Cyberkriminalität – Datenklau in Therapiepraxen und -kliniken

Viele Inhaberinnen und Inhaber von Therapiepraxen und  -kliniken halten das Risiko, Opfer von Cyber-Angriffen zu werden, weiterhin für gering. Doch das Risiko ist nicht zu unterschätzen.

Autor:

Jürgen Kolatus

Medium:

Ausgabe 04/ 2019 der „Therapie + Praxis“*

Fast täglich entnehmen wir der Presse, dass immer häufiger kleine und größere Unternehmen Opfer von Cyberkriminalität werden. Ebenso sind Therapiekliniken sowie größere Therapiepraxen, aber auch kleinere Praxen, welche zu diesem „Unternehmerkreis“ gehören, interessant, um deren Systeme lahmzulegen und hohe Schäden anzurichten.

Stellen Sie sich vor, Ihr Unternehmen wird durch einen Computervirus lahmgelegt.

Große Cyberangriffe wie WannaCry oder NotPetya sind dazu gar nicht nötig. Oftmals reicht eine gezielte Attacke, um ein Unternehmen in eine existenzbedrohende Lage zu bringen. Nehmen wir einen realen Fall eines Hackerangriffs auf eine Therapieeinrichtung.

Der Fall: Hackerangriff auf eine Therapieeinrichtung

Es ist eine Therapieeinrichtung mit fünf Standorten und einem Team von 70 Mitarbeitern. Moderne Therapie- und Trainingsmethoden sowie Reha-Sport und modernste Technik sind wichtige Erfolgsfaktoren für diese Einrichtung.

Der Inhaber erinnert sich noch genau, als die Anmeldekraft aufgeregt zu ihm kam und sagte: „Keine Datei lässt sich mehr öffnen.“ In diesem Moment schwante ihm nicht Gutes. Erst kürzlich hatte er von einem ähnlichen Hackerangriff auf eine befreundete Therapiepraxis erfahren.

Die böse Vorahnung bestätigte sich. Nach wenigen Klicks war klar: Die Therapieeinrichtung wurde gehackt. Es legte sich ein Sperrbildschirm über den Monitor, der aus dem Englischen ins Deutsche übersetzt, besagte: „Ihre Daten sind verschlüsselt!“ „Ihre Systeme sind gehackt!“

Die Erpresser fordern Bitcoins als Lösegeld

Schnell wurde klar, dass die Therapieeinrichtung erpresst wurde. Eine „kleine Spende“ in Höhe von fünf Bitcoins (Kurs ca. 10.000 EUR) wurde gefordert. Dann werden die wichtigen IT-Systeme und Patientendatenbanken wieder freigeschaltet.

Die Therapieeinrichtung war vermeintlich gut vorbereitet

Der Forderung wollte man zunächst nicht nachkommen. Man sah sich ja sich für diesen Fall gerüstet. Kurzfristig war der IT-Dienstleister der Therapieeinrichtung mit zwei IT-Experten vor Ort. Die Fachleute leiteten unverzüglich erste Gegenmaßnahmen ein, um den Hackerangriff abzuwehren. Ohne Erfolg! Der eingesetzte Virus war eine sehr moderne Version des Typen Krypto-Trojaner. Krypto-Trojaner sind in der Lage Dateien zu verschlüsseln und damit die EDV als Geiseln zu nehmen.

Die Situation, keinerlei Daten mehr zur Verfügung zu haben, wurde für die Therapieeinrichtung zu einem unlösbaren Problem. Nun wurde die Polizei eingeschaltet und Strafanzeige erstattet. Konkrete Soforthilfe konnte von den Ermittlungsbehörden aber nicht erwartet werden. Auch die Empfehlung, die Lösegeldforderung nicht zu bezahlen, half der Einrichtung nicht. Um an die dringend benötigten Daten zu gelangen, musste auf die Forderung des Erpressers eingegangen werden.

Die Erpresser unterstützen bei der Lösegeld-Übergabe

Die Situation war absolut existenzbedrohend. Die gesamte Therapie-IT, wie Patientendaten, sensible Patientenanamnesen, die Finanzbuchhaltung und E-Mail-Server waren von dem Cyberangriff auf die Therapieeinrichtung betroffen und funktionierten, wenn überhaupt, extrem verlangsamt.

Bereits am nächsten Tag nach dem Hackerangriff auf die Einrichtung, nachdem die Polizei informiert, Strafanzeige erstellt und mehrere Telefonate mit einem  Anwalt erfolgten, entschloss sich die erpresste Therapieeinrichtung, das Lösegeld zu bezahlen. Die Erpresser standen ihm unterstützend zur Seite, um ein eigenes Bitcoin-Konto zu eröffnen und das geforderte Lösegeld zu bezahlen.

Nachdem die Transaktion abgeschlossen war, erhielt die Therapieeinrichtung einen Sicherheitscode und konnte mit diesem die gekidnappte Einrichtungs-IT wieder in Gang setzen. Ungewiss war, ob nach der Lösegeldzahlung wirklich wieder alles funktionierte.

Kein Ende des Horrorszenarios

Die Therapieeinrichtung fühlte sich unsicher, wieder mit den freigeschalteten Systemen zu arbeiten. Man entschloss sich dazu, die gesamte IT-Infrastruktur umzubauen und in die Sicherheit der EDV zu investieren. Schließlich ging es um die Existenz des Betriebes und der Mitarbeiter.

Eines war sicher, die bestehenden IT-Systeme waren für einen Hackerangriff nicht ausreichend gerüstet. Die Einrichtung hatte die Gefahren eines virtuellen Hackerangriffs aus dem Internet unterschätzt.

Auch nach einem Jahr sind die Folgen der Cyberattacke/des  Hackerangriffs noch zu spüren.

Gemeinsam mit einem neuen, spezialisierten Servicepartner für Cybersicherheit und IT-Infrastruktur wurden zahlreiche Veränderungen ergriffen, um die IT-Sicherheit und die Schutzmechanismen bei Cyberangriffen und Hackerattacken in der Einrichtung sicherzustellen.

Alle Mitarbeiter der Therapieeinrichtung inkl. Inhaber mussten zudem intensive Sicherheitsschulungen absolvieren, um die Gefahren von Cyberangriffen kennenzulernen und sich entsprechend zu verhalten. Dazu gehören regelmäßige, verpflichtende Online-Seminare und Tests, die den richtigen Umgang mit e-Mails und elektronischen Patientendaten aufzeigen sollen. Das richtige Nutzerverhalten im Internet ist ein wichtiges Element, das alle Mitarbeiter präventiv davor schützen soll, überhaupt in eine solche extreme Notsituation, wie ein Hackerangriff, zu kommen.

Das Resümee

Am Ende hat diese Cyberattacke/Hackerangriff auf die Therapieeinrichtung gezeigt, wie wichtig in digitalen Zeiten der Schutz vor Cyberangriffen und Hackern ist und wie existenzbedrohend dieser Hackerangriff für eine Therapieeinrichtung werden kann.

Fünf von sechs Mittelständler kaum gegen Cyber-Angriffe geschützt

Mittelständische Unternehmen in Deutschland scheinen es mit der Cyber-Gefahr nicht so genau zu nehmen – obwohl sie zu den größten Risiken gehört. Das hat der  GDV (Gesamtverband der deutschen Versicherungswirtschaft) anhand einer aktuellen Studie herausgefunden. Tatsächlich erfüllt nur jeder sechste Betrieb (16 Prozent) einfache Schutzmaßnahmen wie die regelmäßige Aktualisierung von Virenscannern, Datensicherungen oder Passwörtern.

Größtes Einfallstor für Cyberattacken sind e-Mails

Das e-­Mail-­Postfach ist für viele Unternehmen die wichtigste digitale Schnittstelle zu  Kunden (Patienten) und Lieferanten. Cyberkriminelle nutzen aus, dass die elektronische Post samt Anhängen zu oft gedankenlos geöffnet wird – und legen mit ihrer Schadsoftware nicht nur die IT­-Systeme, sondern ganze Betriebe lahm.

Die Einfallstore

Erfolgreiche Cyberangriffe erfolgten durch

  • e-Mails
  • eigene Mitarbeiter
  • Hackerangriffe jeglicher Art wie u.a.
    • DDoS-Attacken (Distributed Denial of Service: “Verweigerung des Dienstes”)
    • Brute-Force-Attacke (Rohe Gewalt“ (brute force): Es wird versucht, wahllos verschiedene Buchstabenfolgen oder Zeichenketten automatisiert auszuprobieren, um Passwörter auszuspionieren)
  • USB-Stick/anderer Datenträger
  • Notebook des Inhabers mit wichtigen Daten wurde geklaut
  • auf viele andere Weisen

Die Schäden

Die Attacken führten zu wirtschaftlichen Schäden durch:

  • Kosten für Aufklärung und Datenwiederherstellung
  • Unterbrechung des Betriebsablaufs
  • Reputationsschaden
  • Diebstahl von Patientendaten
  • Diebstahl unternehmenseigener Daten/Betriebsgeheimnisse
  • Zahlung von Lösegeld
  • Zahlung von Geldbußen/Strafen
  • sonstige finanzielle Schäden

So schützen Sie Ihr Unternehmen vor schädlichen e-Mais

Nur ein einziger falscher Klick auf einen verseuchten Mail­-Anhang oder einen Link kann die Unterneh­mens-­IT lahmlegen. Wenn Mitarbeiter regelmä­ßig für die Gefahren sensibilisiert werden und einige grundle­gende Regeln für den Umgang mit e-Mails aufgestellt werden, können sich Unternehmen vor vielen Angriffen schützen:

  • Arbeiten Sie mit hohen Sicherheitseinstellungen
  • Halten Sie Virenscanner und Firewall immer auf dem neuesten Stand
  • Öffnen Sie e-Mails nicht automatisch
  • Vor dem Öffnen: Prüfen Sie Absender und Betreff
  • Öffnen Sie Links und Anhänge nur von wirklich vertrauenswürdigen Mails
  • Löschen Sie lieber eine Mail zu viel als eine zu wenig

So sichern Sie Ihre Daten richtig

  • Was? Vom Smartphone bis zum Desktop­-Rechner sollten alle Geräte gesichert werden. Kritische Daten sollten besser mehrfach gesichert werden.
  • Wie oft? So oft und so regelmäßig wie möglich. Stellen Sie am besten mit einem automatisierten Zeitplan sicher, dass keine Lücken entstehen.
  • Wohin? Speichern Sie das Back­up auf jeden Fall isoliert vom Hauptsys­tem, also auf einer externen Fest­platte, BlueRay,, usw. Kritische Daten sollten auf mindestens zwei unterschied­lichen Speichermedien liegen, von denen eines außerhalb Ihres Unter­nehmens liegt.
  • Wie aufbewahren? Achten Sie dar­auf, dass Ihr Back­up nicht mit Ihrem Hauptsystem verbunden ist – weder über Kabel noch über das WLAN.
  • Was noch? Testen Sie regelmäßig, ob sich die Daten Ihrer Back­ups im Ernstfall auch wirklich wiederher­stellen lassen.

Restrisiko absichern

Mit einer Cyberversicherung können sich Unternehmen vor den Folgen von Angriffen aus dem Internet schützen. In Therapieeinrichtungen sind die Policen jedoch bislang recht unbekannt.

Seit einigen Jahren bringen Versicherer Cyber-Angebote auf  den Markt, mit denen sich Unternehmen vor den digitalen Risiken schützen können.

Das leistet die Cyberversicherung

Eigenschäden

  • Wirtschaftliche Schäden durch Betriebsunterbrechung
  • Kosten der Datenwiederherstellung und System­-Rekonstruktion

Leistung

  • Zahlung eines Tagessatzes
  • Übernahme der Kosten

Drittschäden

  • Haftpflicht-/ Schadenersatzforderungen von Patienten wegen Datenmissbrauch

Leistung

  • Entschädigung und Abwehr unberechtigter Forderungen

Service-leistungen

  • IT-­Forensik-­Experten zur Analyse, Beweis-Sicherung und Schadenbegrenzung
  • Anwälte für IT-­ und Datenschutzrecht zur Beratung
  • PR-­Spezialisten für Krisenkommunikation zur Eindämmung des Imageschadens

Leistung

Jeweils Vermittlung und Kostenübernahme

 

*Kostenpflichtig über den VDB-Physiotherapieverband zu erwerben.

Comments are closed.