Cyber-Kriminalität im Gesundheitswesen
Lösegeld zahlen? Was Praxisinhaber bei einem Hackerangriff tun können
Die Berichte von Cyberangriffen auf kleine und mittelgroße Unternehmen mehren sich. Längst sind es nicht mehr nur die großen Konzerne, auf die es die Cyberkriminellen abgesehen haben. Durch Massenangriffe versuchen sie, Schwachstellen in den IT-Systemen von Firmen zu identifizieren – Arztpraxen sind davor keineswegs gefeit. „Im Regelfall wissen die Täter beim Betreten eines Netzwerkes noch gar nicht, wer der Angegriffene ist, sondern sie nutzen einfach die existierende Sicherheitslücke“, sagt Markus Hartmann, Leiter der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW).
Die zunehmende Digitalisierung des Gesundheitswesens und der Anschluss der Praxisverwaltungssysteme (PVS) an das Internet bieten Hackern eine Angriffsfläche. „Das Risiko angegriffen zu werden, ist deutlich gestiegen, dadurch dass die Täter viel aktiver geworden sind“, berichtet der Oberstaatsanwalt. Ein Bewusstsein für Cyberrisiken sei bei den Praxen zwar vorhanden, oftmals mangele es jedoch an der konsequenten Umsetzung in Form von Cyber-Sicherheitsmaßnahmen.
IT-Sicherheitsrichtlinie ebnet den Weg
Ein wichtiger Schritt in diese Richtung wurde mit der IT-Sicherheitsrichtlinie unternommen, die die Kassenärztliche und die Kassenzahnärztliche Bundesvereinigung im Auftrag des Gesetzgebers auf den Weg gebracht haben. Die ersten Anforderungen sind zum 1. April 2021 wirksam geworden, dazu gehörten der Einsatz von Firewalls und aktuellen Virenschutzprogrammen sowie die Nutzung von verschlüsselten Internetanwendungen.
Die zweite und dritte Stufe mit weiteren Anforderungen folgten im Januar beziehungsweise Juli dieses Jahres. Die Vorgaben, die sich je nach Praxisgröße unterscheiden, sollen für ein Mindestmaß an IT-Sicherheit in den Betrieben sorgen. Angesichts des zunehmenden Online-Datenverkehrs im Gesundheitswesen wird das immer wichtiger. „Mit der Professionalisierung der Angreifer muss auch eine Professionalisierung der Verteidiger erfolgen“, erklärt Hartmann.
Alte Computer sollten nicht ans Netz
Neben sicheren Passwörtern und Benutzerkonten sollten Praxen auch Sicherheitsupdates möglichst schnell aufspielen, empfiehlt Gisa Kimmerle, Head of Cyber beim Spezialversicherer Hiscox. „Die Systeme sollten immer auf dem aktuellsten Stand sein, damit erst gar keine Schwachstellen entstehen, die Hacker ausnutzen könnten.“ Zudem sollten Praxen dafür Sorge tragen, dass Geräte, die mit alten Betriebssystemen laufen und keine Sicherheitsupdates mehr erhalten, nicht mit dem Internet verbunden sind.
Wenn es zu einem Cyberangriff kommt, sind Bandsicherungen von großer Bedeutung. Sie entscheiden darüber, wie schnell und gut ein kompromittiertes System wiederhergestellt werden kann. „Wenn kein Back-up vorhanden ist und für die Entschlüsselung der Daten eine Lösegeldforderung gestellt wird, kann es problematisch für die Praxen werden“, sagt Kimmerle. Solche Ransomware-Angriffe werden immer beliebter bei Hackern.
Zu Lösegeldzahlungen haben Versicherer und Ermittler eine klare Meinung: Sie sollten nur als letztes Mittel fließen. „Lösegeld trägt dazu bei, den Markt weiter zu befeuern“, erklärt Hartmann. Je mehr Betroffene der Forderung nachkommen, desto interessanter werde das Geschäftsfeld für die Angreifer. Zudem besteht die Gefahr für Praxen, dass sie sich strafbar machen, wenn sie eine kriminelle Vereinigung unterstützen.
Anwalt und IT-Dienstleister gehören mit ins Boot
Doch nicht nur technisch sollten die Betriebe aufrüsten. Ein wichtiger Baustein in der IT-Sicherheitsarchitektur von Unternehmen sei die Schulung der Angestellten, sagt Frank Schultz, Fachberater für Cyberrisiken beim Versicherungsmakler Ecclesia med. „Gut geschulte und aufmerksame Mitarbeiterinnen und Mitarbeiter können viele Attacken verhindern, indem sie keine E-Mail-Anhänge öffnen oder nicht auf Links klicken, die ihnen in einer E-Mail angeboten werden.“ Praxisinhaberinnen und -inhaber sollten den Ernstfall einmal gedanklich durchspielen und die einzelnen Schritte verschriftlichen, empfiehlt die Cyberexpertin Kimmerle. Dieser Krisenplan beinhaltet unter anderem Kontaktdaten zu einem IT-Dienstleister, der die Systeme der Praxis bereits kennt, und zu einem Anwalt, der bei Abfluss von sensiblen Kundendaten mit den Meldepflichten und Fristen vertraut ist.
Um sich gegen die finanziellen Folgen eines Cyberangriffs abzusichern, können Arztpraxen Cyberversicherungen abschließen. Zuletzt hatte es in dieser Sparte aufgrund von hohen Schäden starke Preisanstiege gegeben. Unternehmen mussten für den Versicherungsschutz deutlich tiefer in die Tasche greifen. Für Arztpraxen gibt Kimmerle Entwarnung. „Im Bereich der kleineren Unternehmen mit einem Umsatz von bis zu 10 Millionen Euro ist es noch verhältnismäßig einfach, Versicherungsschutz zu bekommen“, versichert sie.
Um eine Cyberversicherung zu erhalten, müssen Praxen wie auch andere Unternehmen inzwischen aber bestimmte Mindestanforderungen bei der IT-Sicherheit erfüllen. Ohne die gibt es keine Deckung. Die jährlichen Beiträge beginnen bei Hiscox bei etwa 500 Euro, können je nach Konditionen aber auch auf 2000 Euro steigen. Einfluss auf die Prämie haben der Umsatz des Unternehmens sowie die Versicherungssumme und der Selbstbehalt.
Die Höhe der vereinbarten Deckungssumme hängt vom individuellen Risiko des Kunden ab. „Eine Betriebsunterbrechung kann sich auf einen Facharzt anders auswirken als auf einen Allgemeinmediziner“, erklärt Kimmerle. In den Standardverträgen reichen die Versicherungssummen von 250.000 Euro bis zwei Millionen Euro. Schultz empfiehlt, bei der Cyberversicherung darauf zu achten, dass sowohl Eigen- als auch Drittschäden eingeschlossen sind. Zudem sollten Kosten für Betriebsunterbrechung, Wiederherstellung und Sachverständige sowie für Meldeverfahren und Informationspflichten bei Datenschutzverletzungen gedeckt sein.
Praxen sollten Strafanzeige stellen
Trotz aller Sicherheitsvorkehrungen lassen sich Cyberangriffe nicht komplett verhindern. Falls es zu einem Vorfall kommt, ist schnelles Handeln gefordert. Neben den Schritten, die im Krisenplan aufgeführt sind, sollten die Praxen – sofern sich der Verdacht bestätigt, dass es sich um einen Hackerangriff handelt – unbedingt Strafanzeige erstatten. „Wir können im Rahmen des Ermittlungsverfahrens sehr viele Erkenntnisse zum Tathergang gewinnen, woraus man auch Schlussfolgerungen für die eigene IT-Sicherheit ziehen kann“, erklärt Oberstaatsanwalt Hartmann.
Die Strafanzeige hat auch eine andere Wirkung: „Wir werden nur dann das Problem mit den Ransomware-Angriffen mittelfristig in den Griff kriegen, wenn wir mehr und zügiger Ermittlungserfolge erzielen.“ Ohne die Mitarbeit der Betroffenen sei das nicht möglich.