Immer wieder gehen Meldungen über Angriffe auf IT-Systeme durch die Medien. Das spektakulärste Ereignis im Jahr 2021 war ein Hackerangriff auf eine Pipeline in den USA, bei dem die Kriminellen 4,4 Mio. US-Dollar erpressten. Passieren solche Räubergeschichten nur im Fernsehen und den Nachrichtenspalten der Zeitungen? Mitnichten. Solche Angriffe finden häufig in Deutschland statt, und auch auf das Gesundheitswesen.

Aktuelles Beispiel: Die CompuGroup Medical (CGM) ist ein bedeutender Lieferant von Software für den Gesundheitsbereich. Im Dezember 2021 wurde das Unternehmen das Opfer einer „Cyberattacke“. Erst im späten Januar 2022 konnte CGM bei der Beseitigung der Schäden Vollzug melden und wieder „weitgehend im Normalbetrieb“ arbeiten. Im November 2021 hatte es Medatixx erwischt, einen namhaften Anbieter von Praxissoftware. Nach der Attacke war unter anderem der Support nicht mehr erreichbar. Im Januar 2022 konnte das Unternehmen Entwarnung geben: „Keine Auswirkungen auf die in den Praxen laufende medatixx-Software“.

Angriff über E-Mail als Trägermedium

Wie kommt es eigentlich zu derartigen Angriffen auf IT-Systeme? Und warum sind sie so oft erfolgreich? Das Einfallstor ist fast immer E-Mail. Beim einfachen Öffnen der Mail geschieht noch nichts. Der Angriff wird ausgelöst beim Anklicken von Dateianhängen oder noch häufiger beim Besuch von verlinkten Webseiten. Die sind so präpariert, dass sie Sicherheitslücken in Betriebssystemen oder Browsern nutzen. Richten sich diese Angriffe gegen schon länger bekannte Schwachstellen, wurden die oft schon mit einem Patch behoben. Oder in aktuellen Sicherheitsprogrammen sind die angreifenden Webseiten bekannt. In dem Fall würde die Lücke in den eigenen Programmen hoffentlich schon geschlossen.

Nicht selten sind die genutzten Sicherheitslücken aber noch ganz neu. Diese sogenannten „Zero-Day-Exploits“ werden noch am gleichen Tag genutzt, an dem Insider sie entdeckt haben. Deswegen gibt es gegen sie weder Patches von Microsoft noch Signaturen für Virenscanner und Internet-Sicherheitsprogramme. Die eingeschleusten Schadprogramme verschlüsseln oft die gesamte Software, um Zahlungen zu erpressen (sogenannte Ransomware). Oder es werden Daten ausgespäht, zum Beispiel E-Mail-Adressen und Passwörter. Der Schaden ist in jedem Fall beträchtlich.

Was gegen Cyberangriffe hilft

Das Internet auf der Isolierstation

Praxen sind solchen Angriffen aber nicht schutzlos ausgeliefert. Es gibt wirksame Gegenmaßnahmen, planvolles Vorgehen und konsequente Umsetzung vorausgesetzt. Die radikalste Maßnahme ist, für Surfen und E-Mail einen gesonderten Arbeitsplatz zu nutzen, der keinen physischen Anschluss an das Praxisnetzwerk hat. Dieses Vorgehen schafft sehr hohe Sicherheit, bringt aber auch einen beträchtlichen Komfortverlust mit sich. Das Weiterleiten von E-Mails ist nicht möglich oder nur „zu Fuß“ über das Ausdrucken der Mails. Datenaustausch mit Kostenträgern oder anderen Leistungserbringern kann nur über diesen Arbeitsplatz erfolgen. Letztlich ist dieser Weg nur für kleine Praxen mit wenigen Mitarbeitern möglich. Die sind aber bestmöglich geschützt.

Backup, Backup, Backup

Die zweite potenziell sehr wirksame Methode zum Schutz der Daten ist das Backup. Das Ziel ist dabei, sämtlich Systeme so zu sichern, dass sie im Falle eines Schadens schnell rekonstruierbar sind. Die Praxis soll kurzfristig wieder arbeitsfähig sein, und zwar mit allen Kunden- und Kontaktdaten, mit virenfreien Servern und Arbeitsstationen. Das mag vielleicht nicht so schwierig klingen. Aber im Ernstfall zeigen sich oft Schwächen der Backup-Methoden oder ihrer Ausführung.

Es gibt eine Reihe von Backup-Methoden; die wollen wir an dieser Stelle nicht vertiefen. Zu einer funktionierenden Strategie gehört es, mehrere Generationen von Backups vorzuhalten. Die müssen zwingend ohne physischen Anschluss an das Netzwerk gelagert werden, sonst wären sie im Falle eines Angriffs ebenfalls betroffen. Das kann auf einem nur temporär zugeschalteten NAS sein oder auf Wechselplatten. Zudem sollten Backups teilweise außerhalb der Praxisräume gelagert werden. Sonst kann ein Brand oder ein Wasserschaden die datentechnische Grundlage des Praxisbetriebs zerstören.

Mitarbeiter sensibilisieren

Angreifer aus dem Internet können nur zuschlagen, wenn ihnen jemand die Tür öffnet, das heißt: Dateianhänge anklickt oder Webseiten besucht. Es hilft, wenn Mitarbeiter die Zusammenhänge verstehen und darauf achten – auch wenn sie eigentlich nicht technikaffin sind. Dazu gehört, auf keinen Anhang oder Link zu klicken, den sie nicht kennen oder erwarten. Als einfache Maßnahme sollte im Internet Explorer das Häkchen bei „Dateinamenerweiterungen“ gesetzt sein. Dadurch werden ausführbare Programme angezeigt. Dazu gehören *.com, *.exe, *.bat, *.cmd und *.pif. Die Mitarbeiter sollten diese potenziell risikobehafteten Dateien von. z.B. Bildern (*.jpg u.a.) und PDF unterscheiden können.

Diese drei Maßnahmen wirken mehr oder weniger gegen alle Gefahren aus dem Internet, auch die erwähnten „Zero-Day-Exploits“. Wenn Sie die beachten, ist schon viel erreicht.