Jede Praxis muss damit rechnen, mit Malware angegriffen zu werden. „Das ist keine Frage des „Ob“, sondern eine des „Wann“, meint Lars Huwald, Informatiker und Kriminaloberkommissar bei der Zentralen Ansprechstelle Cybercrime (ZAC) der Polizei Berlin. Die Stelle betreut schnell und unbürokratisch Unternehmen und Verbände, die Opfer eines Cyberangriffs wurden. Der Experte hat einige Tipps, wie Praxen sich schützen können. 

TI-spezifische Risiken

Je mehr technische Schnittstellen in einem Betrieb existieren, desto angreifbarer ist er. In Arztpraxen bringt die TI daher auch Sicherheitsrisiken mit sich. Sie funktioniere als „Blackbox“, so Huwald. Welche Daten wohin gesendet werden, sei auch für Profis nicht einsehbar – Praxis­inhaber tragen dennoch die Verantwortung. „Das ist juristisch wie technisch hoch delikat.“ 

Für den Fall, dass es zu technischen Fehlern kommt, sollten die Zuständigkeiten mit dem IT-Dienstleister abgestimmt sein: Kann er weiterhelfen oder muss die Gematik handeln?Um fürs Erste weiterarbeiten zu können, werden oft Workarounds entwickelt. Huwald warnt allerdings davor, da sie oft das Sicherheitskonzept umgehen. „Wir haben eine Gemengelage, die schwer zu verteidigen, schwer zu überblicken und schwer zu warten ist“, resümiert er.

Derzeit würden Gesundheitseinrichtungen noch nicht spezifisch angegriffen. Die Täter würden ungezielt Schadsoftware verbreiten, die auf Programme ziele, die insbesondere größere Unternehmen nutzen. Welche Betriebe die Täter letztlich treffen, sei Zufall. Auch die Unikliniken, die in den letzten Jahren von Cyberangriffen betroffen waren, hätten bloß eine der anvisierten Softwares genutzt, so Huwald. 

Der Experte hält es aber prinzipiell für denkbar, dass sich Tätergruppen künftig auf die TI spezialisieren könnten. Beispielsweise könnten sie infolge eines Updates, das Probleme mit angeschlossenen Druckern verursacht, eine Homepage basteln, die der der Gematik täuschend ähnlich sieht. Dort könnten sie etwa auffordern, einen neuen Treiber herunterzuladen – wohinter sich dann natürlich eine Schadsoftware verbirgt. 

Wie laufen Cyberangriffe ab?

Cyberangriffe nutz­en vor allem den „Faktor Mensch“ aus, betont Huwald. In den meisten Fällen würden Mails verschickt, in denen zum Öffnen von Schadsoftware verleitet wird. Beispielsweise soll ein als Rechnung getarnter Anhang oder ein Link angeklickt werden. Je nach Masche ist der Text der Mail mal mehr und mal weniger passend auf das potenzielle Opfer zugeschnitten. 

Sobald Beschäftigte die Schadsoftware nichtsahnend heruntergeladen haben, arbeitet diese oft wochen- oder monatelang im Verborgenen und verschafft sich Zugang zu allen weiteren angeschlossenen Systemen. Hierbei fließen oft bereits Daten ab, da die Täter so immer wieder mit der Veröffentlichung drohen können. Dann verschlüsselt die Malware die Daten, sodass sie nicht mehr zugänglich sind. Die Täter behaupten, wenn die Praxis eine gewisse Summe zahle, würden sie eine Software zur Verfügung stellen, mit der die Daten wieder entschlüsselt werden können. Es handelt sich also um (versuchte) Erpressung.

Was deutet auf einen Angriff hin?

Es ist schwer zu erkennen, ob der Betrieb bereits von Schadsoftware infiltriert wurde. Aufmerksam werden sollten Angestellte besonders dann, wenn sie ein Dokument im Mail­anhang angeklickt haben, sich aber nichts öffnet, erklärt Huwald. Oder wenn ein bis dato nie gesehenes Fenster erscheint. Auch wenn das System sehr langsam läuft, sei das verdächtig. Schon beim kleinsten Verdacht sollte der IT-Dienstleister eingeschaltet werden. Er könne ermitteln, ob es sich um einen technischen Fehler oder einen Cyberangriff handelt. Entsprechend wichtig sei es, dass der Vertrag mit dem Dienstleister eine Prüfung ermögliche, ohne lange in der Warteschleife zu hängen. „Wenn man früh genug reagiert, kann man den Angriff im Keim ersticken“, ermutigt der Experte. Im Zweifel lohne es sich, auf das Bauchgefühl zu hören. 

Wie kann man sich schützen?

Da die Angriffe über eine Täuschung der Mitarbeitenden funktionieren, sollte im Team ein Gefahrenbewusstsein herrschen. Dieses kann etwa bei Fortbildungen vermittelt werden. Noch wichtiger sei aber eine gute Fehlerkultur, betont der Kriminaloberkommissar. Jeder müsse angstfrei berichten können, wenn er versehentlich etwas Verdächtiges angeklickt hat. 

Um den Schaden möglicher Angriffe zu minimieren, sollte ein Rechte- und Rollenkonzept etabliert werden. In manchen Praxen meldet der Inhaber oder die Inhaberin sich morgens an jedem PC an, alle Angestellten arbeiten dann mit vollem Zugriff auf alle Daten des Praxis­systems und mit allen Rechten. Dies sollte möglichst getrennt werden, empfiehlt Huwald. Es sei bereits viel Wert, wenn die MFA am Empfang nur Zugriff auf das Mailprogramm und den Kalender haben. 

Noch besser – wenn auch etwas archaisch – sei es, einen Rechner einzig und allein für das Empfangen und Senden von Mails zu verwenden. Er wird nicht an das Praxisverwaltungssystem angeschlossen. Wird dann in einer Mail versehentlich eine Schadsoftware geöffnet, gehen kaum Daten verloren und der IT-Dienstleister muss nur diesen Rechner neu aufsetzen.