Unterschätztes Risiko Cyber-Angriff – Ganzheitliche IT-Sicherheit schützt Patientendaten
Wie der Branchenreport des „Gesamtverbandes der Deutschen Versicherungswirtschaft e. V.“ zeigt, schätzt ein Großteil der Zahnärzte, Ärzte und Apotheken das eigene Risiko für einen Cyber-Angriff als gering ein. Diesem Fehlurteil steht der Einschätzung des „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) diametral gegenüber, welches die aktuelle IT-Bedrohungslage als „angespannt“ bis „kritisch“ einstuft. Praxen und Laboren drohen durch eine Cyber-Attacke große Störungen im Betriebsablauf, Datenverlust oder ein kompletter Betriebsausfall. Welche präventiven Maßnahmen und Schritte aber bieten den richtigen Schutz? Was gilt es mit Blick auf sensible Patienteninformationen, die eigene Wirtschaftlichkeit und neue gesetzliche Vorgaben zu beachten?
Die Digitalisierung des Gesundheitsbereiches hat sich seit dem vergangenen Jahr stark beschleunigt. Die Corona-Krise wirkt wie ein zusätzlicher Brandbeschleuniger. Für Praxen und Labore hat die digitale Transformation im Alltag viele Vorteile, erzeugt aber auch neuen Druck. Denn gleichzeitig steigt mit ihr die Wahrscheinlichkeit, Opfer eines der immer häufiger auftretenden Cyber-Angriffe zu werden. Vernetzte Medizin-Technik und der eigene Datenschatz stellen hohe Anforderungen an die IT-Sicherheit. Gerade der Gesundheitsbereich hat in diesem Zusammenhang durch die Telematikinfrastruktur, die Europäische Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz besondere Pflichten. Damit verbunden ist für jede Geschäftsführung auch immer ein reales Haftungsrisiko aufgrund möglicher Verstöße.
Dazu kommt, dass zahlreiche Ärzte, Labore und Zahnärzte statt auf konkrete IT-Sicherheitsmaßnahmen auf eine abgeschlossene Cyber-Versicherung setzen. Die Wahrscheinlichkeit ist hoch, dass bei einem Cyber-Angriff aus einem solchen Vertrag in naher Zukunft keine Gelder mehr an Geschädigte fließen. Die erste Versicherung hat bereits u.a. für Frankreich angekündigt, kein Geld mehr zu zahlen, wenn ein Verschlüsselungstrojaner im Netzwerk zugeschlagen hat. Der Grund ist simpel: Durch die steigenden Schadenssummen werden solche Vorfälle für die Versicherungen immer kostspieliger und damit riskanter. Voraussetzung für Leistung im Versicherungsfall wird absehbar die Erfüllung strikter IT-Sicherheitsvorgaben sein.
Mangelhafer IT-Schutz ist ein ökonomisches Risiko
Mit welchen IT-Sicherheitsanforderungen sich Arztpraxen, Zahnarztpraxen und Labore grundsätzlich auseinandersetzen müssen, schreibt die seit April verpflichtend geltende IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) sowie der Kassenzahnärztlichen Bundesvereinigung (KZBV) fest. Darin sind alle Anforderungen an die IT-Security je nach Praxisgröße verbindlich festgelegt. Nach Securepoints Erfahrungen als deutscher IT-Sicherheitshersteller sind in den letzten Jahren zwar weit über 100.000 Praxen und Labore an die Telematikinfrastruktur des Gesundheitsbereiches angeschlossen worden, dabei wurde die IT-Sicherheit in Praxen jedoch sehr oft vernachlässigt. In Deutschland gibt es derzeit insgesamt mehr als 140.000 Praxen von Ärzten, Zahnärzten und Psychotherapeuten, von denen der Großteil die gemeinsamen Vorgaben der KZBV und der KBV noch umsetzen muss. Für die Inhaber von Arztpraxen, Apotheken, Zahnarztpraxen und -laboren sowie für ihre IT- oder Datenschutzverantwortlichen bedeutet das, sich über die Konsequenzen eines potentiellen Cyber-Angriffs im Klaren zu sein; sich Gedanken über ihr konkretes digitales Risiko zu machen. Die Umsetzung entsprechender Schutzmaßnahmen bedeutet aus wirtschaftlicher Perspektive ein präventives Krisenmanagement. Beim Blick auf die Investition sollte der Reputationsverlust und die hohen ökonomischen Kosten berücksichtigt werden, die im Falle einer erfolgreichen Cyber-Attacke auf das eigene Unternehmen tatsächlich entstehen.
Dass im Gesundheitsbereich dringender Handlungsbedarf besteht, zeigt ein genauer Blick auf die nackten Zahlen des Cybersecurity-Branchenreports des „Gesamtverbandes der Deutschen Versicherungswirtschaft e. V.“ (GDV). Laut der Studie denkt jeder zweite Arzt, Zahnarzt oder Apotheker, dass das eigene Unternehmen zu klein wäre, um in den Fokus von Cyber-Kriminellen zu geraten.
Die Angreifer machen jedoch keinen Unterschied zwischen Art oder Größe der Praxis oder des Labors. 80 Prozent der Teilnehmenden an der Studie denken zudem, dass sie ausreichend gegen Cyberkriminalität geschützt sein würden. Dass das nicht der Realität entspricht, zeigt der Test, der im Zuge des GDV-Branchenreports durchgeführt wurde: Demnach wurden in fast 90 Prozent der getesteten Praxen bei mehreren Benutzern dieselbe Zugangskennung mit sehr einfachen oder gar keinen Passwörtern genutzt. Allein dieses Alltagsbeispiel zeigt, dass entweder auf Einfachheit statt auf Schutz von Patientendaten gesetzt wird oder – und das wäre fatal – dass es weiterhin an einem grundlegenden Verständnis für einfache IT-Sicherheitsmaßnahmen fehlt. Den meisten der getesteten Praxen mag bewusst sein, dass ihre Arbeit von funktionierenden Computersystemen abhängig ist, doch die Risiken scheinen nicht ernst genommen zu werden.
Eigene Risiken und Konsequenzen erkennen
Es muss sich etwas ändern. Durch den Report des GDV ist eindeutig festzustellen, dass die Eigen- und Fremdwahrnehmung bei Ärzten, Zahnärzten und Apotheken im Bereich IT-Sicherheit und Hackerangriffen stark auseinander geht. Dabei wären 80 Prozent der Praxen und so gut wie jede Apotheke in Deutschland laut eine repräsentativen Forsa-Umfrage im Auftrag des GDV nach einem erfolgreichen Cyberangriff stark einschränken oder müssten ihre Arbeit komplett einstellen. Demnach wären „bei einem mehrtägigen Ausfall der IT nach eigenen Angaben 78 Prozent der Praxen […] sehr stark oder eher stark eingeschränkt“. Der GDV zieht in ihrem Branchenreport zur Cybersecurity eine erschreckend eindeutige Bilanz: „Die laschen Schutzvorkehrungen stehen im krassen Widerspruch zu den sensiblen Daten, über die Ärzte verfügen. Und die sie zu einem beliebten Angriffsziel von Hackern machen. Kommen Kriminelle in ihren Besitz, haben sie etwas gegen den Mediziner in der Hand.“ (Quelle: Cybersecurity-Branchenreport des „Gesamtverbandes der Deutschen Versicherungswirtschaft e. V.“)
Erfolgreiche Cyber-Angriffe folgen oft einem ähnlichen Schema. Es wird versucht, Verschlüsselungsprogramme oder andere Schadsoftware zu installieren. Das funktioniert z. B. über kompromittierte Fernzugriff-Zugänge auf einzelne Computersysteme oder zu ganzen Netzwerken und die Schwachstelle Mensch. Dieses Vorgehen ermöglicht beispielsweise das Kopieren von sensiblen Patientendaten und deren Weiterverkauf. Das Ziel der Kriminellen ist einfach: finanzieller Gewinn. Bei Erfolg eines Cyber-Angriffs mit einem Verschlüsselungstrojaner, sogenannter „Ransomware“, erhalten die Praxen oder Labore eine Lösegeldforderung, um die verschlüsselten Daten freischalten zu lassen. Oft werden Daten in so einem Fall gelöscht oder manipuliert, um die Unternehmen zu schädigen.
Vielfältige Angriffsvektoren
Die Verbreitungsarten von Schadprogrammen sind vielseitig. Es gibt zum Beispiel mehrere Wege, wie Ransomware auf ein System oder in ein Netzwerk gelangen kann. Über die klassische E-Mail wird diese Schadsoftware seit Jahren erfolgreich verteilt. Hierbei greifen Kriminelle auf den digitalen Enkeltrick, d. h. „Social Engineering“, zurück und kontaktieren die Opfer mit täuschend echt aussehenden Nachrichten. Die E-Mails sind meist einwandfrei formuliert und beinhalten echte personenbezogene Daten, z. B. in Bezug auf ausgeschriebene Stellenangebote, nicht beglichene Rechnungen oder Mahnungen. Anwender werden gut getarnt dazu verleitet, ein angehängtes Dokument zu öffnen und weitere Schritte aktiv vorzunehmen. Auch das unbeabsichtigte Herunterladen von Software auf ein System stellt eine große Gefahr für Unternehmen und Behörden dar. Solche „Drive-By-Downloads“ infizieren Rechner „im Vorbeigehen“, ohne dass Anwender zu einer Interaktion auf der besuchten Webseite verleitet werden. Diese und andere Angriffsvektoren verändern sich jederzeit. Die Kombination aus Spionage, Sabotage und Erpressung ist eine große Herausforderung, gegen die es zu schützen gilt. Um den positiven Effekt auf die Netzwerksicherheit für Unternehmen zu maximieren, sollte bei der Umsetzung die Kooperation bestimmter Lösungen im Vordergrund stehen. Damit lässt sich ein sehr hoher Schutz der Netzwerke und der damit verbundenen Geräte erreichen. Regelmäßige Aktualisierungen aller Programme sind absolut notwendig, wenn die Sicherheit eines Netzwerks auf einem zuverlässigen und aktuellen Niveau gehalten werden soll.
Bausteine guter Netzwerksicherheit kombinieren
Eine UTM-Firewall ist für den Schutz von Geräten und Netzwerken in Arztpraxen, Zahnarztpraxen, Apotheken und Laboren unerlässlich. Diese „Brandschutzmauer“ zwischen den Rechnern eines Netzwerks und potenziellen Angriffen aus dem Internet funktioniert über mehrere Sicherheits- und Filtermechanismen. Diese sind mit den Sicherheitsvorkehrungen eines Autos vergleichbar: Während Gurte, Nackenstützen, Airbags und Knautschzone jeweils verschiedene Schutzfunktionen für verschiedene Bedrohungen übernehmen, wirken alle Bestandteile gemeinsam auf die größtmögliche Sicherheit hin. Für ein gutes Sicherheitsniveau des Netzwerks ist außerdem ein Virenscanner unverzichtbar. Solch eine Lösung ist im besten Fall gleichbedeutet mit Mail-Sicherheit und Anti-Spam. Gefährliche Mails und Viren werden so bereits gefiltert oder müssen in Quarantäne, bevor sie Anwender überhaupt erreichen. Wichtig dafür ist eine schnelle, ressourcenschonende Systemarchitektur.
Beim Thema Netzwerksicherheit muss unbedingt an den Schutz mobiler Geräte gedacht werden. Smartphones, Tablets und Notebooks werden auch in Praxen und Laboren immer stärker als genutzt. Damit werden Datenschutzanforderungen erfüllt und die Geräte bleiben unter voller Kontrolle zurück – eine Firewall für unterwegs. Für die Sicherheit eines Unternehmensnetzes bringt das einen enormen Schub nach vorn. Eine 100-prozentige Sicherheit gibt es jedoch nicht. Das gilt auch für ein Netzwerk. In technische Lösungen kommen Fehlfunktionen vor und Menschen machen Fehler. Egal ob Datenverlust durch einen Cyberangriff, Unfälle, Brände oder andere Gefahren – ein Backup und die Möglichkeit der Wiederherstellung von Daten ist ein zentraler Bestandteil guter Netzwerksicherheit.
Eigene Wahrnehmung für IT-Sicherheit und Hackerangriffe stärken
Ohne eine bestimmte Handlung eines Anwenders ist eine Infektion mit Schadprogrammen fast unmöglich. Zu einem festen Bestandteil jedes nachhaltigen IT-Sicherheitskonzeptes gehört eine regelmäßige Schulung von Mitarbeitenden zur Sensibilisierung gegenüber den Risiken durch Hackerangriffe und Sicherheitsverstößen. Durch die richtigen Praktiken und „Cyber Security Awareness“ stärken Unternehmen ihre Mitarbeitenden und machen sie zu einer bedeutenden, individuellen Sicherheitsinstanz – der „Human Firewall“.
Die richtige Umsetzung von IT-Sicherheitsmaßnahmen stellt aus wirtschaftlicher Perspektive also präventives Krisenmanagement im Sinne des Business Continuity Managements dar. Für ein maximales Schutzniveau sollten Praxen, Apotheken und Labore ausschließlich auf sichere IT-Produkte setzen. Solche Lösungen sind frei von Funktionen, die die Integrität, Vertraulichkeit und Verfügbarkeit der Hard- und Software oder von Daten gefährden. Das sichert neben dem wirtschaftlichen Erfolg auch das Vertrauen von Patienten, Kunden und Geschäftspartnern. Nur mit diesem Mindset können Zahnarztpraxen, Labore, Arztpraxen und Apotheken die eigene Digitalisierung sicher und erfolgreich gestalten.
FAZIT
• Individuelle Risiken und Konsequenzen erkennen und handeln
• Gut eingesetzte IT-Sicherheit bedeutet präventives Krisenmanagement
• Nur die Kombination der richtigen Bausteine wirkt