Beschreibung

Eine Praxis hat ihren DSL-Router im Flur stehen. Durch Zufall wird festgestellt, dass sich fremde Smartphones in das Netzwerk eingewählt haben (im Systemprotokoll aufgelistet). Offenbar wurden die aufgedruckten Zugangsdaten des Routers dafür benutzt, sich Zugang zum Router und/oder dem WLAN zu verschaffen.

Risiko

Ein direkter Einfluss auf die Prozesse, Geräte und Patientendaten der Praxis kann nicht festgestellt werden. Dennoch ist eine Manipulation von Praxis-Endgeräten im WLAN und eine Offenlegung von Patientendaten nicht auszuschließen. Im günstigsten Falle wurde der Zugang nur für das Surfen im Internet missbraucht.

Reaktion

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

• Der IT-Dienstleister wird beauftragt, den DSL-Router auf Werkseinstellungen zurückzusetzen.
• Es werden sichere, individuelle Kennwörter und ein neuer Netzwerkschlüssel für den Zugriff auf den Router vergeben.
• Für Patientinnen und Patienten sowie andere externe Personen wird ein Gast-WLAN eingerichtet.
• Der Router wird in einem abschließbaren Raum aufgestellt und alle dezentralen technischen Komponenten der Telematikinfrastruktur, zum Beispiel der Konnektor, in demselben Raum untergebracht.
• Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).

Tipps zur Prävention

• Router nie bei den Standard-Einstellungen belassen.
• Geräte wie DSL-Router restriktiv konfigurieren, zum Beispiel WPS-Tastenfunktion deaktivieren, mit der ansonsten mittels Knopfdruck am Router eine unkomplizierte Verbindung eines Gerätes mit dem WLAN möglich ist.
• Wichtige Geräte räumlich vor dem Zugriff durch Dritte schützen.

Beschreibung

Eine Praxis erhält einen Anruf – angeblich von der Firma Microsoft. Der Mitarbeiter behauptet, dass der Praxis-PC von einem Virus befallen sei und daher das Windows-System per Fernwartung geprüft werden müsse („Support Scam“). Die Praxisinhaberin stimmt aufgrund der professionellen und vertrauenserweckenden Gesprächsführung zu. Es findet eine Scheinprüfung statt, bei der sich der kriminelle Anrufer auf den Computer schaltet. Anschließend wird ein kostenpflichtiges Schutzprogramm angeboten. Die Praxisinhaberin schöpft Verdacht und beendet das Telefonat und die Fernwartung.

Risiko

Es ist nicht auszuschließen, dass der Praxis-PC und andere Endgerät sowie das Netzwerk ausgespäht wurden. Datendiebstahl oder Datenmanipulation sind wahrscheinlich.

Reaktion

Die Praxisinhaberin ruft ihren IT-Dienstleister an und die Netzwerkverbindung des betroffenen Computers wird sofort gekappt, um Schlimmeres zu verhindern.

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

• Der IT-Dienstleister nimmt eine komplette Neuinstallation des Computers vor und spielt die Datensicherung des Vortags auf.
• Es erfolgt eine Meldung an die Polizei und eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 Datenschutzgrundverordnung).
• Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).

Tipps zur Prävention

• Polizei, Microsoft, Apple und sonstige Firmen und Behörden würden niemals einen Fernzugriff auf ein IT-Endgerät verlangen – bei einem solchen Anruf einfach auflegen.

Social Engineering: Cyber-Kriminelle nutzen persönliche Kontakte zu Menschen, um sie dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren. Diese Methode der Manipulation heißt Social Engineering.

Beschreibung

Während mit dem Internet-Browser gearbeitet wird, erscheint folgender Hinweis: „Der Server meldet: Windows wurde aufgrund verdächtiger Aktivitäten blockiert. Bitte rufen Sie uns an: 032-221-850-307!“ In der Warnmeldung wird der Praxismitarbeiter dazu aufgefordert, seinen Windows-Benutzernamen und das Kennwort einzugeben. Das Fenster lässt sich nicht schließen und es ertönt ein anhaltender Warnton. Der Mitarbeiter ruft bei der Hotline an und wird zu einer Fernwartung überredet: Die Betrüger greifen dabei auf den Computer zu und geben vor, dass System zu prüfen. Irgendwann schöpft der Praxismitarbeiter Verdacht und legt auf.

Risiko

Es kann nicht ausgeschlossen werden, dass der Praxis-PC und das Netzwerk aus-gespäht wurden. Ein Datendiebstahl oder eine Datenmanipulation sind wahr-scheinlich.

Reaktion

Der Praxismitarbeiter schaltet den Computer über den Ein-/Ausschalter ohne Herunterfahren aus („Hartes Ausschalten“) und ruft den IT-Dienstleister an.

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

• Der IT-Dienstleister nimmt eine komplette Neuinstallation des Computers vor und spielt die Datensicherung des Vortags auf.
• Es erfolgt eine Meldung an die Polizei und eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 Datenschutzgrundverordnung).
• Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).

Tipps zur Prävention

• Das Risiko-Bewusstsein beim Praxisteam kann durch Aufklärung und Schulungen geschärft werden. Dabei werden Bedrohungen und Sicherheitsvorkehrungen kennengelernt, um im Ernstfall eine gefährliche Mischung aus Panik und Unwissen zu minimieren.

Beschreibung

In einer Praxis läuft dauerhaft ein Computer, auf den von Zuhause aus zugegrif-fen werden kann – über das Internet und den von Microsoft bereitgestellten Dienst Remote Desktop Protocol (RDP). An einem Morgen lässt sich in der ge-samten Praxis nicht mehr auf den Server zugreifen und das Praxisverwaltungssystem nicht starten. Auch auf dem Fernzugriff-Computer können lokal abgelegte Dokumente nicht geöffnet werden. Höchstwahrscheinlich ist über den RDP-Zugang ein digitaler Einbruchsversuch gelungen und die Cyber-Kriminellen haben mit Ransomware zugeschlagen. Es ist kein normaler Praxisbetrieb möglich (kein Zugriff auf Patientenakten, Terminkalender, Adressen, Formulare, etc.) und Patientinnen und Patienten müssen nach Hause geschickt werden.

Risiko

Auch wenn es keine Erpressung gibt, ist die Vertraulichkeit von Patientendaten möglicherweise gefährdet. Nicht alle patientenbezogenen Dokumente lagen innerhalb einer verschlüsselten Datenbank und sind damit nur unzureichend gegen Einsichtnahme und Diebstahl geschützt.

Reaktion

Die Praxis ruft ihren IT-Dienstleister an, es werden keine weiteren Computer im Netzwerk gestartet, der Fernzugriff-PC wird vom Netz getrennt und der RDP-Zugriff deaktiviert.

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

• Der IT-Dienstleister nimmt eine komplette Neuinstallation des Servers und des Fernzugriff-Computers vor und spielt die Datensicherung des Vortags auf.
• Es erfolgt ein Virenscan und eine Sicherheitsprüfung weiterer, auch scheinbar nicht betroffener Arbeitsstationen sowie von Druckern, Geräten der Telema-tikinfrastruktur, etc.
• Es erfolgt eine Meldung an die Polizei und eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 Datenschutzgrundverordnung).
• Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).

Tipps zur Prävention

• Von Fernzugriffsmöglichkeiten auf die Praxis-IT mittels RDP über das ungesicherte Internet ist dringend abzuraten. Falls ein Fernzugriff erforderlich ist, sollte dieser mittels Zugang über ein professionelles Virtuelles Privates Netzwerk (VPN) gesichert sein.
• Die Praxis sollte gemeinsam mit einem IT-Dienstleister prüfen, welche Daten wo liegen und wie sie abgesichert werden. Gegebenenfalls sollten sie zusammengelegt und verschlüsselt werden.

Beschreibung

Eine Praxis speichert täglich die eigenen Dateien und ein Back-up des Praxisverwaltungssystems auf USB-Sticks (Standard-Geräte ohne zusätzliche Sicherheitsfeatures). Ein Stick wird am Ende des Tages mit nach Hause genommen, ein zweiter Stick bleibt als Tagessicherung in der Praxis. Die Daten werden ohne weitere Maßnahmen zum Schutz der Vertraulichkeit abgespeichert. An einem Tag geht der eine USB-Stick auf dem Heimweg verloren.

Risiko

Durch den Verlust des USB-Sticks wurden die Daten offengelegt, eine Korrektur ist nicht mehr möglich. Es besteht ein hohes Risiko für die Patientendaten, persönliche Rechte und Freiheiten sind unmittelbar betroffen.

Reaktion

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

• Der Verlust wird der Polizei und der Versicherung gemeldet.
• Nach Anraten der Polizei wurde der IT-Dienstleister zwecks Datenschutz/Datensicherheitsmaßnahmen eingeschaltet. Es werden zwei sichere externe Festplatten mit USB-Anschluss angeschafft und weitere Konfigurationen des Praxis-Computers vorgenommen.
• Die betroffenen Patientinnen und Patienten werden unverzüglich benachrichtigt (nach Art. 34 Datenschutzgrundverordnung).
• Es erfolgte eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 Datenschutzgrundverordnung).
• Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).

Tipps zur Prävention

• Zusätzliche externe Datensicherungen sind absolut notwendig, müssen aber hinreichend gesichert werden (z.B. Speichermedien, die eigene Verschlüsselung mitbringen).