Schützen Sie sich gegen Cyberangriffe!
Jeden Tag sind Zahnarztpraxen in Deutschland Cyberangriffen ausgesetzt. Ab und zu gelangt ein Fall in die Medien, viele Betroffene vermeiden aber aus Angst vor Reputationsverlust oder behördlichen Sanktionen, ihren Fall zu melden. Deshalb dürfte die Dunkelziffer hoch sein.
Es gibt, insbesondere für kleinere Praxen und Organisationen, keine Meldepflicht und auch keine zentrale Ansprechstelle, sagt Jan Arfwedson, Leiter des e-Health-Hubs beim Cyber-Sicherheitsrat. „Schaut man insgesamt auf die Entwicklung von Cybersicherheitsvorfällen, so ist hierbei leider ein erheblicher Anstieg der Vorfälle beziehungsweise der Betroffenen zu verzeichnen“, berichtet der Experte.
Laut des jährlichen ThreatLabz-Ransomware-Reports stiegen die Ransomware-Angriffe im Vergleich zum Vorjahr um 80 Prozent an, im Gesundheitswesen sogar um 650 Prozent von 2020 auf 2021. Die finalen Zahlen für 2022 liegen noch nicht vor, aber man erwartet eine weitere deutliche Zunahme.
Das momentan größte Risiko geht von Verschlüsselungstrojanern, sogenannter Ransomware, aus. Dabei fordern die Erpresser von den Praxen Lösegeld, um die verschlüsselten Patientendaten wieder zu dekodieren. „Die Erpresser versuchen in der Regel, an sensible und lohnenswerte Daten zu kommen. Diese werden im Darknet zu zehnfach höheren Preisen gehandelt als Kreditkarteninformationen“, erklärt Arfwedson.
Kommt es dazu, dass die Daten von Cyberkriminellen kopiert und im Darknet zum Verkauf angeboten werden, muss der Praxisinhaber alle betroffenen Patienten von Gesetzes wegen informieren. „Das führt zu einem enormen Rufverlust und kann aufgrund der damit einhergehenden Bußgelder existenzgefährdend sein“, gibt Arfwedson zu bedenken.
Die Einfallstore sind häufig Phishing Mails. „Wenn die Arbeitsplatzrechner in einer Praxis über Administrationsrechte verfügen, was wir leider regelmäßig feststellen, steigt das Risiko exorbitant an, denn dabei handelt es sich schon um privilegierte Rechte, die die Ausführung von beispielsweise nachträglich nachgeladenem Schadcode ermöglichen.“
Keiner ist zu klein, um für Cyberkriminelle interessant zu sein
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) wies bereits 2019 in seinem Branchenreport „Cyberrisiken bei Ärzten und Apothekern“ darauf hin, dass jeder zweite Arzt, Zahnarzt oder Apotheker seine Niederlassung für zu klein hält, um für Cyberkriminelle interessant zu sein. 80 Prozent gehen zudem davon aus, dass sie ausreichend gegen Cyberkriminalität geschützt seien. Und ein Drittel plant deshalb keine weiteren Investitionen in die IT-Sicherheit. Zehn von 25 getesteten Arztpraxen sind nicht auf einen Systemausfall vorbereitet. Alles Fehlannahmen: „Das eigene Sicherheitsniveau und die Attraktivität für Cyberkriminelle werden leider deutlich über- beziehungsweise unterschätzt“, warnt Arfwedson.
Zu den fünf größten Risikofaktoren zählen laut GDV zu einfache Passwörter und mehrfach unter den Mitarbeitenden geteilte Zugangserkennungen oder unter allen geteilte Administrationsrechte. Sind die Angestellten zu arglos und öffnen zum Beispiel den Link in einer Phishing-Mail und aktivieren den Download, ist das ebenfalls ein großes Risiko. Weiter erfolgt die Datensicherung oft nur oberflächlich und zumeist nicht ausreichend. Zu wenig wird geprüft, ob Daten wirklich verschlüsselt sind und sich wiederherstellen lassen, berichtet der GDV nach seiner Stichprobenprüfung in Arzt- und Zahnarztpraxen. Fehlende Sicherheitsupdates und letztendlich eine fehlende Vorbereitung für den Notfall sind ebenso Risikofaktoren, auf die man achten sollte.
Die gesetzlich festgelegten Mindeststandards der IT-Sicherheitsrichtlinie der KZBV und der KBV (siehe QR-Code) geben klare Handlungsanweisungen für die Gewährleistung von IT-Sicherheit in Zahnarztpraxen. Die Sicherheitsrichtlinie sieht Unterschiede hinsichtlich der Größe der Praxis vor, womit eine Praktikabilität gewährleistet werden soll. Diese Standards umzusetzen, ist Teil der IT-Compliance. Kommt es zu einem Hackerangriff, werden Aufsichts- und Ermittlungsbehörden in jedem Fall prüfen, ob und inwieweit die Sicherheitsstandards umgesetzt und eingehalten wurden.
„Zahnarztpraxen sollten sich daher unbedingt mit der Richtlinie vertraut machen und die Vorgaben auch umsetzen. Tun sie dies, so werden damit die Eintrittswahrscheinlichkeit und das Schadenausmaß etwaiger Cyber-Attacken schon einmal deutlich reduziert“, betont der Experte.
Weitere Maßnahmen technischer und organisatorischer Natur könnten sinnvoll sein, fügt er hinzu, müssten aber im Einzelfall, auch hinsichtlich des Risikos und der damit einhergehenden Kosten, beurteilt werden. Zudem müssen die getroffenen technischen Maßnahmen immer wieder hinsichtlich ihrer Aktualität überprüft und nachgebessert, also an den aktuellen Stand der Technik angepasst werden. „Das heißt natürlich auch, dass sich Investitionszyklen verkürzen und beispielsweise nicht mehr seitens der Hersteller unterstützte Systeme oder Komponenten ersetzt werden müssen“, so Arfwedson.
Praxen können regelmäßig und systematisch das eigene Sicherheitsniveau evaluieren. „Das bedeutet konkret, dass man überprüft, ob die eigenen Vorgaben in der Praxis auch so umgesetzt werden und ob diese zu einem erhöhten Sicherheitsniveau führen. Dazu gehört die Durchführung regelmäßiger Penetrationstests und interner Sicherheitsaudits, zu denen man sich natürlich auch einen fachkundigen externen Partner hereinholen kann."
Bei den Penetrationstests wird eine Firma beauftragt, mit den Mitteln eines Hackers zu versuchen in die IT-Infrastruktur einzudringen und Daten zu entwenden. Häufig werden dabei Schwachstellen und Sicherheitslücken identifiziert, die die eigene IT-Abteilung oder der IT-Dienstleister nicht kannten und daher auch nicht beheben konnten.
Wirkung entfaltet laut Arfwedson auch der sogenannte risikoorientierte Ansatz. Dabei werden IT- und Cybersicherheitsrisiken danach bewertet, wie wahrscheinlich sie eintreten und wie hoch das Schadensausmaß wäre und nur bei hoher Gefahr entsprechende Maßnahmen abgeleitet. Darüber hinaus sollten die technischen und organisatorischen Maßnahmen zur Risikobehandlung immer in wirtschaftlichem Verhältnis zum Risiko stehen.
IT-Sicherheit kostet Geld, aber keine IT-Sicherheit kostet noch mehr Geld!
Erfahrungsgemäß hat das Praxispersonal selbst nicht das Know-how, um die IT-Sicherheitsrichtlinie ad hoc umzusetzen, sagt Arfwedson. Er kritisiert: „Zudem sind die Anforderungen in entsprechender Fachsprache formuliert, so dass es hier einen Übersetzer benötigt, der dem Praxisinhaber und dem Personal vermittelt, was damit im Detail gemeint ist und wie dies in einer Zahnarztpraxis entsprechender Größe pragmatisch, aber wirksam umgesetzt werden kann."
Cyberversicherungen bieten häufig „Assistance-Leistungen" an. „Das bedeutet, dass die Praxis im Schadenfall Zugriff auf entsprechende Dienstleister hat, die bei der Notfallbewältigung unterstützen und hier beispielsweise IT-forensische Untersuchungen oder Maßnahmen zur Datenrettung oder Wiederherstellung ergreifen können. Dies sollten die Praxen aber so oder so, das heißt auch ohne Versicherungsschutz, bedenken“, rät Arfwedson. Notfallmanagement ist auch eine Anforderung aus der IT-Sicherheitsrichtlinie der KZBV. Reinschauen lohnt sich, denn IT-Sicherheit kostet Geld, doch fehlende IT-Sicherheit kostet mehr Geld! LL
Kurzinfo
Jan Arfwedson ist Leiter e-Health-Hubs beim Cyber-Sicherheitsrat in Berlin und Geschäftsführer des Healthcare-IT-Security-Spezialisten Aurasec.
Cybercrime-Risikofaktoren
zu einfache Passwörter
mehrfach geteilte Zugangserkennung
alle sind Admin, keiner prüft alte Admin-Rechte
Praxis versäumt Updates oder zieht sie zu spät
arglose Mitarbeitende, die Schadsoftware downloaden
keine ausreichende Datensicherung und überprüfte Wiederherstell-Möglichkeit
Praxis ist nicht auf den Notfall vorbereitet