Cyberangriffe per E-Mail verhindern

So schnell eine E-Mail eingeht, so schnell kann sie Schaden anrichten. Oftmals verschicken Cyberkriminelle den Schadcode direkt in der E-Mail oder sie wollen den Empfänger verleiten, auf einen HTML-Link zu klicken, der auf eine kompromittierte Website führt.

Der Schadcode kann auch im Dateianhang versteckt sein, der komprimiert („gezippt“) wurde, um der Schadcode-Erkennung der Antivirensoftware zu entgehen. Oder der Schadcode geht als „aktiver“ Inhalt oder als ausführbare Datei auf dem Praxisrechner ein. 

Angriffsfläche begrenzen

Für Praxen ist daher in erster Linie wichtig, die Angriffsfläche zu begrenzen – zum einen, indem sie die Einstellungen ihres E-Mail-Programms prüfen und gegebenenfalls anpassen. Und zum anderen, indem sie regeln, wie die eigene Praxis mit Spam bei E-Mails umgeht.

Spam sind unerwünschte, massenhaft versendete Mitteilungen mit Werbung oder vermeintlichen Gewinnen, die häufig per E-Mail erfolgen. Spam kann harmlos sein, wie unerwünschte Werbung, aber auch betrügerische Absichten verfolgen – beispielsweise das Einschleusen von Schadsoftware (Malware) oder den Versuch, an Passwörter und ähnliche Informationen zu kommen, indem sich Absender als vertrauenswürdige Quellen ausgeben (Phishing).

E-Mail-Programm sicher einrichten

Um die Angriffsfläche zu begrenzen, muss das in der Praxis verwendete E-Mail-Programm sicher eingerichtet werden. Das heißt, das E-Mail-Programm ist so einzustellen, dass sowohl die Server gesichert sind, die die E-Mail-Dienste bereitstellen (E-Mail-Server) als auch die Rechner, die auf den Dienst zugreifen (E-Mail-Clients).

Verantwortlich für die IT-Sicherheit der Praxis ist stets der Praxisinhaber oder die Praxisinhaberin. Er oder sie muss die technischen Vorkehrungen treffen beziehungsweise den IT-Dienstleister entsprechend beauftragen, dies zu tun.

Technische Vorkehrung: Prüfung der E-Mail auf Schadsoftware

Die IT-Sicherheitsrichtlinie der KBV enthält einige Anforderungen zu E-Mails. Demnach müssen alle Praxisinhaber, sofern sie mit einem E-Mail-Programm arbeiten, dafür sorgen, dass ihre E-Mail-Clients sicher eingestellt (konfiguriert) sind.

Doch was genau ist dafür zu tun? Die Sicherheitsrichtlinie gibt hier drei Aspekte vor, die bei der Einrichtung des E-Mail-Programms mindestens zu berücksichtigen sind.

Dazu gehört, dass Dateianhänge von E-Mails vor dem Öffnen auf Schadsoftware geprüft werden sollten. Auch sollte deaktiviert werden, dass die automatische Interpretation von HTML-Codes und anderen aktiven Inhalten in E-Mails erfolgt. Und zur Kommunikation mit E-Mail-Servern über nicht vertrauenswürdige Netze sollte eine sichere Transportverschlüsselung eingesetzt werden. Dies sind die Mindestanforderungen an alle Praxen.

Große Praxen, die einen E-Mail-Server betreiben, müssen weitere Maßnahmen ergreifen (siehe unten „Große Praxen müssen mehr tun“).

Praxisteam sensibilisieren und Bewusstsein für Gefahren schaffen

Das E-Mail-Programm sicher einzurichten, ist eine Maßnahme, um die Angriffsfläche gering zu halten. Wichtig ist zugleich, die Praxisangestellten zu sensibilisieren. Sie sollten auf mögliche Gefahren bei der Arbeit mit E-Mails aufmerksam gemacht werden und eine gewisse Grundskepsis im Umgang mit E-Mails entwickeln.

Grundskepsis im Umgang mit E-Mails

Sinnvoll kann es sein, sich bei Unsicherheit zu fragen: Ist der Absender bekannt? Gibt es Auffälligkeiten in der E-Mail-Adresse, zum Beispiel Buchstabendreher? Ist der Betreff sinnvoll? Wird von diesem Absender ein Dateianhang erwartet?

Ratsam ist es, sich beim Bearbeiten der E-Mails nicht unter Druck zu setzen. Auch wenn der Inhalt der E-Mail mit Formulierungen wie „DRINGLICH!“ oder „Wichtige Information – sofort lesen!“ dazu verleiten soll, umgehend den Dateianhang zu öffnen oder auf einen Link zu klicken, sollte man skeptisch sein.

Spam ignorieren und löschen

Die KBV empfiehlt, Spam-E-Mails grundsätzlich zu ignorieren und zu löschen. Keinesfalls sollten Praxisangestellte auf Spam-E-Mails antworten oder einem enthaltenen Link folgen. Praxisinhaberinnen und Praxisinhaber sollten ihr Team gezielt darauf hinweisen und es entsprechend sensibilisieren.

Kurzes Video zum 3-Sekunden-Sicherheits-Check

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, weist auf einen schnellen Sicherheits-Check hin, um das Risiko zu mindern, und bietet hierzu das Video: „In 3 Sekunden mehr E-Mail-Sicherheit“ an (siehe „Weitere Informationen“).

KBV bietet vielfältige Unterstützung

Die KBV bietet alle Informationen auf einer zentralen Online-Plattform, dem „Hub zur IT-Sicherheit“. Interessierte können sich dort über die technischen Anforderungen und notwendigen Schutzmaßnahmen informieren, auch im Umgang mit E-Mails. Mehrere Musterdokumente sowie Fragen und Antworten ergänzen das Angebot.

Zur Unterstützung der Praxen steht Schulungsmaterial für Praxisangestellte bereit. Außerdem gibt es eine zertifizierte Online-Fortbildung für Ärzte und Psychotherapeuten im KBV-Fortbildungsportal. Einen kompakten Überblick bietet darüber hinaus das Serviceheft „IT-Sicherheit“ in der Reihe PraxisWissen der KBV.

Der nächste Teil unserer Serie zur IT-Sicherheit erscheint am 2. Oktober. Thema ist das Verhalten bei einem Sicherheitsvorfall.

Hinweise für große Praxen mit E-Mail-Server

Praxen, in denen mehr als 20 Personen ständig Daten verarbeiten oder wo besonders viele Daten verarbeitet werden (z. B. Groß-Labor, Groß-MVZ mit krankenhausähnlicher Struktur), müssen auch in puncto E-Mail-Sicherheit mehr tun, sofern sie einen eigenen E-Mail-Server betreiben und nicht bloß die Dienste der verbreiteten E-Mail-Anbieter in Anspruch nehmen.

Unter „Datenverarbeitung“ werden Tätigkeiten zusammengefasst wie das Erheben und Abfragen, Ordnen, Speichern, Anpassen und Ändern, Auslesen und Weiterleiten, Löschen und Vernichten der Daten. In Arzt- und Psychotherapiepraxen beginnt dies quasi bei der Terminvereinbarung am Telefon oder per E-Mail oder beim Einlesen der elektronischen Gesundheitskarte.

Nachfolgend einige Beispiele:

E-Mail-Server muss Transportverschlüsselung ermöglichen

Der selbst betriebene E-Mail-Server muss eine sichere Transportverschlüsselung für das Senden und Empfangen von E-Mails ermöglichen. Auch muss er so eingestellt werden, dass er nicht als sogenannter Spam-Relay missbraucht werden kann.

In einem solchen Fall benutzen Betrüger („Spammer“) den Server dazu, dass dieser massenhaft E Mails ohne Überprüfung von Absender oder Empfänger an beliebige E-Mail-Adressen weiterleitet.

Die tatsächliche IP-Adresse der Spammer bleibt hierbei im Dunkeln. Dies gefährdet Sicherheit, Vertrauenswürdigkeit und Zuverlässigkeit. Um das Risiko für die Praxis zu minimieren, sollte der eigene E-Mail-Server deshalb so eingestellt werden, dass nur authentifizierte Benutzer E-Mails senden und empfangen können.

Schutz vor Attacken, die E-Mail-Server lahmlegen

Große Praxen müssen außerdem Schutzmechanismen gegen sogenannte „Denial-of-Service-Attacken“ (kurz: DoS-Attacken) ergreifen.

Ziel solcher Attacken ist es, dass der E-Mail-Server der Praxis von Cyberkriminellen mit Anfragen geflutet und lahmgelegt wird, sodass die reguläre Praxisarbeit nicht mehr möglich ist.

Hilfreich kann hier eine Firewall mit der entsprechenden Funktionalität sein, um zu viele Anfragen innerhalb einer gewissen Zeitspanne von einzelnen IP-Adressen bis IP-Adressbereichen zu verhindern.

Überprüfung der E-Mails und Sicherung der Daten

Außerdem sind Inhaberinnen und Inhaber großer Praxen verpflichtet, die Daten der E Mail-Server und E-Mail-Clients regelmäßig und verschlüsselt zu sichern. Sie müssen auch dafür sorgen, dass ein- und ausgehende E Mails und deren Anhänge auf Spam-Merkmale und schädliche Inhalte überprüft werden.