5 reale Beispiele von IT-Angriffen auf die Arztpraxis
Cyber-Attacken bedrohen längst nicht nur große Unternehmen und die kritische Infrastruktur. Hacker haben auch die Arztpraxis im Visier. Wir stellen 5 reale Beispiele von IT-Angriffen auf die Arztpraxis vor und geben Tipps zum Schutz.
Beispiel 1: Zugriff auf DSL-Router
Der DSL-Router einer Praxis steht im Flur. Durch Zufall stellt das Praxisteam fest, dass sich fremde Smartphones in das Netzwerk eingewählt haben. Die Zugriffe sind im Systemprotokoll aufgelistet.
Dieser Fehler wurde gemacht
Auf dem DSL-Router waren die Zugangsdaten aufgedruckt. Eine unbekannte Person hat diese Daten genutzt, um sich Zugang zum Router bzw. dem WLAN zu verschaffen.
Dieses Risiko besteht
Wenn die Praxis Glück hatte, wollte einfach nur ein Patient über das Praxis-WLAN im Internet surfen.
Im schlechteren Fall wurden über den DSL-Zugang Praxis-PCs oder andere Endgeräte, die mit dem WLAN verbunden sind, kompromittiert. Die schlimmstmögliche Folge: Ein Angreifer hat dadurch Zugang zu Patientendaten erhalten.
- Der IT-Dienstleister setzt den Router auf Werkseinstellungen zurück.
- Es werden sichere, individuelle Kennwörter und ein neuer Netzwerkschlüssel für den Zugriff auf den Router vergeben.
- Für Patienten wird ein Gast-WLAN eingerichtet.
- Der Router und alle dezentralen technischen Komponenten der Telematikinfrastruktur (z. B. der Konnektor) werden in einen abschließbaren Raum untergebracht.
- Der Vorfall wird protokolliert.
Belassen Sie Ihre Router nie bei den Standard-Einstellungen. Seien Sie restriktiv bei der Konfiguration: Deaktivieren Sie z. B. die WPS-Tastenfunktion, mit der ansonsten per Knopfdruck am Router eine unkomplizierte Verbindung eines Gerätes mit dem WLAN möglich ist.
Schützen Sie wichtige Geräte vor dem Zugriff durch Dritte, indem Sie sie in separaten, abgeschlossenen Räumen aufbewahren.
Beispiel 2: Support-Betrug durch Anruf
Eine Praxis erhält einen Anruf – angeblich von der Firma Microsoft. Der Anrufer behauptet, dass der Praxis-PC von einem Virus befallen sei. Das Windows-Betriebssystem müsse per Fernwartung geprüft werden.
Dieser Fehler wurde gemacht
Die Praxisinhaberin fällt auf den professionell wirkenden Hacker herein. Sie lässt die Fernwartung zu. Nach einer Scheinprüfung bietet der Anrufer ihr ein kostenpflichtiges Schutzprogramm an.
Nun erst schöpft sie Verdacht. Sie beendet das Telefonat und die Fernwartung.
Dieses Risiko besteht
Das Risiko von Datendiebstahl oder Datenmanipulation ist hoch. Es ist wahrscheinlich, dass im Zuge der Fernwartung Schadsoftware installiert wurde, mit der z. B. Patientendaten ausgespäht werden können.
- Die Praxisinhaberin ruft ihren IT-Dienstleister an. Die Netzwerkverbindung des betroffenen Computers wird sofort gekappt, um Schlimmeres zu verhindern.
- Der IT-Dienstleister nimmt eine komplette Neuinstallation des Computers vor. Die Daten werden mit dem jüngsten Backup (vom Vortag) wiederhergestellt.
- Die Praxis meldet den IT-Angriff an die Polizei und an die Landesdatenschutzbehörde (innerhalb von 72 Stunden).
- Der Vorfall wird protokolliert.
Legen Sie bei solchen Anrufen auf. Bei dieser Art von Anruf handelt es sich um eine häufige Masche von IT-Kriminellen, den „Support Scam“. Firmen wie Microsoft oder Google würden nie bei Ihnen anrufen und niemals um Daten oder eine Fernwartung bitten.
Beispiel 3: Support-Betrug durch Warnmeldung im Browser
Eine Praxismitarbeiterin öffnet den Internet-Browser Microsoft Edge. Ein Hinweis ploppt auf: „Der Server meldet: Windows wurde aufgrund verdächtiger Aktivitäten blockiert. Bitte rufen Sie uns an: 032-221-850-307“.
Die Praxismitarbeiterin wird in einem Fenster aufgefordert, ihren Windows-Benutzernamen und das Kennwort einzugeben. Das Fenster lässt sich nicht schließen. Ein Dauer-Warnton erklingt.
Dieser Fehler wurde gemacht
Die Mitarbeiterin ruft die angezeigte Nummer an. Sie wird zu einer Fernwartung überredet.
Dieses Risiko besteht
Das Risiko von Datendiebstahl oder Datenmanipulation ist hoch. Es ist wahrscheinlich, dass im Zuge der Fernwartung Schadsoftware installiert wurde, mit der z. B. Netzwerk und Patientendaten ausgespäht werden können.
- Die Praxismitarbeiterin schaltet den Computer über den Ein-/Ausschalter ohne Herunterfahren aus („hartes Ausschalten“) und ruft den IT-Dienstleister an.
- Der IT-Dienstleister nimmt eine komplette Neuinstallation des Computers vor. Die Daten werden mit dem jüngsten Backup (vom Vortag) wiederhergestellt.
- Die Praxis meldet den IT-Angriff an die Polizei und an die Landesdatenschutzbehörde (innerhalb von 72 Stunden).
- Der Vorfall wird protokolliert.
Schulen Sie Ihr Team regelmäßig zum richtigen Verhalten bei IT-Problemen. So verhindern Sie u. a. unkluge Stressreaktionen.
Nutzen Sie auch unsere Webinare in Kooperation mit den Landeskriminalämtern. Aktuelle Termine finden Sie unter Veranstaltungen.
Beispiel 4: Ransomware über Fernzugang
Eines Morgens steht der Praxis-Server still. Es sind keine Zugriffe auf den Server möglich. Das Praxisverwaltungssystem startet nicht. Auf einem zweiten Computer, der den Fernzugriff von zuhause ermöglicht, können lokal abgelegte Dokumente nicht geöffnet werden.
Es ist kein normaler Praxisbetrieb möglich. Alle Patienten müssen nach Hause geschickt werden.
Dieser Fehler wurde gemacht
Der Praxisinhaber hatte einen separaten Computer, auf den von zuhause aus zugegriffen werden kann – über das Internet und den von Microsoft bereitgestellten Dienst Remote Desktop Protocol (RDP).
Höchstwahrscheinlich sind Hacker über diesen RDP-Zugang ins System gelangt und haben Ransomware installiert. (In diesem Beitrag erklären wir, was Ransomware ist.)
Dieses Risiko besteht
Die Kriminellen könnten Zugriff auf Patientendaten erhalten haben. Unter Umständen stellen sie auch eine Lösegeld-Forderung, um das System zu entschlüsseln.
- Alle Computer werden ausgeschaltet. Der Fernzugriff-PC wird vom Netz getrennt und der RDP-Zugriff deaktiviert.
- Der IT-Dienstleister nimmt eine komplette Neuinstallation des Servers und des Fernzugriff-Computers vor. Die Daten werden mit dem jüngsten Backup (vom Vortag) wiederhergestellt.
- Der IT-Dienstleister führt einen Virenscan und eine Sicherheitsprüfung bei allen mit dem Server verbundenen Geräten (Drucker, Telematik-Infrastruktur etc.) durch.
- Die Praxis meldet den IT-Angriff an die Polizei und an die Landesdatenschutzbehörde (innerhalb von 72 Stunden).
- Der Vorfall wird protokolliert.
Nutzen Sie niemals RDP für einen Fernzugriff. Richten Sie stattdessen professionelles Virtuelles Privates Netzwerk (VPN) ein.
Prüfen Sie mit Ihrem IT-Dienstleister, welche Daten wo gespeichert werden und wie sie geschützt sind. Unter Umständen sollten dezentrale Daten zusammengelegt und verschlüsselt werden.
Beispiel 5: Unverschlüsseltes Backup
Eine Praxis speichert täglich die eigenen Dateien und ein Back-up des Praxisverwaltungssystems auf USB-Sticks. Ein Stick bleibt als Tagessicherung in der Praxis, der andere wird am Ende des Tages mit nach Hause genommen. Auf dem Heimweg geht dieser USB-Stick verloren.
Dieser Fehler wurde gemacht
Die Praxis nutzt handelsübliche USB-Sticks und unternimmt beim Speichern keine weiteren Maßnahmen, um die Daten zu verschlüsseln.
Dieses Risiko besteht
Mit dem Verlust des unverschlüsselten Backups wurden sensible Patientendaten veröffentlicht. Das bedeutet einen direkten Eingriff in die persönlichen Rechte und Freiheiten der betroffenen Patienten. Es handelt sich um einen schweren Verstoß gegen die DSGVO.
- Die Praxis meldet den Datenvorfall an die Polizei, die Versicherung und an die Landesdatenschutzbehörde.
- Die betroffenen Patienten werden sofort benachrichtigt.
- Die Praxis kauft zwei sichere externe Festplatten mit USB-Anschluss für die Datensicherung.
- Der Vorfall wird protokolliert.
Verschlüsseln Sie Ihre externen Backups. Nutzen Sie z. B. Speichermedien, die eigene Verschlüsselung mitbringen.
Ein eingetretener Schaden durch einen IT-Angriff lässt sich meist nicht mehr rückgängig machen. Der Schaden lässt sich aber oft noch begrenzen: durch rasches, aber besonnenes Handeln.
Sorgen Sie deshalb proaktiv für eine gute Fehlerkultur im Team. Wenn Fehler aus Angst vertuscht oder verschwiegen werden, kann das den Schaden noch vergrößern. Nutzen Sie Teamgespräche dazu, eine offene Fehlerkultur zu etablieren.
Sind Sie bereits Mitglied im Virchowbund? Dann können Sie auch unsere Musterverträge und Vorlagen zum Datenschutz kostenlos herunterladen:
- Praxisinfo „IT-Sicherheit und Cybercrime“
- Praxisinfo „Datenschutz“
- Mustervertrag zur Sicherheitstechnischen Betreuung
- Vorlage Verschwiegenheitserklärung extern (Dienstleister)
- Vorlage Verschwiegenheitserklärung intern (Mitarbeiter)
Im Praxisärzte-Blog geben wir Tipps zum Praxismanagement, zur Abrechnung und zum Arbeitsrecht. Lesen Sie hier mehr über Datenschutz oder holen Sie sich weitere Tipps, wie Sie Cybercrime in Ihrer Praxis verhindern.
Kommentare
Keine Kommentare
