So teuer ist eine Cyberattacke!
1. Musterszenario Datenklau:
Hacker attackieren die IT-Systeme einer (Zahn-)Arztpraxis. Sie kopieren die Patientendaten und versprechen, gegen die Zahlung von Lösegeld auf eine Veröffentlichung der Daten zu verzichten.
Angriff
Die (Zahn-)Arztpraxis erhält per Mail einen Erpresserbrief. Die Kriminellen behaupten, im Besitz aller Patientendaten zu sein. Als Beleg senden sie kompromittierende Daten über fünf Patienten, die tatsächlich in der betroffenen Praxis in Behandlung waren. Sie drohen damit, die Daten zu veröffentlichen, wenn der Arzt nicht bereit ist, ein hohes Lösegeld zu zahlen.
Informationen an Patienten und Behörden
Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Arzt kein Lösegeld. Er muss aber die Datenschutzbehörden und seine Patienten über den Verlust der sensiblen Daten informieren. Um sicher zu gehen, dass er seinen Pflichten in vollem Umfang nachkommt, holt er sich Hilfe bei einem Rechtsanwalt. Die Patienten sind nach der Information verunsichert und haben intensiven Gesprächsbedarf. Das deckt eine Cyber-Versicherung: Der GDV rechnet hier mit Informationskosten von 4.000 Euro und Anwaltskosten von 2.000 Euro.
Security-Initiative
IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zugriff zu den Daten erlaubte. Das deckt eine Cyber-Versicherung: 5.000 Euro für IT-Forensik.
Die fünf größten Risikofaktoren
1. Passwörter/Zugänge
sehr einfach zu erratende Passwörter (Behandlung, Praxis, Name des Arztes)
Mehrere Benutzer teilen sich dieselbe Zugangskennung.
Alle Benutzer haben Administratorenrechte.
Es wird nicht geprüft, ob alte Administratorenrechte noch bestehen.
2. Arglose Mitarbeiter
Mitarbeiter klicken auf den in der E-Mail enthaltenen Link und laden das anhängende Word-Dokument herunter.
Im schlimmsten Fall wird sogar das Schadprogramm ausgeführt.
3. Nicht ausreichende Datensicherungen
Viele Praxen erstellen mindestens wöchentlich eine Datensicherung, verschlüsseln diese aber nicht.
Wenige Praxen testen, ob sich die Daten auch wiederherstellen lassen.
4. Fehlende Sicherheits-Updates
Viele Praxen haben keine aktuellen Sicherheits-Updates ihrer IT-Systeme.
5. Keine Vorbereitung auf den Notfall
Die wenigsten Praxen verfügen über ein schriftliches Notfallkonzept für den Fall eines IT-Ausfalls, viele verlassen sich auf ihren IT-Dienstleister; nur wenige haben allerdings einen entsprechenden Vertrag mit einem Dritten.
Quelle: GDW
Betriebsunterbrechung
Bis die Schwachstellen geschlossen und weitere Datendiebstähle verhindert sind, bleibt die Arztpraxis geschlossen. Auch die Abrechnung mit den Krankenkassen ist nicht möglich. Das deckt eine Cyber-Versicherung: Kosten für zwei Tage Betriebsunterbrechung: 5.000 Euro.
Datenmissbrauch
Die Hacker veröffentlichen die Gesundheitsdaten einiger Patienten. Die Betroffenen beauftragen Spezialisten mit der Löschung der unrechtmäßig veröffentlichten Daten und verlangen vom Arzt Schadenersatz. Das deckt eine Cyber-Versicherung: Schadensersatz: 20.000 Euro nach Artikel 82 DSGVO.
Vertrauenskrise
Nachdem die lokale Presse über den Datendiebstahl berichtet, wenden sich zahlreiche Patienten von der Praxis ab, der Patientenstamm schrumpft deutlich. Das deckt eine Cyber-Versicherung: 1.000 Euro für Krisenkommunikation, der Umsatzrückgang ist nicht gedeckt.
Aufarbeitung
Die Datenschutzbehörden verhängen aufgrund des Datenverlusts ein hohes Bußgeld. Das deckt eine Cyber-Versicherung: Über eine Cyberversicherung gedeckt sind laut GDV die Informationskosten, die Anwaltskosten, die Kosten für die IT-Forensik, die Betriebsunterbrechung und die Krisenkommunikation. Das Bußgeld ist nicht gedeckt.
Das sichere Passwort
1. Denken Sie sich lange Passwörter aus!
Sonderzeichen und Großbuchstaben helfen nur bedingt weiter, ebenso das ständige Wechseln von Passwörtern. Wichtiger ist die Länge. Hacker „raten“ Passwörter in der Regel nicht, sondern probieren in kurzer Zeit große Mengen möglicher Kombinationen aus. Je länger das Passwort ist, desto länger braucht auch der Computer. Ein einfaches Beispiel, das Sie bitte nicht so verwenden: Um „Pa$$W0rt“ zu knacken, braucht ein herkömmlicher PC nach Auskunft der Webseite checkdeinpasswort.de gerade mal sechs Stunden, für „Pa$$W0rtHallo123“ mehrere Milliarden Jahre.
2. Verwenden Sie einen Passwort-Manager!
Sie können und wollen sich die vielen langen und komplizierten Passwörter nicht merken? Dann fangen Sie auf keinen Fall an, immer das gleiche oder nur ein leicht abgewandeltes Passwort einzugeben. Das macht es Hackern zu einfach. Die bessere Alternative sind Passwort-Manager. Sie generieren und verwalten starke (= lange) Passwörter, die Sie sich nicht merken müssen; das übernimmt der Manager. Da die Anbieter ihre Daten in aller Regel verschlüsseln, sind die Passwörter auch gegen Hackerangriffe geschützt. Sie brauchen für alle Passwörter hingegen nur noch das „MasterKennwort“ – das natürlich wiederum sehr sicher sein sollte.
3. Nutzen Sie die Zwei-Faktor-Authentifizierung!
Für den Schutz von Patientendaten sollten Sie ernsthaft eine Zwei-Faktor-Authentifizierung in Betracht ziehen. Das Verfahren kennen Sie von Ihrer Bank: Am Automaten brauchen Sie ihre Giro-Karte (1. Faktor) und die PIN (2. Faktor), auch eine Überweisung beim Online-Banking funktioniert in aller Regel nur mit PIN und TAN. Den Zugang zu Ihren Systemen können Sie genauso schützen – dann bekommen Sie nach der Eingabe Ihres Passworts zum Beispiel noch einen Code auf Ihr Smartphone geschickt. Alternativ erhält jeder Mitarbeiter eine Chipkarte, mit der er sich identifizieren kann. Mit dem Passwort allein können Hacker dann nichts mehr anfangen.
Quelle: GDW
2. Musterszenario Ransomware:
Hacker attackieren die IT-‧Systeme einer Apotheke und sperren die Systeme. Sie wollen die Systeme erst wieder freigeben, wenn sie vom Praxisinhaber Lösegeld bekommen.
Angriff
Die IT-Systeme der Apotheke sind ohne Funktion, auf den Bildschirmen erscheint lediglich die Nachricht der Erpresser.
Austausch der IT-Systeme
Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Apotheker kein Lösegeld. IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zugriff zum System erlaubte. Sie setzen neue, sichere Systeme auf und stellen alle Daten der Apotheke aus den Sicherungskopien wieder her. Das deckt eine Cyber-Versicherung: Kosten für IT-Forensik: 5.000 Euro
Betriebsunterbrechung
Bis die Systeme wieder laufen, bleibt die Apotheke geschlossen. Die Abrechnung mit den Krankenkassen ist nicht möglich. Das deckt eine Cyber-Versicherung: Kosten für fünf Tage Betriebsunterbrechung: 12.500 Euro.
Vertrauenskrise
Nachdem die lokale Presse vom Cyberangriff erfährt und darüber berichtet, wenden sich zahlreiche Kunden von der Praxis ab, der Kundenstamm schrumpft deutlich. Das deckt eine Cyber-Versicherung: Kosten für Krisenkommunikation: 1.000 Euro, der Umsatzrückgang ist nicht gedeckt.