Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 

Praxisnachrichten

IT-Sicherheit: Beispiele und Tipps für Praxen zum Umgang mit Cyber-Kriminalität

11.11.2021 - Angesichts einer steigenden Bedrohung durch Cyber-Kriminelle hat die KBV Beispiele aus der Praxis zusammengestellt. Sie sollen für das Thema sensibilisieren und Handlungsoptionen für den Ernstfall aufzeigen. Eine große Rolle bei der Prävention spielen Aufklärung und Fehlerkultur im Praxisteam.

Die Vorgehensweise der Hacker ähnelt sich und häufig findet ungewollt eine aktive „Mitarbeit“ der Betroffenen selbst statt – zum Beispiel durch Anklicken eines Links in einer E-Mail. In der Folge eines Angriffs werden etwa Zugänge gesperrt, Daten geklaut, verschlüsselt und anschließend ein „Lösegeld“ gefordert.

Fünf reale Beispiele aus der Praxis hat die KBV jetzt in einer Praxisinformation zusammengestellt. Die Vorfälle reichen von einem unberechtigten Zugriff auf den DSL-Router und das WLAN über manipulativen Support-Betrug bis hin zum Verlust der Praxis-Datensicherung auf einem USB-Stick auf dem Heimweg.

Darüber hinaus werden Tipps zur Prävention gegeben. Eine wichtige Säule stellt dabei die IT-Sicherheitsrichtlinie der KBV dar, die jeweils an die aktuelle Bedrohungslage angepasst wird (siehe Infokasten unten).

Fehlerkultur verbessern

Eine weitere wirkungsvolle Maßnahme, die Praxen eigenständig durchführen können, ist die Etablierung einer transparenten und vertrauensvollen Fehlerkultur im Team.

Hierdurch lässt sich wichtige Präventionsarbeit leisten und potenzieller Schaden begrenzen. Denn Vertuschen oder Verschweigen von Fehlern kann zu einer weiteren Verbreitung von Malware führen. Es ist daher wichtig, dass Fehler wie versehentliche und unbedachte Klicks sofort eingestanden werden.

Aktueller Cyber-Angriff bei medatixx

Die Bedrohung für IT-Systeme im Gesundheitswesen steigt ständig. Erst dieser Tage wurde beispielsweise der Softwareanbieter medatixx Opfer eines Cyber-Angriffs, bei dem wichtige Teile der internen IT-Systeme verschlüsselt wurden. Der Angriff richtete sich nach Firmenangaben gegen das Unternehmen und nicht gegen dessen Kunden. Dennoch empfiehlt medatixx seinen Kunden, alle Passwörter zu ändern (Hinweise des Unternehmens).

IT-Sicherheitsrichtlinie

Die KBV hat im Auftrag des Gesetzgebers eine IT-Sicherheitsrichtlinie entwickelt. Darin wird das Mindestmaß der zu ergreifenden Maßnahmen beschrieben, um die IT-Sicherheit in Praxen zu gewährleisten. Die Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Praxen noch besser zu schützen.

Sie wollen sich detailliert zu den einzelnen Sicherheitsanforderungen informieren oder suchen Musterdokumente? Dann nutzen Sie den Hub der KBV.

Einen Überblick zur IT-Sicherheitsrichtlinie finden Sie zudem in einem Serviceheft aus der Reihe PraxisWissen. Darin werden wichtige Schritte, Fristen und Anforderungen vorgestellt. Außerdem bietet es eine Checkliste, Beispiele und Praxis-Tipps sowie weiterführende Informationen.

Übersicht: Zertifizierte IT-Dienstleister

Die KBV veröffentlicht eine Liste der IT-Dienstleister, die speziell für die Umsetzung der Vorgaben aus der IT-Sicherheitsrichtlinie zertifiziert wurden. Dies ist ein optionales Angebot. Praxisinhaberinnen und -inhaber können sich auch für einen nicht zertifizierten Dienstleister entscheiden, wenn sie sich Hilfe holen möchten.

Beispiele und Hinweise

Beispiel 1: Unberechtigter Zugriff auf DSL-Router

Beschreibung

Eine Praxis hat ihren DSL-Router im Flur stehen. Durch Zufall wird festgestellt, dass sich fremde Smartphones in das Netzwerk eingewählt haben (im Systemprotokoll aufgelistet). Offenbar wurden die aufgedruckten Zugangsdaten des Routers dafür benutzt, sich Zugang zum Router und/oder dem WLAN zu verschaffen.

Risiko

Ein direkter Einfluss auf die Prozesse, Geräte und Patientendaten der Praxis kann nicht festgestellt werden. Dennoch ist eine Manipulation von Praxis-Endgeräten im WLAN und eine Offenlegung von Patientendaten nicht auszuschließen. Im günstigsten Falle wurde der Zugang nur für das Surfen im Internet missbraucht.

Reaktion

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

  • Der IT-Dienstleister wird beauftragt, den DSL-Router auf Werkseinstellungen zurückzusetzen.
  • Es werden sichere, individuelle Kennwörter und ein neuer Netzwerkschlüssel für den Zugriff auf den Router vergeben.
  • Für Patientinnen und Patienten sowie andere externe Personen wird ein Gast-WLAN eingerichtet.
  • Der Router wird in einem abschließbaren Raum aufgestellt und alle dezentralen technischen Komponenten der Telematikinfrastruktur, zum Beispiel der Konnektor, in demselben Raum untergebracht.
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).

Tipps zur Prävention

  • Router nie bei den Standard-Einstellungen belassen.
  • Geräte wie DSL-Router restriktiv konfigurieren, zum Beispiel WPS-Tastenfunktion deaktivieren, mit der ansonsten mittels Knopfdruck am Router eine unkomplizierte Verbindung eines Gerätes mit dem WLAN möglich ist.
  • Wichtige Geräte räumlich vor dem Zugriff durch Dritte schützen.

Beispiel 2: Support-Betrug durch Anruf

Beschreibung

Eine Praxis erhält einen Anruf – angeblich von der Firma Microsoft. Der Mitarbeiter behauptet, dass der Praxis-PC von einem Virus befallen sei und daher das Windows-System per Fernwartung geprüft werden müsse („Support Scam“). Die Praxisinhaberin stimmt aufgrund der professionellen und vertrauenserweckenden Gesprächsführung zu. Es findet eine Scheinprüfung statt, bei der sich der kriminelle Anrufer auf den Computer schaltet. Anschließend wird ein kostenpflichtiges Schutzprogramm angeboten. Die Praxisinhaberin schöpft Verdacht und beendet das Telefonat und die Fernwartung.

Risiko

Es ist nicht auszuschließen, dass der Praxis-PC und andere Endgerät sowie das Netzwerk ausgespäht wurden. Datendiebstahl oder Datenmanipulation sind wahrscheinlich.

Reaktion

Die Praxisinhaberin ruft ihren IT-Dienstleister an und die Netzwerkverbindung des betroffenen Computers wird sofort gekappt, um Schlimmeres zu verhindern.

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

  • Der IT-Dienstleister nimmt eine komplette Neuinstallation des Computers vor und spielt die Datensicherung des Vortags auf.
  • Es erfolgt eine Meldung an die Polizei und eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 Datenschutzgrundverordnung).
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).

Tipps zur Prävention

  • Polizei, Microsoft, Apple und sonstige Firmen und Behörden würden niemals einen Fernzugriff auf ein IT-Endgerät verlangen – bei einem solchen Anruf einfach auflegen.

Social Engineering: Cyber-Kriminelle nutzen persönliche Kontakte zu Menschen, um sie dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren. Diese Methode der Manipulation heißt Social Engineering.

Beispiel 3: Support-Betrug durch Warnmeldung im Browser

Beschreibung

Während mit dem Internet-Browser gearbeitet wird, erscheint folgender Hinweis: „Der Server meldet: Windows wurde aufgrund verdächtiger Aktivitäten blockiert. Bitte rufen Sie uns an: 032-221-850-307!“ In der Warnmeldung wird der Praxismitarbeiter dazu aufgefordert, seinen Windows-Benutzernamen und das Kennwort einzugeben. Das Fenster lässt sich nicht schließen und es ertönt ein anhaltender Warnton. Der Mitarbeiter ruft bei der Hotline an und wird zu einer Fernwartung überredet: Die Betrüger greifen dabei auf den Computer zu und geben vor, dass System zu prüfen. Irgendwann schöpft der Praxismitarbeiter Verdacht und legt auf.

Risiko

Es kann nicht ausgeschlossen werden, dass der Praxis-PC und das Netzwerk aus-gespäht wurden. Ein Datendiebstahl oder eine Datenmanipulation sind wahr-scheinlich.

Reaktion

Der Praxismitarbeiter schaltet den Computer über den Ein-/Ausschalter ohne Herunterfahren aus („Hartes Ausschalten“) und ruft den IT-Dienstleister an.

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

  • Der IT-Dienstleister nimmt eine komplette Neuinstallation des Computers vor und spielt die Datensicherung des Vortags auf.
  • Es erfolgt eine Meldung an die Polizei und eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 Datenschutzgrundverordnung).
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).

Tipps zur Prävention

  • Das Risiko-Bewusstsein beim Praxisteam kann durch Aufklärung und Schulungen geschärft werden. Dabei werden Bedrohungen und Sicherheitsvorkehrungen kennengelernt, um im Ernstfall eine gefährliche Mischung aus Panik und Unwissen zu minimieren.

Beispiel 4: Digitaler Einbruch über Fernzugang der Praxis

Beschreibung

In einer Praxis läuft dauerhaft ein Computer, auf den von Zuhause aus zugegrif-fen werden kann – über das Internet und den von Microsoft bereitgestellten Dienst Remote Desktop Protocol (RDP). An einem Morgen lässt sich in der ge-samten Praxis nicht mehr auf den Server zugreifen und das Praxisverwaltungssystem nicht starten. Auch auf dem Fernzugriff-Computer können lokal abgelegte Dokumente nicht geöffnet werden. Höchstwahrscheinlich ist über den RDP-Zugang ein digitaler Einbruchsversuch gelungen und die Cyber-Kriminellen haben mit Ransomware zugeschlagen. Es ist kein normaler Praxisbetrieb möglich (kein Zugriff auf Patientenakten, Terminkalender, Adressen, Formulare, etc.) und Patientinnen und Patienten müssen nach Hause geschickt werden.

Risiko

Auch wenn es keine Erpressung gibt, ist die Vertraulichkeit von Patientendaten möglicherweise gefährdet. Nicht alle patientenbezogenen Dokumente lagen innerhalb einer verschlüsselten Datenbank und sind damit nur unzureichend gegen Einsichtnahme und Diebstahl geschützt.

Reaktion

Die Praxis ruft ihren IT-Dienstleister an, es werden keine weiteren Computer im Netzwerk gestartet, der Fernzugriff-PC wird vom Netz getrennt und der RDP-Zugriff deaktiviert.

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

  • Der IT-Dienstleister nimmt eine komplette Neuinstallation des Servers und des Fernzugriff-Computers vor und spielt die Datensicherung des Vortags auf.
  • Es erfolgt ein Virenscan und eine Sicherheitsprüfung weiterer, auch scheinbar nicht betroffener Arbeitsstationen sowie von Druckern, Geräten der Telema-tikinfrastruktur, etc.
  • Es erfolgt eine Meldung an die Polizei und eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 Datenschutzgrundverordnung).
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).

Tipps zur Prävention

  • Von Fernzugriffsmöglichkeiten auf die Praxis-IT mittels RDP über das ungesicherte Internet ist dringend abzuraten. Falls ein Fernzugriff erforderlich ist, sollte dieser mittels Zugang über ein professionelles Virtuelles Privates Netzwerk (VPN) gesichert sein.
  • Die Praxis sollte gemeinsam mit einem IT-Dienstleister prüfen, welche Daten wo liegen und wie sie abgesichert werden. Gegebenenfalls sollten sie zusammengelegt und verschlüsselt werden.

Beispiel 5: Verlust einer unverschlüsselten Datensicherung

Beschreibung

Eine Praxis speichert täglich die eigenen Dateien und ein Back-up des Praxisverwaltungssystems auf USB-Sticks (Standard-Geräte ohne zusätzliche Sicherheitsfeatures). Ein Stick wird am Ende des Tages mit nach Hause genommen, ein zweiter Stick bleibt als Tagessicherung in der Praxis. Die Daten werden ohne weitere Maßnahmen zum Schutz der Vertraulichkeit abgespeichert. An einem Tag geht der eine USB-Stick auf dem Heimweg verloren.

Risiko

Durch den Verlust des USB-Sticks wurden die Daten offengelegt, eine Korrektur ist nicht mehr möglich. Es besteht ein hohes Risiko für die Patientendaten, persönliche Rechte und Freiheiten sind unmittelbar betroffen.

Reaktion

Im Anschluss an den Vorfall werden folgende Schritte unternommen:

  • Der Verlust wird der Polizei und der Versicherung gemeldet.
  • Nach Anraten der Polizei wurde der IT-Dienstleister zwecks Datenschutz/Datensicherheitsmaßnahmen eingeschaltet. Es werden zwei sichere externe Festplatten mit USB-Anschluss angeschafft und weitere Konfigurationen des Praxis-Computers vorgenommen.
  • Die betroffenen Patientinnen und Patienten werden unverzüglich benachrichtigt (nach Art. 34 Datenschutzgrundverordnung).
  • Es erfolgte eine Meldung innerhalb von 72 Stunden an die Landesdatenschutzbehörde (nach Art. 33 Datenschutzgrundverordnung).
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).

Tipps zur Prävention

  • Zusätzliche externe Datensicherungen sind absolut notwendig, müssen aber hinreichend gesichert werden (z.B. Speichermedien, die eigene Verschlüsselung mitbringen).

Mehr zum Thema

zu den PraxisNachrichten