Cyber-Attacken: Diese Schutzmaßnahmen sollten Praxen treffen

Der Schutz von Patientendaten ist das oberste Gebot im Gesundheitswesen. Folglich spielen die Themen Datenschutz und Datensicherheit eine immer wichtigere Rolle innerhalb der Branche – und das aus gutem Grund, denn im Zuge der fortschreitenden Digitalisierung nimmt auch die Anzahl von Cyberangriffen zu, die eine echte Gefahr für den Praxisbetrieb darstellen. Zuletzt warnte die Kassenärztliche Bundesvereinigung (KBV) vor einer steigenden Anzahl von Hackerangriffen und unterstrich damit nochmals deutlich die konkrete Bedrohungslage.

Seit im November 2021 ein namhafter PVS-Anbieter Opfer einer Cyberattacke wurde, hat die Debatte um die Sicherheit von Patientendaten neuen Auftrieb erhalten. Bei dem Hackerangriff auf das interne IT-System des Softwarehauses war sogenannte Ransomware (zu deutsch: Erpressersoftware) zum Einsatz gekommen, die Teile des internen IT-Systems verschlüsselte und damit für die Nutzung unbrauchbar machte. Anfang Juni 2024 wurde außerdem bekannt, dass auf den IT-Dienstleister NHS des britischen Gesundheitswesens ein ähnlicher Hackerangriff ausgeübt wurde. Infolgedessen konnten mehrere Londoner Krankenhäuser Blutgruppentests nicht wie gewohnt durchführen und riefen zu Spenden auf, um die Patientenversorgung weiterhin zu gewährleisten.

Viele Akteure des Gesundheitswesens fragen sich jetzt zurecht: Wie kann eine derartige Attacke verhindert werden? Lassen sich die Patientendaten trotz eines Angriffs wirksam vor dem Zugriff Unbefugter schützen? Und wenn ja: Welche Maßnahmen müssen vorab ergriffen werden? Um diese Fragen beantworten zu können, werfen wir zunächst einen Blick auf die verschiedenen Formen von Hackerangriffen. Anschließend zeigen wir auf, wie RED medical solchen Angriffen wirksam vorbeugt und welche Schutzmaßnahmen Praxen über das PVS-System hinaus treffen sollten.

Um dennoch einen Überblick über die Angriffsmöglichkeiten zu erhalten, blicken wir auf vier ausgewählte kriminelle Verfahren, vor denen sich auch Praxen unbedingt schützen sollten.  

DDOS steht für “Distributed Denial of Service”. Hierbei werden gezielt die Server webbasierter Dienste (z.B. Online-Kalender) mit derart vielen Anfragen “bombardiert”, dass es zu einer Überlastung der IT-Infrastruktur kommt. Die Systeme können die Anfragen nicht mehr verarbeiten und brechen unter der Last zusammen, wodurch sie für eine unbestimmte Zeit außer Gefecht gesetzt werden. Betroffen sind hier nicht die Server von Verwaltungssystemen, die in den Praxen stehen, sondern die Server von Online-Diensten.

Anders als bei DDOS-Attacken geht es bei Phishing-Mails nicht unmittelbar um das Lahmlegen der IT-Infrastruktur des betroffenen Unternehmens, sondern um Datendiebstahl. Die Täter wollen mithilfe von echt wirkenden E-Mails ihre Opfer dazu bringen, persönliche oder finanzielle Daten preiszugeben – nicht selten unter Aufbau einer künstlichen Drohkulisse (“Setzen Sie Ihr Konto innerhalb der nächsten 24 Stunden zurück, andernfalls […] ”). Im schlimmsten Fall wandern auf diese Weise diverse Bankdaten oder der Benutzername für die hauseigene Software-Lösung mitsamt des Passworts direkt an die Cyber-Kriminellen.

Während Hacker beim Phishing versuchen, Benutzer mit List dazu zu bringen, ihre Zugangsdaten zu verraten, basiert der sogenannte Kennwortangriff darauf, diese durch wiederholtes (automatisiertes) Probieren zu erraten. Dabei kann es sich zum Beispiel um einen Wörterbuchangriff handeln, wo alle gängigen Kennwörter, wie etwa “Passwort123”, “Sommer22” oder “qwertz”,  beim Login-Prozess getestet werden. Dem gegenüber steht die “Brute Force”-Taktik. Hier werden mithilfe eines automatisierten Tools so lange verschiedene Benutzername-Passwort-Kombinationen ausprobiert, bis man die richtige durch Zufall findet.

Während Hacker bei Phishing und Kennwortangriffen versuchen, an legitime Zugangsdaten zu einem System zu kommen, um Daten auszuspähen oder zu stehlen, werden bei einem Angriff mit Malware (=”bösartige Software”) Schadprogramme gezielt auf dem System des Opfers installiert. Viren und Trojaner sind sicherlich die bekanntesten Formen von Malware; beide Varianten werden häufig durch den Download bzw. das Öffnen von Datei-Anhängen oder das Anklicken von Links aktiviert, ehe sie im Inneren des Systems ihr Unwesen treiben. So können Kryptotrojaner beispielsweise den Zugriff auf das Betriebssystem blockieren, indem sie potenziell wichtige (oder schlichtweg alle) Dateien auf den Computern der Opfer verschlüsseln. Wird die Firma oder der Benutzer daraufhin zur Zahlung von Lösegeld aufgefordert, spricht man von Ransomware (zu deutsch: Erpressungssoftware). 

Praxissicherheit: Wie RED Ihre Patientendaten schützt

Bei RED kommt eine webbasierte Praxissoftware zum Einsatz. Hierbei steht der Server nicht in der Praxis vor Ort, sondern in einem mehrfach gesicherten Rechenzentrum auf deutschem Boden. Patientendaten werden dort vollständig verschlüsselt gespeichert, und die professionelle Technik wird rund um die Uhr überwacht sowie von erfahrenen Administratoren betreut. Die im Rechenzentrum gespeicherten Daten können dabei nur von den Inhabern der Zugänge (sprich: den Praxen selbst) gelesen werden – auch RED hat zu keiner Zeit Zugriff auf die Klartext-Daten. Greift ein Hacker also die Server von RED an, kann er weder Logindaten für die Netze der Praxen noch Klartext-Patientendaten erbeuten.

Dies ist ein entscheidender Vorteil im Vergleich zu herkömmlichen Praxissystemen, wo die Patientendaten lokal und unverschlüsselt vorliegen und dadurch oftmals leichte Beute für Kryptotrojaner sind. Die Praxis selbst muss sich bei RED also einzig und allein darum kümmern, ihre RED-Zugangsdaten sicher aufzubewahren. Ist dies gewährleistet, besteht seitens der Praxissoftware optimaler Schutz.

Goldene Regel:

Speichern Sie niemals Ihr Zugangspasswort zur Praxissoftware in lesbarer Form auf Ihrem Computer.

Vergleichen Sie es mit einer Bankkarte: Sie notieren die entsprechende PIN auch nicht auf (!) der Karte.

Da nicht alle unsere Leser IT-Spezialisten sind, möchten wir das System anhand eines Beispiels erklären. Nehmen wir an, ein Angreifer will an die schützenswerten Patientendaten kommen, startet einen Angriff auf das Rechenzentrum von RED und wäre mit dem Angriff tatsächlich erfolgreich. Der Angreifer könnte damit zwar die Daten der Server einsehen – sie hätten allerdings keinen praktischen Wert für ihn. Denn alle Daten im Rechenzentrum von RED sind vollständig verschlüsselt. Der erbeutete Datensatz könnte beispielsweise so aussehen:

w c F M A 5 0 C a W r K p U c c A Q / / R d v N D M 5 H 1 R u T O D D + l R 7 W g u F 6 1 + U 9 G p 5 a J k N Q 5 i j G 8 S 6 0 4 C M I C x M o 7 d e X y Q A J X j D c G u 2 / v 1 r U y + u e O 6 y A 9 Y o s 0 p p q X k W 6 P o P E O S 4 o l w m v C u u L q 2 J Y r B h u q k w z U h u 4 r + t T K T 5 b p 6 I Z i P k K c d T i A / f R 0 C z 1 x s l k S E D N u k 4 6 3 G B v P 1 P k p 4 e 6 5 j P d W + W C L G 0 A f b o E G R d W C J o / b B H P r X B Z S F X J s v O 4 R g N H Q D Y U E q 4 U Z m M K h a i d b 0 d q n J Q Q o / 2 S W m m S t N p I 3 Y 3 W j v V G 1 H F s e f p s a J 3 2 6 h + M 7 D x K w l d t 8 F H v c v 3 k k 2 W S 6 …

Um die erbeuteten Daten zu entschlüsseln bzw. alle möglichen Schlüsselkombination auszuprobieren, würde der Angreifer etwa 2.18556E+59 Jahre benötigen – diese Zahl hat 59 Nullen am Ende und beschreibt eine Dauer, die länger ist als das Alter unseres Universums. Sicherer geht es nicht. In dieser Beispielrechnung können Sie einen tieferen Einblick in die AES-256 Verschlüsselung bekommen.

Weiterführende Informationen zu unserem Sicherheitskonzept haben wir Ihnen auf einer eigenen Seite zusammengestellt:

Notwendige Maßnahmen innerhalb der Praxis

Ein Cyberangriff muss sich allerdings nicht immer gegen den PVS-Anbieter allein richten. Auch die Praxen selbst können ins Visier Krimineller geraten. In einem solchen Szenario würde der Angreifer versuchen, direkten Zugriff auf das Praxissystem zu erlangen – denn in vielen deutschen Arztpraxen werden die sensiblen Patientendaten immer noch auf eigenen Servern in der Praxis gespeichert. Gelingt der Angriff, kann der Schaden groß sein und der Angreifer hat je nach System die Möglichkeit, alle dort gespeicherten Daten zu entwenden. Da Kunden von RED jedoch – wie oben beschrieben – mit einer webbasierten Arztsoftware arbeiten, liegen die Patientendaten im sicheren Rechenzentrum und befinden sich damit außerhalb der Reichweite des Angreifers.

Um den Praxiscomputer und das interne Netzwerk sicher zu schützen, kommt es bei der Abwehr von Hackerangriffen aber auch auf die Mitarbeit der Praxen an. Denn neben dem Sicherheitskonzept des PVS-Anbieters müssen Ärzte wie auch Mitarbeiter allgemeine Sicherheitsmaßnahmen beachten, um abseits der Nutzung der Praxissoftware keine zusätzliche Angriffsfläche für Cyber-Attacken zu bieten. Helfen kann in diesem Zusammenhang die IT-Sicherheitsrichtlinie der KBV, die eine ganze Reihe sinnvoller Sicherheitsvorkehrungen innerhalb von Praxen auflistet. Eine Auswahl der wichtigsten Punkte haben wir für Sie zusammengestellt:

Aktuelle Virenschutzprogramme einsetzen

Verschlüsselte Internetanwendungen nutzen

Aktuelle Schutzprogramme vor Phishing im Browser verwenden

Jegliche Wechseldatenträger (z. B. USB-Stick) auf Schadsoftware prüfen

Eine Firewall einrichten (lassen)

Komplexe Gerätesperrcodes für alle Endgeräte verwenden

Zugriffsberechtigungen für jeden Mitarbeiter regeln

Nach der Nutzung den Gerätezugang sperren oder sich abmelden

Keine unautorisierte Nutzung von Rechner-Mikrofonen und Kameras

Vertrauliche Daten, die lokal gespeichert werden, kryptografisch sichern

Regelmäßige Datensicherungen durchführen

Regelmäßige Updates des Betriebssystems und verwendeter Apps durchführen

Keine vertraulichen Daten über Apps versenden

Apps nur aus den offiziellen App-Stores herunterladen

Synchronisierung von Nutzerdaten mit externen Diensten vollständig deaktivieren

Bei konsequenter Einhaltung der Liste, die jährlich aktualisiert wird und hier vollständig einsehbar ist, besteht ein sehr hoher Schutz für jede Praxis. Je mehr Mitarbeiter eine Praxis hat, desto höher sind allerdings auch die Anforderungen hinsichtlich der IT-Sicherheit. So müssen Praxen bei einer Größe von sechs bis 20 Mitarbeitern beispielsweise sicherstellen, dass eine intern eingeführte App nur die minimal benötigten Berechtigungen für ihre Funktion erhält. Bei großen Praxen – also ab 20 Mitarbeitern, die mit der Datenverarbeitung betraut sind – gilt zusätzlich, dass für dienstliche Smartphones und Tablets eine generelle Richtlinie festgelegt werden muss, die die Nutzung und Kontrolle der Geräte regelt.

Zusammenfassung

Abschließend kann man festhalten, dass optimaler Schutz nur durch einen gemeinsamen Kraftakt von Herstellern und Praxen gewährleistet werden kann. Den Software-Anbietern wird die Aufgabe zuteil, ein maximal sicheres Praxisverwaltungssystem bereitzustellen, das beispielsweise durch eine vollständige Ende-zu-Ende-Verschlüsselung bereits einen Großteil zu optimalem Datenschutz beiträgt. Für Praxisinhaber wiederum gilt, ein generelles Bewusstsein für Gefahrenquellen zu entwickeln und das Personal intensiv zu schulen, damit essenzielle Sicherheitsvorkehrungen jederzeit beachtet werden. Nur so wird es auf Dauer gelingen, Risikoquellen zu minimieren und bestmöglichen Schutz vor Cyberkriminalität zu erlangen.

RED medical

Die webbasierte Praxissoftware erleichtert den Berufsalltag vieler Ärzte und Psychotherapeuten mit modernsten Technologien und zertifizierter Sicherheitsarchitektur.