel: „Das Wannacry-Virus, einErpressungstrojaner, ist 2017 über ei-ne Schwachstelle in der Software inviele Systeme gekommen. Wenn wirjetzt einen Pen-Test machen, dann istgenau diese Schwachstelle in vielenSystemen immer noch nicht be-hoben.“

Unsichere Passwörter: Die Passwör-ter, stellt Wiesner wieder und wiederfest, „sind oft immer noch ganz einfach“.Ein typisches Passwort in einem Albis-System sei immer noch „Albis“. Auchwenn es häufig nicht einfach zu handha-ben sei: Passwörter sollten heute min-destens acht Zeichen lang sein – mitGroß- und Kleinschreibung, Sonder-zeichen und Ziffern. Die derzeitigeRechenkapazität erlaube es Hackern,kürzere und weniger komplexe Pass-wörter binnen zehn Minuten zu kna-cken. Bald werde es wegen immerschnellerer Rechner nötig sein, neunoder zehn Zeichen lange Passwörter zumachen.

Angriffe vor Ort: Hacker könnenauch in der Praxis oder in der Klinikzuschlagen – indem sie einen unbeob-achteten Moment nutzen, um zum

Beispiel mit einer Netzwerk-WanzeZugang zu erhalten, der dann aus derFerne funktioniert. Auch interne Si-cherheitsvorkehrungen sind dahernicht außer Acht zu lassen.

Zugriff von außen: Gerade diesesProblem ist für viele Praxen relevant,weil der Fernzugriff häufig nach derGrundeinstellung nicht richtig gesi-chert wird. Manche Servicepartnervon Praxissoftware-Häusern sagten:„Deaktivieren Sie erstmal alle Au-thentifizierungsmechanismen.“ Solasse sich eine Fernwartung vonaußen einstellen. „Doch nachher wirdvergessen, dass dann dahinter keinPasswort mehr ist.“ Über den „Port445“ kämen Eindringlinge dann wiedurch eine offene Haustür ins Systemund könnten dort alles machen. „Daliegen die Daten dann völlig offen imInternet, und die Ärzte ahnen nichtsdavon.“

Doch was tun, um auf Nummer si-cher zu gehen? Dienstleistern auf dieFinger sehen – „das kann nicht jeder“räumt Wiesner ein. Zur Absicherungder Praxissoftware gebe es auch keineechten Standards oder Zertifizierun-gen. Er empfiehlt daher, ab und zu ei-ne Sicherheitsüberprüfung zu ma-chen, um das Sicherheitsniveau zutesten, so wie das die 25 Arztpraxenbekamen, die sich zu Beginn der SerieCybersicherheit bei der „Ärzte Zei-tung gemeldet hatten. Nicht zuletztgilt: Die Prozesse, die für die Sicher-heit unumgänglich sind, sollten im-mer wieder neu geübt und gelerntwerden – vom angestammten Teamund von neuen Mitarbeitern.

„Hacker kommen wie durcheine offene Tür in Arzt-Systeme“Nehmen niedergelasseneÄrzte Gefahren durchCyber-Angriffe ernst genug?Die Ärzte selbst glaubenmehrheitlich, dass sie dastun. Ein Sicherheitsexpertegießt Wasser in den Wein.

Von Hauke GerlofSind alle Ports gesichert? Dann haben es Hacker von außen schwer.

© T

ASC

HA

/ ST

OC

K.A

DO

BE

.CO

M

Januar 2019 5


Neu-Isenburg. Die Sicherheitsanfor-derungen für die Installation der Te-lematikinfrastruktur (TI) sind extremhoch. Das gilt besonders für die Kon-nektoren, die Hardware, die in denArztpraxen für die Verbindung zwi-schen Praxissystem und TI sorgen. Siesind unter anderem für die Verschlüsse-lung aller Daten zuständig, die von derPraxis über die TI verschickt werden.

Die hohen Anforderungen an dieTechnik, auch an die Verschlüsse-lungstechnik, die durch die Betriebs-

gesellschaft gematik und das Bundes-amt für die Sicherheit in der Informa-tionstechnik (BSI) formuliert wur-den, waren auch ein Grund für die im-mer neuen Verzögerungen beim On-line-Rollout der TI, der derzeit in denPraxen läuft. Die Daten seien über„Jahrzehnte hinaus sicher verschlüs-selt“, erläutert Michael Saxler von derCompuGroup Medical (CGM), einemder Anbieter von Konnektoren fürden TI-Anschluss. Für die Sicherheitsorgt zum einen die asymmetrischeVerschlüsselung, zum anderen einesichere Schlüssellänge, die bei Bedarfwegen schnellerer Rechner auch er-höht werden kann.

Der TI-Konnektor erlaube es Pra-xen auch, im Internet zu surfen, heißtes zudem auf der Website von CGM.Er biete der Praxis einen sicheren Ka-nal zur Nutzung des Internets – Si-cherer Internet Service (SIS) genannt.

Die Internetzugriffe über SIS würdendurch verschiedene Techniken, wiedas Filtern von unerwünschten Web-seiten, abgesichert.

Alle diese Sicherheitsvorkehrungeninnerhalb der TI änderten aber nichtsdaran, dass jede Praxis ihre Sicher-heitsvorkehrungen zum Schutz gegenHacker und Schadsoftware zu treffenhat, ergänzt CGM-Pressesprecher Jür-gen Veit auf Anfrage: Dazu gehöre, dassdas Betriebssystem ständig aktualisiertwerden muss, um etwaige Sicherheits-lücken zu schließen, ebenso die Fire-wall und der Virenscanner des Sys-tems, aber auch alle anderen sicher-heitsrelevanten Anwendungen.

Auch aus diesem Grunde gebe esauf Wunsch vor jeder TI-Installationeinen Check der vorhandenen Sicher-heitsinfrastruktur in den Praxen, soVeit. Auch andere Anbieter empfehleneinen solchen Check. (ger)

Verschlüsselung in der TIersetzt nicht eigenen SchutzWer an die TI angeschlossenist, bewegt sich online aufhöchstem Sicherheitsniveau.Aber der eigene Rechnermuss dennoch geschütztwerden.

Ärzte Zeitung: Herr Weizenegger,E-Mails gelten als eines der wichtigs-ten Einfallstore für Cyber-Angriffe.Was sollte Anwender Verdachtschöpfen lassen? Sven Weizenegger: Tatsächlich laufenmehr als 60 Prozent der Angriffe überE-Mails, und sie sind vor allem immerbesser getarnt. Daher ist eine großePortion gesundes Misstrauen bei je-der E-Mail wichtig: Passt die Betreff-zeile zum Inhalt? Ist die Absenderad-resse vielleicht ganz leicht verändert,zum Beispiel „.eu“ oder „.tr“ am Endestatt „.de“?

Reicht das wirklich schon aus?Alles, was ungewöhnlich ist, sollteAlarmglocken im Kopf schrillen las-sen. Sehr suspekt ist es auch immer,wenn in der Mail subtil Druck ausge-übt wird, einen Anhang zu öffnenoder auf einen Link zu gehen.

Gibt es denn bestimmte Anhängeoder Adressen, die besonders gefähr-lich sind?Früher konnte man sagen, dass„.exe“-Dateien, also auszuführendeProgramme auf keinen Fall geöffnetwerden sollten, aber heute werdendiese Programme häufig durchandere Datei-Endungen kaschiert.Vorsicht ist also bei allen Anhängengeboten.

... und wie sieht es bei den Links aus,also bei Web-Adressen, auf die in ei-ner Mail verwiesen wird?Ganz genauso. Zahlungsaufforderun-gen von Online-Shops, bekannteLogos oder Links zur eigenen Bankkönnen immer gefälscht sein. Dassieht auf den ersten Blick normal aus,aber in Wirklichkeit werden Anwen-der dadurch auf gefälschte Seitengelockt. Wenn Sie mit dem Maus-zeiger über einen solchen Link gehen,sehen Sie unten links im Browser, wiedie Adresse tatsächlich lautet, und dasist dann häufig sehr kryptisch.

Daher auf keinen Fall auf Linksoder Anhänge klicken, bei denen dieHerkunft auch nur im Entferntestenzweifelhaft sein könnte! Sonst telefo-niert das Programm „nach Hause“und öffnet die Tür für Eindringlinge –oder die Daten auf den Rechnern desSystems werden verschlüsselt.

Könnte es helfen, Anhänge zu ent-fernen und zunächst automatischdurchzuchecken, bevor ein Anwenderdrangeht? Es scheint, manche Kran-kenhäuser gehen so vor ...Das wäre tatsächlich ein radikalerSchritt. Aber wenn es zu umständlichwird, dann an die Anhänge heranzu-kommen, sinkt die Akzeptanz – unddie Anwender fahren noch gefähr-lichere Umgehungsstrategien.

Was kann man denn als Praxis-inhaber tun, um sich wirksam gegenCyber-Angriffe und Schad-Softwarezu schützen?Wir plädieren dafür, die Mitarbeiterfit zu machen – über Fortbildungen,aber auch mit Training – mitE-Learning gibt es da durchaus Mög-lichkeiten.

Wir schicken zum Beispiel E-Mailsraus, die täuschend echt aussehen undversuchen, die Nutzer „reinzulegen“.So werden alle sensibilisiert, bei jederMail gut aufzupassen.

Sie sind seit 15 Jahren mit Cyber-Si-cherheit beschäftigt. Wie kann sichein Arzt am besten vor Datenverlus-ten durch Cyberangriffe schützen?

Cyber-Angriff?„E-Mails sind immer suspekt“Bekannter Absender?Logos? Solche Äußerlich-keiten sollten Empfängervon E-Mails nicht sorglosmachen, empfiehltSicherheitsexperte SvenWeizenegger von PerseusTechnologies im Interview.Seine Devise, die sich auchÄrzte zu Herzen nehmensollten: Immer eine Portiongesundes Misstrauen.

Das Interview führte Hauke Gerlof

Profi-Hacker Sven Weizenegger istGeschäftsführer und Mitgründer vonPerseus Technologies, einer Online-Plattform für Cybersicherheit, speziellfür kleine Unternehmen und Selbst-ständige. © ROBERT LEHMANN / POST@LICHTBILDER-

● ●

●●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

Der Verlust vonDatenbeständen,etwa durcheinen Erpressungs-Trojaner, istmeistens ein Spielgegen die Zeit.

Sven Weizenegger

Der Verlust von Datenbeständen, et-wa durch einen Erpressungs-Troja-ner, ist meistens ein Spiel gegen dieZeit. Um die Patientendaten soschnell und so vollständig wie möglichwiederherzustellen, kommt es auf ei-ne gute Datenabsicherung durch re-gelmäßige Back-ups an. Hilfreich indiesem Zusammenhang ist die neuer-dings durch die DSGVO geforderteAnlage eines Datenverzeichnisses, da-durch haben Sie den Überblick.

Früher gab es ja die alten Bandlauf-werke. Welche Speichermedien sindheute Mittel der Wahl?Gängig sind sicherlich NAS-Geräte(Network Attached Storage). Sie kos-ten nur wenige Hundert Euro, dasBack-up erfolgt lokal, und mehrereTerabyte sind darüber abzuspeichern.Eine weitere Möglichkeit sind externeFestplatten, die außerhalb der PraxisDSGVO-konform an einem feuerfes-ten Ort aufzubewahren sind.Auch das Einschalten eines Dienst-leisters in „der Cloud“ ist zu überle-gen und eine durchaus charmante Lö-sung. Ein großer seriöser Anbieter

mit Server in Deutschland ist wahr-scheinlich sicherer als die lokale Lö-sung. Und auch die Datenübertragunglässt sich heute gut absichern.

Wie häufig muss denn ein Back-upvorgenommen werden?Ich empfehle, einmal in der Woche ei-ne komplette Datensicherung zu ma-chen, dazwischen täglich inkremen-telle Back-ups, mit denen ausschließ-lich die Änderungen zu vorher gespei-chert werden.

Wo liegen Gefahren bei der Erstel-lung des Back-ups? Wie können sichAnwender schützen?Probleme kann es beim Zurück-spielen der Daten geben, beim so-genannten „Recovery“. Nach einemgrößeren Betriebssystem-Updatebeispielsweise lassen sich die Datenmöglicherweise nicht mehr korrektdarstellen. Daher sollte ein Dienst-leister auch regelmäßig prüfen, obdie Datensicherung auch noch praxis-fest ist.

NAS-Geräte sind Speicherplattform in vielen Netzen. © ANDREA DANTI / STOCK.ADOBE.COM


Cyber-Sicherheit

Neu-Isenburg. Die Sicherheitsanfor-derungen für die Installation der Te-lematikinfrastruktur (TI) sind extremhoch. Das gilt besonders für die Kon-nektoren, die Hardware, die in denArztpraxen für die Verbindung zwi-schen Praxissystem und TI sorgen. Siesind unter anderem für die Verschlüsse-lung aller Daten zuständig, die von derPraxis über die TI verschickt werden.

Die hohen Anforderungen an dieTechnik, auch an die Verschlüsse-lungstechnik, die durch die Betriebs-

gesellschaft gematik und das Bundes-amt für die Sicherheit in der Informa-tionstechnik (BSI) formuliert wur-den, waren auch ein Grund für die im-mer neuen Verzögerungen beim On-line-Rollout der TI, der derzeit in denPraxen läuft. Die Daten seien über„Jahrzehnte hinaus sicher verschlüs-selt“, erläutert Michael Saxler von derCompuGroup Medical (CGM), einemder Anbieter von Konnektoren fürden TI-Anschluss. Für die Sicherheitsorgt zum einen die asymmetrischeVerschlüsselung, zum anderen einesichere Schlüssellänge, die bei Bedarfwegen schnellerer Rechner auch er-höht werden kann.

Der TI-Konnektor erlaube es Pra-xen auch, im Internet zu surfen, heißtes zudem auf der Website von CGM.Er biete der Praxis einen sicheren Ka-nal zur Nutzung des Internets – Si-cherer Internet Service (SIS) genannt.

Die Internetzugriffe über SIS würdendurch verschiedene Techniken, wiedas Filtern von unerwünschten Web-seiten, abgesichert.

Alle diese Sicherheitsvorkehrungeninnerhalb der TI änderten aber nichtsdaran, dass jede Praxis ihre Sicher-heitsvorkehrungen zum Schutz gegenHacker und Schadsoftware zu treffenhat, ergänzt CGM-Pressesprecher Jür-gen Veit auf Anfrage: Dazu gehöre, dassdas Betriebssystem ständig aktualisiertwerden muss, um etwaige Sicherheits-lücken zu schließen, ebenso die Fire-wall und der Virenscanner des Sys-tems, aber auch alle anderen sicher-heitsrelevanten Anwendungen.

Auch aus diesem Grunde gebe esauf Wunsch vor jeder TI-Installationeinen Check der vorhandenen Sicher-heitsinfrastruktur in den Praxen, soVeit. Auch andere Anbieter empfehleneinen solchen Check. (ger)

Verschlüsselung in der TIersetzt nicht eigenen SchutzWer an die TI angeschlossenist, bewegt sich online aufhöchstem Sicherheitsniveau.Aber der eigene Rechnermuss dennoch geschütztwerden.

Der Verlust von Datenbeständen, et-wa durch einen Erpressungs-Troja-ner, ist meistens ein Spiel gegen dieZeit. Um die Patientendaten soschnell und so vollständig wie möglichwiederherzustellen, kommt es auf ei-ne gute Datenabsicherung durch re-gelmäßige Back-ups an. Hilfreich indiesem Zusammenhang ist die neuer-dings durch die DSGVO geforderteAnlage eines Datenverzeichnisses, da-durch haben Sie den Überblick.

Früher gab es ja die alten Bandlauf-werke. Welche Speichermedien sindheute Mittel der Wahl?Gängig sind sicherlich NAS-Geräte(Network Attached Storage). Sie kos-ten nur wenige Hundert Euro, dasBack-up erfolgt lokal, und mehrereTerabyte sind darüber abzuspeichern.Eine weitere Möglichkeit sind externeFestplatten, die außerhalb der PraxisDSGVO-konform an einem feuerfes-ten Ort aufzubewahren sind.Auch das Einschalten eines Dienst-leisters in „der Cloud“ ist zu überle-gen und eine durchaus charmante Lö-sung. Ein großer seriöser Anbieter

mit Server in Deutschland ist wahr-scheinlich sicherer als die lokale Lö-sung. Und auch die Datenübertragunglässt sich heute gut absichern.

Wie häufig muss denn ein Back-upvorgenommen werden?Ich empfehle, einmal in der Woche ei-ne komplette Datensicherung zu ma-chen, dazwischen täglich inkremen-telle Back-ups, mit denen ausschließ-lich die Änderungen zu vorher gespei-chert werden.

Wo liegen Gefahren bei der Erstel-lung des Back-ups? Wie können sichAnwender schützen?Probleme kann es beim Zurück-spielen der Daten geben, beim so-genannten „Recovery“. Nach einemgrößeren Betriebssystem-Updatebeispielsweise lassen sich die Datenmöglicherweise nicht mehr korrektdarstellen. Daher sollte ein Dienst-leister auch regelmäßig prüfen, obdie Datensicherung auch noch praxis-fest ist.

NAS-Geräte sind Speicherplattform in vielen Netzen. © ANDREA DANTI / STOCK.ADOBE.COM

Januar 2019 7


Neu-Isenburg. Nichts in der Pra-xis ist wertvoller als die Patien-tendaten – außer vielleicht derKopf des Arztes mit all seinemmedizinischen Wissen und denErfahrungen, die er mit seinenPatienten gemacht hat.Kompromittierte Patien-tendaten, verloren ge-gangene Leistungsda-ten für die Abrechnungund eine fehlende Do-kumentation der Be-handlung können Ärztenicht nur das Vertrauenihrer Patienten kosten,sondern auch direktrichtig ins Geld gehen.

Für den Schatz derDaten in der Praxislohnt es sich auch

aus diesem Grund, einigen Aufwandzu betreiben.

„Ganz oben auf der Prio-Liste“„In einer immer komplexer werden-den digitalen Welt steht der Schutzder Systeme in der Praxis, zum Bei-spiel durch gemanagte Firewalls unddurch Virenscanner ganz oben auf derPrioritätenliste“, sagt Dirk Roeder,Leiter Vertrieb und Kommunikation

bei Telemed, dem Internet Service-Provider der CompuGroup Medical(CGM). Die Serie Cybersicherheit inArztpraxen hatte bei Telemed zumehreren Anfragen von Ärzten ge-führt, ob sie ihre Schutzvorkehrungenfür die Praxis-EDV verstärken müss-ten, um Angriffe von außen zu verhin-dern.

Aufwand für den Schutz wird höherDie Antwort ist klar: Es sei nicht nurdas Angriffspotenzial von außen inden vergangenen Jahren immer grö-ßer geworden, so Arthur Steinel, Ge-

neral Manager bei Telemed. „Die ITist auch vielfältiger geworden, mit

mobilen Endgeräten, dem Inter-net der Dinge bis hin zu Alarm-anlagen oder Türschlössern.Das kann letztlich alles für An-griffe von außen benutzt wer-den, und es muss dementspre-chend auch gesichert werden“,beschreibt Steinel das Problem.Ein Beispiel ist laut Steinel die

Telefonie, die zunehmendüber das Internet läuft,

vorgegeben von denTelefongesellschaften.Wenn dann der Inter-net-Router „ein Gerätaus zweifelhaften Her-stellerländern“ sei, oh-ne größere Zertifizie-rungen, dann könntendarüber eventuellAbhör- beziehungsweiseEinbruchversuche ge-startet werden.

Schutz gegenverschlüsselte InhalteEine andere Schwierig-keit der Absicherung er-gebe sich durch die zu-nehmende Kom-munikation mit ver-schlüsselten Inhalten(Ende-zu-Ende-Ver-schlüsselung). „Kommtein Trojaner verschlüs-selt rein, kann ihn dasSystem nicht erkennen,er überlistet den

Absicherung ist Trumpf – das giltauch für Ports und Praxis-EDVDie Online-Welt, in der sichArztpraxen im Zuge der Di-gitalisierung bewegen, wirdimmer komplexer – das Be-drohungspotenzial wächst.Extrem wichtig für die Absi-cherung der Praxis-IT ist ei-ne enge Zusammenarbeitmit dem Praxis-EDV-Anbie-ter, dessen Service-Partnerund dem Internet-Provider.

Von Hauke Gerlof

Wer von außen auf das Praxissystemzugreifen will, sollte von Firewallsautomatisch gestoppt werden.© PAGADESIGN / GETTY IMAGES / ISTOCK

Schutz“, so Steinel weiter. Eine höhe-re Sicherheitsstufe könnten Praxenzum einen durch einen sicheren In-ternet-Service-Provider zu nehmen,der mit seinem internen Netz vorge-schaltet sei, sodass der Praxisrechnervon außen gar nicht gezielt angesteu-ert werden kann.

Zum anderen könne ein sichererInternet-Router aus bekannter Pro-duktion in Europa helfen, „garantiertBackdoor-frei“, wie Steinel be-schreibt, also ohne eingebaute Hin-tertür, zum Beispiel für den Geheim-dienst.

Offene Ports leicht zu findenEin Beispiel für solche sicheren Gerä-te sind LANCOM-Router. Dessen Si-cherheit basiert auf einer Entwick-lung für BSI-zertifizierte Geräte und

er verhindert, dass zum Beispiel dieTelefonie angegriffen wird. Nicht zu-letzt sorgt er dafür, dass kein Zugriffauf das System von außen nach innenerfolgen kann.

„Von außen nach innen geht ein-fach nichts rein“, erläutert Steinel dieFunktionsweise. Fernwartung von au-ßen lasse sich auch mit solchen Syste-men sicher umsetzen, dafür gebe esgut abgesicherte Konzepte – mit si-cheren Gateways mit Authentifizie-rung und guten Passwörtern, sagenSteinel und Roeder.

Auch das Problem der offenen Portsin Computersystemen ist den Intra-net-Spezialisten – telemed ist bereitsseit mehr als 20 Jahren als internesNetz für Ärzte aktiv und hat derzeitrund 33 000 Ärzte und Zahnärzte alsKunden – bewusst. „Offene Systeme

lassen sich im Internet heute ganz ein-fach recherchieren“, erläutert Steinel.Wichtig sei, alle Systeme mit sicherenPasswörtern zu schützen und auchzum Beispiel Passwörter des Druckerszu ändern. Sonst könnten zum Bei-spiel per Drucker gefaxte Arztbriefevon außen „abgehört“ werden.

20 bis 60 Euro im MonatNachhaltige Sicherheit, etwa durchFirewallsysteme und Virenschutz, zu-sätzlicher Schutz durchs Intranet etc.:Das alles sei nicht zum Nulltarif zuhaben, sondern koste etwa 20 bis 60Euro im Monat, je nach Schutzniveau.„Am besten, die Ärzte halten sich andie Datenschutzvorgaben, zum Bei-spiel von Kammer und KV sowie andie Empfehlungen des Service-Tech-nikers“, sagt Roeder.

Köln. Mit Cyberversicherungen kön-nen sich Unternehmen vor den Fol-gen von Angriffen aus dem Internetschützen. In deutschen Arztpraxensind die Policen jedoch bislang rechtunbekannt.

Das geht aus der Studie „Cyber-risiken im Gesundheitswesen“ hervor,die der Gesamtverband der DeutschenVersicherungswirtschaft (GDV) be-auftragt hat. Die Forsa Politik- undSozialforschung GmbH hat im Juniund Juli 2018 Mitarbeiter von 200Arztpraxen und 101 Apotheken be-fragt, die dort für IT und Internetsi-cherheit zuständig sind.

Wenige Praxenmit Cyber-PoliceIn der Befragung gaben nur 29 Pro-zent der für die IT zuständigen Mitar-beiter von Praxen an, dass sie bereitsvon Cyber-Versicherungen gehört ha-ben. Verschwindend gering ist mitdrei Prozent der Anteil derjenigenPraxen, die eine Cyber-Police abge-schlossen haben. Zwei Prozent derArztpraxen kennen das Cyber-Kon-zept und planen, einen solchen Ver-trag abzuschließen.

Insgesamt 11 Prozent der Befragtenist der Versicherungsschutz gegen In-ternetgefahren unbekannt, sie findendiese Möglichkeit aber grundsätzlichinteressant. Offenbar ist nicht jedervon dem Konzept überzeugt, denn19 Prozent der Befragten kennenzwar Cyber-Policen, wollen sie abernicht abschließen.

Seit einigen Jahren bringen Versi-cherer Cyber-Angebote auf denMarkt, mit denen sich Privatleute undUnternehmen vor den digitalen Risi-ken schützen können.

Neues SicherheitsbewusstseinVersicherer wie Hiscox, HDI, Gothaerund Axa bieten Deckungen an, die un-ter anderem Risiken wie verschlüssel-te Daten, Kontrollverlust über die ei-gene IT und Betriebsunterbrechun-gen abdecken.

Die Nachfrage nach Cyber-Schutzentwickelte sich zu Beginn nurschleppend. Nicht nur unter Ärztenwaren die neuen Angebote kaum be-kannt.

Lange Zeit glaubten nur wenigeMenschen, dass sie selbst zum Zielvon Hackern werden könnten. Welt-

weite Cyber-Angriffe wie „Petya“ und„Wannacry“ haben das Bewusstseinfür die Gefahren geschärft und dieNachfrage nach Versicherungsschutzist gestiegen.

Die Cyberversicherung ist mittler-weile die weltweit am schnellstenwachsende Sparte in der Gewerbe-und Industrieversicherung.

Zunächstkaum echte SchädenDie Versicherer mussten ihre Preisefür Cyber-Schutz zunächst auf Basistheoretischer Annahmen kalkulieren.Erfahrungen mit echten Schäden gabes zunächst kaum, da Betroffenemeist nicht über Angriffe sprachen. Inden vergangenen Jahren konnten dieVersicherer Erfahrungen mit Cyber-Schäden sammeln.

Sie gehen deshalb bei der Absiche-rung inzwischen deutlich vorsichtigervor. Die Konzerne müssen damitrechnen, dass bei einem groß angeleg-ten Angriff, etwa auf einen Internet-oder Cloud-Dienstleister, mehrereKunden gleichzeitig betroffen wären– das könnte sie finanziell hart tref-fen. (age)

Cyberversicherung isthäufig kaum bekannt


Cyber-Sicherheit

Schutz“, so Steinel weiter. Eine höhe-re Sicherheitsstufe könnten Praxenzum einen durch einen sicheren In-ternet-Service-Provider zu nehmen,der mit seinem internen Netz vorge-schaltet sei, sodass der Praxisrechnervon außen gar nicht gezielt angesteu-ert werden kann.

Zum anderen könne ein sichererInternet-Router aus bekannter Pro-duktion in Europa helfen, „garantiertBackdoor-frei“, wie Steinel be-schreibt, also ohne eingebaute Hin-tertür, zum Beispiel für den Geheim-dienst.

Offene Ports leicht zu findenEin Beispiel für solche sicheren Gerä-te sind LANCOM-Router. Dessen Si-cherheit basiert auf einer Entwick-lung für BSI-zertifizierte Geräte und

er verhindert, dass zum Beispiel dieTelefonie angegriffen wird. Nicht zu-letzt sorgt er dafür, dass kein Zugriffauf das System von außen nach innenerfolgen kann.

„Von außen nach innen geht ein-fach nichts rein“, erläutert Steinel dieFunktionsweise. Fernwartung von au-ßen lasse sich auch mit solchen Syste-men sicher umsetzen, dafür gebe esgut abgesicherte Konzepte – mit si-cheren Gateways mit Authentifizie-rung und guten Passwörtern, sagenSteinel und Roeder.

Auch das Problem der offenen Portsin Computersystemen ist den Intra-net-Spezialisten – telemed ist bereitsseit mehr als 20 Jahren als internesNetz für Ärzte aktiv und hat derzeitrund 33 000 Ärzte und Zahnärzte alsKunden – bewusst. „Offene Systeme

lassen sich im Internet heute ganz ein-fach recherchieren“, erläutert Steinel.Wichtig sei, alle Systeme mit sicherenPasswörtern zu schützen und auchzum Beispiel Passwörter des Druckerszu ändern. Sonst könnten zum Bei-spiel per Drucker gefaxte Arztbriefevon außen „abgehört“ werden.

20 bis 60 Euro im MonatNachhaltige Sicherheit, etwa durchFirewallsysteme und Virenschutz, zu-sätzlicher Schutz durchs Intranet etc.:Das alles sei nicht zum Nulltarif zuhaben, sondern koste etwa 20 bis 60Euro im Monat, je nach Schutzniveau.„Am besten, die Ärzte halten sich andie Datenschutzvorgaben, zum Bei-spiel von Kammer und KV sowie andie Empfehlungen des Service-Tech-nikers“, sagt Roeder.

Köln. Mit Cyberversicherungen kön-nen sich Unternehmen vor den Fol-gen von Angriffen aus dem Internetschützen. In deutschen Arztpraxensind die Policen jedoch bislang rechtunbekannt.

Das geht aus der Studie „Cyber-risiken im Gesundheitswesen“ hervor,die der Gesamtverband der DeutschenVersicherungswirtschaft (GDV) be-auftragt hat. Die Forsa Politik- undSozialforschung GmbH hat im Juniund Juli 2018 Mitarbeiter von 200Arztpraxen und 101 Apotheken be-fragt, die dort für IT und Internetsi-cherheit zuständig sind.

Wenige Praxenmit Cyber-PoliceIn der Befragung gaben nur 29 Pro-zent der für die IT zuständigen Mitar-beiter von Praxen an, dass sie bereitsvon Cyber-Versicherungen gehört ha-ben. Verschwindend gering ist mitdrei Prozent der Anteil derjenigenPraxen, die eine Cyber-Police abge-schlossen haben. Zwei Prozent derArztpraxen kennen das Cyber-Kon-zept und planen, einen solchen Ver-trag abzuschließen.

Insgesamt 11 Prozent der Befragtenist der Versicherungsschutz gegen In-ternetgefahren unbekannt, sie findendiese Möglichkeit aber grundsätzlichinteressant. Offenbar ist nicht jedervon dem Konzept überzeugt, denn19 Prozent der Befragten kennenzwar Cyber-Policen, wollen sie abernicht abschließen.

Seit einigen Jahren bringen Versi-cherer Cyber-Angebote auf denMarkt, mit denen sich Privatleute undUnternehmen vor den digitalen Risi-ken schützen können.

Neues SicherheitsbewusstseinVersicherer wie Hiscox, HDI, Gothaerund Axa bieten Deckungen an, die un-ter anderem Risiken wie verschlüssel-te Daten, Kontrollverlust über die ei-gene IT und Betriebsunterbrechun-gen abdecken.

Die Nachfrage nach Cyber-Schutzentwickelte sich zu Beginn nurschleppend. Nicht nur unter Ärztenwaren die neuen Angebote kaum be-kannt.

Lange Zeit glaubten nur wenigeMenschen, dass sie selbst zum Zielvon Hackern werden könnten. Welt-

weite Cyber-Angriffe wie „Petya“ und„Wannacry“ haben das Bewusstseinfür die Gefahren geschärft und dieNachfrage nach Versicherungsschutzist gestiegen.

Die Cyberversicherung ist mittler-weile die weltweit am schnellstenwachsende Sparte in der Gewerbe-und Industrieversicherung.

Zunächstkaum echte SchädenDie Versicherer mussten ihre Preisefür Cyber-Schutz zunächst auf Basistheoretischer Annahmen kalkulieren.Erfahrungen mit echten Schäden gabes zunächst kaum, da Betroffenemeist nicht über Angriffe sprachen. Inden vergangenen Jahren konnten dieVersicherer Erfahrungen mit Cyber-Schäden sammeln.

Sie gehen deshalb bei der Absiche-rung inzwischen deutlich vorsichtigervor. Die Konzerne müssen damitrechnen, dass bei einem groß angeleg-ten Angriff, etwa auf einen Internet-oder Cloud-Dienstleister, mehrereKunden gleichzeitig betroffen wären– das könnte sie finanziell hart tref-fen. (age)

Cyberversicherung isthäufig kaum bekannt

Januar 2019 9


Berlin/Neu-Isenburg. Die Digitalisie-rung ist auch im Gesundheitswesenunvermeidlich, das ist längst allen Be-teiligten klar. Doch es ist immer auchdie Frage, ob eine Entwicklung gernegesehen oder widerwillig hingenom-men wird. Ärzte und Apotheker sehenin der Entwicklung hin zur Digitali-sierung in ihrer großen Mehrheit eherVorteile als Nachteile.

Für 56 Prozent der Arztpraxen und61 Prozent der Apotheken überwiegendie Vorteile der Digitalisierung, in 28

Prozent der Arztpraxen sieht man da-gegen eher die Nachteile, in Apothe-ken sind es nur 24 Prozent. In beidenBerufsgruppen sieht rund jeder siebteVor- und Nachteile. Die Zahlen erge-ben sich aus einer repräsentativenUmfrage der forsa Politik- und Sozial-forschung GmbH unter Mitarbeiternvon 200 Praxen und 100 Apotheken.

Befragt nach konkreten Vor- undNachteilen, nannten die IT-Zuständi-gen in Praxen vor allem eine be-schleunigte Abrechnung mit denKrankenkassen (85 Prozent), einenvereinfachten Austausch mit Kolle-gen (80 Prozent) sowie einen verbes-serten Austausch mit Patienten (77Prozent).

Apotheken richten ihre Hoffnun-gen vor allem auf eine einfachere Er-kennbarkeit von Wechselwirkungenzwischen verschriebenen Medika-menten. 94 Prozent von ihren führen

diesen Punkt als Vorteil der Digitali-sierung an.

Unter den Nachteilen wurde zuerstein höheres Risiko von Cyber-Krimi-nalität genannt (88 Prozent), gefolgtvon hohen Anschaffungskosten fürdie Technik (85 Prozent) sowie vonProblemen des Datenschutzes (76Prozent). Nicht zuletzt sehen 60 Pro-zent der Praxen und 48 Prozent derApotheken die komplizierte Übertra-gung analoger Daten in digitale Struk-turen als Nachteil der Digitalisierung– also vor allem ein Problem desÜbergangs. In Apotheken wird das Ri-siko der Cyber-Kriminalität ebensohoch eingeschätzt wie in Praxen. Beiden Nachteilen setzen die Pharma-zeuten allerdings andere Akzente:Nur 61 Prozent sehen hohe Anschaf-fungskosten für die Technik als Nach-teil an – im Vergleich zu 85 Prozentbei Ärzten. (ger)

Digitalisierung: Unsicherheit imNetz macht Ärzten BauchwehIn der Serie der „Ärzte Zei-tung“ zum Thema Cyber-Sicherheit geht es auch umdie Meinung der Ärzte zu denChancen und Risiken derDigitalisierung.

Bessere Abläufe in Praxen, aber höhere Risiken durch Cyber-KriminalitätSo sehen Ärzte die Vor-und Nachteile der Digitalisierung für das Gesundheitswesen

beschleunigte und vereinfachte Abrechnung mit Krankenkassen

einfacherer Austausch mit Ärzten(anderer Fachrichtungen)

verbesserter und vereinfachter Austausch mit Patienten/Kunden

Reduzierung des Verwaltungsaufwands(und e�izienteres Praxismanagement)

Kostensenkung im Gesundheitswesen

höheres Risiko von Cyber-Kriminalität

hohe Anscha�ungskosten für die technische Infrastruktur

Probleme des Datenschutzes

höherer Verwaltungsaufwand durch Nebenein-ander digitaler und analoger Prozesse und Daten

komplizierte Übertragung analoger Datenin digitale Strukturen

Quelle: Forsa Grafik: ÄrzteZeitung

Vorteile

Vorteile überwiegen

Nachteile

Nachteile überwiegensowohl als auch

85 %

56 % 28 %14 %

80 %

77 %

69 %

43 %

88 %

76%

85 %

66 %

60 %

Köln. Ob ein Cyberangriff auf eineArztpraxis zum Desaster wird oderbeherrschbar bleibt, hat der Arzt zueinem großen Teil selbst in der Hand.„Entscheidend ist ein professionellerUmgang mit der Situation“, sagt derKölner Oberstaatsanwalt MarkusHartmann. Er rät Ärzten dazu, in je-dem Fall eine Strafanzeige zu stellen.„Das hat für alle Seiten einen erhebli-chen Mehrwert“, sagt er.

Oft seien sich Ärzte der Bedeutungeiner Strafanzeige für die Ermittlungaber nicht bewusst, nicht seltenschreckten sie sogar vor diesemSchritt zurück. Hartmann ist Haupt-abteilungsleiter bei der Staatsanwalt-schaft Köln und leitet seit 2016 dieZentral- und Ansprechstelle Cyber-crime Nordrhein-Westfalen (ZACNRW), die sich mit Cybercrime-Ver-fahren größeren Ausmaßes befasst.Zudem steht die Einrichtung Staats-anwaltschaften und Polizeibehördenals Ansprechstelle bei Fragen zumThema Cyberkriminalität zur Verfü-gung.

Lösegeldforderung nach AngriffWerden Arztpraxen gehackt, sind dieUrsache meistens Viren, die allge-mein im Umlauf sind und beispiels-weise dafür sorgen, dass Daten aufdem Computer verschlüsselt werden.Die Täter fordern für die Entschlüsse-lung ein Lösegeld, oft drohen sie mitdem Verlust der Daten, wenn die Zah-lung nicht innerhalb einer bestimm-ten Zeit eingeht. Für Ärzte stellt dasein großes Problem dar. Gehen Datenverloren, wird auch die Abrechnung

mit der Kassenärztlichen Vereinigungerschwert, wenn nicht gar unmöglich.In der Hoffnung, großen finanziellenSchaden abwenden zu können, kannes Ärzten verlockend erscheinen, dasLösegeld zu zahlen.

„Davon raten wir ab“, sagt Hart-mann. Der Grund: „Die Täter kom-men wahrscheinlich wieder.“

Die mangelnde Bereitschaft, An-zeige zu erstatten, ist für die Aufklä-rung der Cyberangriffe von großemNachteil. „Wenn nur die Minderheitder Betroffenen eine Strafanzeigestellt, besteht die Gefahr, dass die Er-mittler einen Angriff als Einzelfallwerten und nicht erkennen, dass erTeil einer breiten Angriffswelle ist“,warnt Hartmann.

Dass Ärzte keine Anzeige stellen,hat vor allem zwei Gründe. „Vielefürchten, dass sie durch die Ermitt-lungen nicht mehr Herr im Haus sindund in der Öffentlichkeit in einschlechtes Licht gerückt werden“, be-richtet der Staatsanwalt. Die Sorgenseien jedoch unbegründet. „Natürlichmüssen Beweise gesichert werden,aber nicht um den Preis eines nochviel größeren Kollateralschadens“, soder Experte. Die Ermittler gingen de-zent vor. Auch die Annahme, dass mit

dem Verzicht auf eine Anzeige öffent-liches Aufsehen verhindert werdenkann, ist laut Hartmann ein Trug-schluss. Ohnehin werde jeder Vorfallfrüher oder später bekannt. Unabhän-gig von den Melde- und Informations-pflichten nach der Datenschutz-grundverordnung (DSGVO) rät er denÄrzten dazu, gegenüber den Patientenso offensiv und transparent wie mög-lich mit dem Cyberangriff umzuge-hen. Durch zögerliches oder unpro-fessionell wirkendes Verhalten könn-ten die Ärzte mehr Vertrauen verlie-ren als durch den Vorfall selbst.

Bares Geld für Daten im InternetHartmann verweist auf die Erfahrun-gen des Lukaskrankenhauses inNeuss, das 2016 von einem Hackeran-griff getroffen wurde. Die Reaktionder Verantwortlichen, die das LKAund das BSI eingeschaltet haben undmit dem Ereignis schnell an dieÖffentlichkeit gegangen sind, sei eingutes Beispiel für professionelles Ver-halten. „Es ist durchaus möglich, amEnde ohne Reputationsverlust undgestärkt aus einer solchen Situationhervorzugehen.“

Angriffe, die gezielt Ärzte ins Visiernehmen, sind selten, könnten künftigaber häufiger werden. Praxen stellenfür Kriminelle aufgrund der Patien-tendaten ein lohnendes Ziel dar, zu-dem sind Ärzte zur Geheimhaltungvon Patientendaten verpflichtet unddadurch leicht erpressbar.

„Personenbezogene Daten sind imInternet bares Geld wert“, sagt Hart-mann. Dass Hacker speziell an Ge-sundheitsdaten interessiert sind,konnte die ZAC NRW bislang nichtfeststellen „Wir haben noch keineHinweise darauf, dass es einen vali-den Markt für Gesundheitsdaten inder kriminellen Cyber-Szene gibt“.

Zu einem professionellen Verhal-ten gehört in jedem Fall eine tiefgehende Aufarbeitung, etwa durchIT-Forensiker, die den Vorfall ana-lysieren. Oberflächliche Maßnahmen,beispielsweise lediglich eine Neu-installation der Computer, genügennicht.

Cyber-Crime: Bei Hackerangriffsofort Strafanzeige!Wird der Praxis-PC gehacktund es geht gar eineLösegeldforderung ein,sollte der Arzt Strafanzeigeerstatten. Das rät Ober-staatsanwalt MarkusHartmann.

Von Christian Bellmann

Markus Hartmann rät Ärzten zurStrafanzeige. © ANDREAS BRÜCK / ZAC NRW


Cyber-Sicherheit

Köln. Ob ein Cyberangriff auf eineArztpraxis zum Desaster wird oderbeherrschbar bleibt, hat der Arzt zueinem großen Teil selbst in der Hand.„Entscheidend ist ein professionellerUmgang mit der Situation“, sagt derKölner Oberstaatsanwalt MarkusHartmann. Er rät Ärzten dazu, in je-dem Fall eine Strafanzeige zu stellen.„Das hat für alle Seiten einen erhebli-chen Mehrwert“, sagt er.

Oft seien sich Ärzte der Bedeutungeiner Strafanzeige für die Ermittlungaber nicht bewusst, nicht seltenschreckten sie sogar vor diesemSchritt zurück. Hartmann ist Haupt-abteilungsleiter bei der Staatsanwalt-schaft Köln und leitet seit 2016 dieZentral- und Ansprechstelle Cyber-crime Nordrhein-Westfalen (ZACNRW), die sich mit Cybercrime-Ver-fahren größeren Ausmaßes befasst.Zudem steht die Einrichtung Staats-anwaltschaften und Polizeibehördenals Ansprechstelle bei Fragen zumThema Cyberkriminalität zur Verfü-gung.

Lösegeldforderung nach AngriffWerden Arztpraxen gehackt, sind dieUrsache meistens Viren, die allge-mein im Umlauf sind und beispiels-weise dafür sorgen, dass Daten aufdem Computer verschlüsselt werden.Die Täter fordern für die Entschlüsse-lung ein Lösegeld, oft drohen sie mitdem Verlust der Daten, wenn die Zah-lung nicht innerhalb einer bestimm-ten Zeit eingeht. Für Ärzte stellt dasein großes Problem dar. Gehen Datenverloren, wird auch die Abrechnung

mit der Kassenärztlichen Vereinigungerschwert, wenn nicht gar unmöglich.In der Hoffnung, großen finanziellenSchaden abwenden zu können, kannes Ärzten verlockend erscheinen, dasLösegeld zu zahlen.

„Davon raten wir ab“, sagt Hart-mann. Der Grund: „Die Täter kom-men wahrscheinlich wieder.“

Die mangelnde Bereitschaft, An-zeige zu erstatten, ist für die Aufklä-rung der Cyberangriffe von großemNachteil. „Wenn nur die Minderheitder Betroffenen eine Strafanzeigestellt, besteht die Gefahr, dass die Er-mittler einen Angriff als Einzelfallwerten und nicht erkennen, dass erTeil einer breiten Angriffswelle ist“,warnt Hartmann.

Dass Ärzte keine Anzeige stellen,hat vor allem zwei Gründe. „Vielefürchten, dass sie durch die Ermitt-lungen nicht mehr Herr im Haus sindund in der Öffentlichkeit in einschlechtes Licht gerückt werden“, be-richtet der Staatsanwalt. Die Sorgenseien jedoch unbegründet. „Natürlichmüssen Beweise gesichert werden,aber nicht um den Preis eines nochviel größeren Kollateralschadens“, soder Experte. Die Ermittler gingen de-zent vor. Auch die Annahme, dass mit

dem Verzicht auf eine Anzeige öffent-liches Aufsehen verhindert werdenkann, ist laut Hartmann ein Trug-schluss. Ohnehin werde jeder Vorfallfrüher oder später bekannt. Unabhän-gig von den Melde- und Informations-pflichten nach der Datenschutz-grundverordnung (DSGVO) rät er denÄrzten dazu, gegenüber den Patientenso offensiv und transparent wie mög-lich mit dem Cyberangriff umzuge-hen. Durch zögerliches oder unpro-fessionell wirkendes Verhalten könn-ten die Ärzte mehr Vertrauen verlie-ren als durch den Vorfall selbst.

Bares Geld für Daten im InternetHartmann verweist auf die Erfahrun-gen des Lukaskrankenhauses inNeuss, das 2016 von einem Hackeran-griff getroffen wurde. Die Reaktionder Verantwortlichen, die das LKAund das BSI eingeschaltet haben undmit dem Ereignis schnell an dieÖffentlichkeit gegangen sind, sei eingutes Beispiel für professionelles Ver-halten. „Es ist durchaus möglich, amEnde ohne Reputationsverlust undgestärkt aus einer solchen Situationhervorzugehen.“

Angriffe, die gezielt Ärzte ins Visiernehmen, sind selten, könnten künftigaber häufiger werden. Praxen stellenfür Kriminelle aufgrund der Patien-tendaten ein lohnendes Ziel dar, zu-dem sind Ärzte zur Geheimhaltungvon Patientendaten verpflichtet unddadurch leicht erpressbar.

„Personenbezogene Daten sind imInternet bares Geld wert“, sagt Hart-mann. Dass Hacker speziell an Ge-sundheitsdaten interessiert sind,konnte die ZAC NRW bislang nichtfeststellen „Wir haben noch keineHinweise darauf, dass es einen vali-den Markt für Gesundheitsdaten inder kriminellen Cyber-Szene gibt“.

Zu einem professionellen Verhal-ten gehört in jedem Fall eine tiefgehende Aufarbeitung, etwa durchIT-Forensiker, die den Vorfall ana-lysieren. Oberflächliche Maßnahmen,beispielsweise lediglich eine Neu-installation der Computer, genügennicht.

Cyber-Crime: Bei Hackerangriffsofort Strafanzeige!Wird der Praxis-PC gehacktund es geht gar eineLösegeldforderung ein,sollte der Arzt Strafanzeigeerstatten. Das rät Ober-staatsanwalt MarkusHartmann.

Von Christian Bellmann

Markus Hartmann rät Ärzten zurStrafanzeige. © ANDREAS BRÜCK / ZAC NRW

Januar 2019 11

Cyber-Sicherheit

Verlag: Springer Medizin Verlag GmbH, BerlinRedaktion: Springer Medizin Verlag GmbH, Neu-IsenburgTelefon: 0 61 02 / 50 60, Telefax: 0 61 02 / 50 62 03E-Mail: [email protected] Unternehmen der Fachverlagsgruppe Springer NatureGeschäftsführung: Joachim Krieger, Fabian KaufmannChefredakteur: Wolfgang van den BerghStellv. Chefredakteur: Hauke GerlofGesundheitspolitik / Wirtschaft: Rebekka Höhl (verantw.),Hauke Gerlof (verantw.),Christiane Badenberg,

Christoph Fuhr, Dr. Florian Staeck, Matthias Wallenfels,Christoph WinnatMedizin: Dr. med. Marlinde Lehmann (verantw.),Anne Bäurle, Wolfgang Geissel, Katharina Grzegorek,Ingrid Kreutz, Christina Ott

Herstellung: Frank Nikolaczek (verantw.),Sandra Bahr, Ralf Dolberg, Patrizia Dziadek, Michael Eiles,Cornelia Hannebohn, Michaela Illian, Janina Meisel, Christian Ott,Till Schlünz, Dietmar Starke, Stephan ThomaierAnzeigen: Ute Krille (verantwortlich),Telefon: 0 61 02 / 50 61 57,Telefax: 0 61 02 / 50 61 23

Gültige Anzeigenpreisliste Nr. 38 vom 01.01.2018

Ladungsfähige Anschrift für Verlag und Redaktion:Springer Medizin Verlag GmbH,Am Forsthaus Gravenbruch 563263 Neu-Isenburg

Postanschrift:Springer Medizin Verlag GmbH, Postfach 2131,63243 Neu-IsenburgDruck, Versand: F&W Druck- und Mediencenter GmbH, KienbergErstellungsort: Neu-Isenburg

Mit freundlicher Unterstützung des Gesamtverbandsder Deutschen Versicherungswirtschaft e.V.

Ärzte Zeitung: Herr Pache, die Cy-ber-Umfrage des GDV bei Arztpraxenund Apotheken hat gezeigt, dass sichviele in Sicherheit wähnen. Wassagen Sie zu dieser Einschätzung?Thomas Pache: Es gibt immer einenGrund, sich selbst zu beruhigen, dassnichts passieren wird. Allerdingszeigte die Befragung auch, dass dieDatensicherheit bei vielen Praxenbesser ist als in anderen Branchen. Dagibt es ein gewisses Bewusstsein,schließlich gehen Ärzte mit sehr ver-traulichen personenbezogenen Datenum.

Einige Befragte gaben an, bislangkeine Cyberattacke erlebt zu haben.Sie glauben auch nicht, dass sich dasbald ändern wird. Ist das eine gefähr-liche Annahme?Ja. Das ist, als sagte jemand, er brau-che keine Türschlösser, weil bei ihmnoch nicht eingebrochen wurde. Viel-leicht realisiert noch nicht jeder, dasssich die Risikolage geändert hat.

Sind kleine Praxen für Hackerweniger interessant als große, oderist das ein Trugschluss? Kleinere Praxen werden seltener ge-zielt angegriffen. Doch breit gestreuteSchadsoftware kann auch bei ihnendie Daten verschlüsseln und Löse-geldforderungen verschicken. EinePraxis mit prominenten Patientenkönnte gezielt angegriffen werden,um an die Daten zu gelangen. Auchgroße Praxen könnten ein lohnendesZiel sein, da die Gesundheitsdaten ansich einen Wert darstellen.

Kennen Sie Fälle, bei denenArztpraxen angegriffen wurden?Neben bekannten Ransomware-Fäl-len ist mir der Fall einer radiologi-

schen Praxis bekannt, bei der über dasInternet Schadsoftware in das Systemgelangt war. Der Verschlüsselungs-Code wurde jedoch nicht gleich aktiv.Er gelangte auf CD und DVD, auf de-nen Mitarbeiter Röntgenbilder undCT gespeichert hatten. Auf diesemWeg infizierte die Hacker-Software viele weitere Praxen.

Über welche Größenordnungsprechen wir bei solchen Schäden?Wenn eine Praxis vernünftige Back-ups hat, verliert sie bei einer Attackenicht allzu viele Daten. Dennoch mussdas System gesäubert und neu be-spielt werden. Zudem muss die Praxisvielleicht alle Patienten anschreiben.Das allein kann zwischen einigen Tau-send Euro und 10 000 Euro kosten.

Was kostet in Relation dazu eineCyberversicherung?Das lässt sich nicht pauschal sagen, abersprechen wir über die Größenordnung.Eine sehr kleine Praxis zahlt für100 000 Euro Versicherungssumme abetwa 400 Euro Prämie im Jahr. Abge-deckt sind Haftpflichtschäden undSchäden durch Betriebsunterbrechung.Zudem stellt der Versicherer mithilfevon Fach-Dienstleistern IT-Hilfe undrechtliche Unterstützung bereit.

Wie können Ärzte eine passendeCyberversicherung auswählen?Ich rate Ärzten, vorab zu überlegen,welche Szenarien sie konkret absi-chern möchten. Diese Vorstellungensollten sie mit einem Makler bespre-chen, der sich mit ihrem Geschäfts-modell auskennt.

„Auch kleine Praxenwerden angegriffen“Wie groß sind die Cyber-Gefahren für Arztpraxen?Kann eine VersicherungSchaden abwenden?Darüber sprach die „ÄrzteZeitung“ mit Thomas Pachevom Gesamtverband derDeutschen Versicherungs-wirtschaft (GDV).

Das Interview führte Anna Gentrup

Thomas Pache, Mitglied der AG Cyber-versicherung beim GDV und SeniorUnderwriter bei Riskpoint. © PRIVAT

12 Januar 2019

Cyber-Angriffe auf Praxen – die Bedrohung ist real - gdv.de · Januar 2019 Mit freundlicher...

Documents

Transcript of Cyber-Angriffe auf Praxen – die Bedrohung ist real - gdv.de · Januar 2019 Mit freundlicher...