Bei fast allen Meldungen von Schadcode-Befall, die 2018 beim Bayerischen Landesamt für Datenschutzaufsicht eingingen, war das Einlasstor für die Schadprogramme die „Schwachstelle Mensch“, sagt Andreas Sachs, der bei der Behörde für Cybersicherheit und Technischen Datenschutz zuständig ist. Und zwar auch in den Arztpraxen.

Ein Klassiker sei der Versand der Malware über E-Mail, erzählt Sachs: Eine Praxis wird in einer E-Mail auf eine offene Rechnung verwiesen. Ein Mitarbeiter öffnet den Anhang, der Antivirenscanner schlägt nicht an. Der Mitarbeiter kann die Rechnung nicht zuordnen, vermutet, dass die E-Mail falsch adressiert ist und löscht sie.

Horror: Volles Wartezimmer und der Computer ist kaputt

Doch im Hintergrund ist der Schadcode längst aktiv. Am nächsten Morgen fährt der Praxis-PC nicht mehr hoch, es erscheint stattdessen der Hinweis, dass das System nur gegen eine Lösegeldzahlung (in Bitcoin) entschlüsselt wird. Wahrscheinlich wird der hinzugerufene IT-Fachmann jetzt noch feststellen, dass auch auf dem zentralen Praxisserver viele Dateien – auch die Datenbank des Arztinformationssystems – verschlüsselt wurde.

Mit einer funktionierenden Datensicherung hat der IT-Fachmann eine Chance, das System in ein paar Tagen wieder zum Laufen zu bringen. Weist jedoch die Datensicherung der Praxis Schwachstellen auf, kann das zum Komplett-Stillstand der Arztpraxis führen. Denn bei einem Befall durch sogenannte Ransomware werden die Dateien auf dem Computer mit einem so starken kryptographischen Verfahren verschlüsselt, dass sie ohne den „Schlüssel“ für den Besitzer tatsächlich verloren sind.

Beängstigende Vorstellung? Ja, aber längst Realität – und nicht nur in Bayern. So berichtet u.a. die KV Nordrhein von besorgten Anrufen aus Praxen, die von Ransomware befallen wurden, und zwar ver­stärkt in den letzten sechs Monaten – geschätzt seien es jetzt zwei bis drei Praxen im Monat. Die Dunkelziffer sei vermutlich deutlich höher.

Das Bayerische Landesamt für Datenschutzaufsicht hat deswegen im Herbst 2018 begonnen, das Thema Ransomware in Arztpraxen in ihr Prüfkonzepts aufzunehmen. Wie üblich in solchen neuen Prüfverfahren wurden zunächst nur acht Arztpraxen unter die Lupe genommen. Ziel war es, herauszufinden, ob die Prüffragen verstanden werden, welche typischen Problemfelder auftreten und an welchen Punkten das Verfahren verbessert werden kann.

Dass für diesen Feldtest erst mal nur eine geringe Zahl an Prüflingen ins Spiel kommt, trifft sich gut: Die personellen Ressourcen seien zurzeit über das Maß ausgelastet, da sich die Anzahl der Beschwerden seit Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 verdoppelt und die Zahl der gemeldeten Datenpannen verfünfzehnfacht hat, so Sachs. Das wiederum sei Anlass genug, nach Ablauf der Testphase die ggf. angepassten Prüfungen in weiteren Praxen, und zwar in einer „zumindest niedrigen dreistelligen Zahl“, weiter durchzuführen.

Erst mal sollen aber im März die Ergebnisse der ersten Tests veröffentlicht werden und über die Berufsverbände an möglichst viele Arztpraxen herangetragen werden. Erkennen lasse sich bereits, dass das Thema Backup weniger problematisch ist, die interne Netztrennung zwischen internetbasiertem Empfangsrechner und Arztinformationssystem aber noch Angriffsflächen bietet. Ebenso sehe man beim „Angriffsvektor Mensch“ Sensibilisierungsbedarf.

Fälle, bei denen Praxen gezielt mit Arzt-Ransomware-Schadcode angegriffen wurde, seien aktuell nicht bekannt. Solche zielgerichteten Angriffe, bei denen der Schadcode auch Patientendaten abgreift, die von den Cyperkriminellen erpresserisch eingesetzt werden, bedeuten für die Patienten ein weit größeres Risiko. Technisch stellt das für die Angreifer kein wirkliches Problem mehr dar.

Kommen die Datenschützer auch vor Ort? Anlasslose Kontrollen, wie sie zum Grundprogramm der Behörde gehören, konnten aufgrund der immensen Arbeitslast seit Inkrafttreten der DSGVO nicht mehr durchgeführt werden, so Sachs. Auch die Datenschutzbeschwerden zu Arztpraxen konnten im vergangenen Jahr zum Glück auf dem Schriftweg bearbeitet werden.

Bald auch wieder anlasslose Prüfungen vor Ort

Dennoch will man in Zukunft wieder zur alten Praxis der präventiven Prüfung zurückkehren. Doch keine Sorge: Vor einem Besuch meldet sich die Behörde an und erklärt, was sie vorhat. Der Besuch dauert ca. zwei Stunden und wird so flexibel gehalten, dass die Behandlungsabläufe möglichst wenig beeinträchtigt werden.

Dann wird geprüft: der Diskretionsbereich am Empfang, der Einsatz von Videoüberwachung, der Webseitenauftritt, die Patientenkommunikation, das Einbinden externer Abrechnungsunternehmen, das Absichern des internen Netzwerks, die Backups, die Rollen-/Rechtekonzepte des Arztinformationssystems und – ab zehn Mitarbeitern, die ständig mit Patientendaten zu tun haben – die Bestellung eines Datenschutzbeauftragten. Im Nachgang gibt es einen Prüfbericht, in dem – falls vorhanden – Mängel beschrieben und deren Abhilfe gefordert wird. Dem kamen in der Vergangenheit bislang alle Arztpraxen ohne größere Probleme nach, so Sachs.

Datenschutzverstöße nicht bestrafen, sondern verhindern

„Unsere Prüfungen sind nichts, wovor sich Arztpraxen fürchten müssten. Wir gestalten die Verfahren vorrangig unter dem Aspekt der Information schlank und effizient“, betont Sachs. Bislang sei dieser Ansatz von den Ärzten durchaus interessiert angenommen worden. Er helfe, Datenschutzverstöße erst gar nicht entstehen zu lassen.

Quelle: Medical-Tribune-Bericht