Digitale Erpressung – eine reale Gefahr für die Praxis?
Herr Henrici, Ransomware-Angriffe legen momentan viele Unternehmen – auch Zahnarztpraxen – lahm. Mithilfe dieser Erpressungstrojaner verschlüsseln Hacker den gesamten Datenbestand im Praxisnetzwerk und geben ihn erst gegen eine Lösegeldzahlung wieder frei. Wie wurden Sie mit diesem Thema konfrontiert?
Christian Henrici:
Der hier beschriebene Fall eines Zahnarztes war der erste, der mir in diesem Maße so konkret bekannt wurde und mich dazu veranlasste, mich intensiver mit dem Thema Datenschutz und -sicherheit und der sich daraus ergebenen Kriminalisierung zu beschäftigen. Bislang war auch für mich „Sicherheit“ ein Thema, das ich in fachkundigen Händen zu wissen glaubte und von dem ich dachte, mich damit nicht tiefergehend auseinandersetzen zu müssen. Ich wurde eines Besseren belehrt.
Was ist passiert?
Im vierten Quartal vergangenen Jahres erfuhr ich von zahlreichen Fällen, in denen Zahnarzt- und Arztpraxen Opfer von Cybercrime, Datenklau und Daten-Kidnapping wurden. So unterschiedlich die Praxen auch sein mögen – eines haben sie gemeinsam: die Scheu, über ihre Fälle zu sprechen.
Scheu? Weshalb?
Ausschlaggebend sind meines Erachtens zwei Gründe: erstens die Angst vor einem Revancheakt der Täter. Zweitens die Angst, öffentlich vom Opfer zum Täter gemacht zu werden, weil der Praxisinhaber für die Datenerfassung, -haltung und -sicherheit verantwortlich ist. Insbesondere dafür, dass mit diesen Daten vernünftig und sorgsam umgegangen wird und dass er alles in seiner Macht Stehende tut, um diese Daten zu schützen. Sollten dennoch Daten gekapert werden, besteht aufseiten des Praxisinhabers eine Fürsorgepflicht, die unrechtmäßige Kenntniserlangung von Daten durch Dritte unverzüglich der Aufsichtsbehörde sowie den Patienten und Kunden zu melden.
Zu welchem Zeitpunkt muss der Praxisinhaber die Betroffenen denn informieren?
Die Benachrichtigung muss erfolgen, sobald angemessene Maßnahmen zur Datensicherung ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird (vgl. § 42a BDSG). „Unverzüglich“ ist zwar ein dehnbarer Begriff, verdeutlicht aber die Ernsthaftigkeit, die dem Thema von behördlicher Seite gewidmet wird.
Vor diesem Hintergrund bin ich sehr dankbar, dass Dr. Michael Kann, ein Zahnarzt mit ausgeprägter IT-Affinität, sich stellvertretend für viele Kollegen bereit erklärt hat, mit mir über das Thema zu reden.
Das Fazit seiner bisherigen Erfahrungen mündet in einem klaren Appell an alle Praxisinhaber: Um die Praxis-, Patienten- und auch Mitarbeiterdaten zu sichern und sich vor hohen Kosten durch Arbeitsausfälle und/oder Lösegeldzahlungen zu schützen, sollte sich jede Praxis rechtzeitig mit den notwendigen Maßnahmen des Datenschutzes und der Datensicherheit auseinandersetzen.
Das heißt im Klartext?
Im Klartext heißt das: Sind zum Beispiel nach einem Krypto-Ransomware Angriff die Praxisdaten nicht mehr im Zugriff, ist die Praxis hilflos. Behördenseitig kann nur selten eine rasche Wiederherstellung erreicht werden, dann nämlich, wenn die Verschlüsselungssoftware dort bekannt ist. Die Kosten, das „Problem“ zu lösen, sprengen jede Vorstellungskraft und dadurch, dass es weder einen Zugriff auf elektronische Terminverwaltung noch auf die Patientendaten, geschweige denn auf die Abrechnungsdaten gibt, ist eine Weiterführung des Behandlungsalltags unmöglich. Dazu muss man sich nur mal vor Augen führen, wie man seine Patienten benachrichtigen will, wenn die Patientendaten gekapert sind.
Sie haben ja mit vielen Praxisinhabern gesprochen. Wie handhabt die Mehrheit den Datenschutz und die Datensicherheit?
Erstens: Eine große Anzahl von Zahnarztpraxen mit Internetzugang nutzt ein nicht ausreichend gesichertes System. Zweitens: Mittels randomisierter Brute-Force-Attacken – das sind automatisierte Dauerattacken auf der Suche nach Passwörtern – auf RDP-Server wurden viele Zahnarztpraxen angegriffen und Daten gekapert, wodurch es zu erheblichen Lösegeldzahlungen kam. Drittens: Von neun IT-Firmen, mit denen ich gesprochen habe, haben sich lediglich zwei über einen gewissen Standard hinaus mit Cybercrime und Abwehrmaßnahmen beschäftigt.
Wie interpretieren Sie diese Situation?
Die Gefahrenlage ist leider nur wenigen Praxisinhabern wirklich bewusst. Die Frage, wie die eigene Praxis geschützt werden kann, was zu tun ist, damit eine vernünftige Sicherheit gewährleistet ist, muss sich allerdings jeder Praxisinhaber stellen.
Wie haben Sie und Ihr Team reagiert?
Wir haben auf Basis der unbefriedigenden Recherche Anfang Dezember eine Security-Task-Force gegründet und nach den besten IT-Spezialisten gefahndet, die es im Markt gibt. Dabei haben wir mit ehemaligen Hackern gesprochen und uns mit IT-Spezialisten zusammengesetzt, die über die notwendige Expertise in diesem Bereich verfügen. Danach haben wir das Team aus verschiedenen Disziplinen und Firmenzugehörigkeiten gebildet.
Was empfehlen Sie der Zahnarztpraxis?
Privat
Erstens: Vergewissern Sie sich, ob der für Ihre IT-Sicherheit zuständige Mitarbeiter beziehungsweise das zuständige Unternehmen alle notwendigen Maßnahmen zum Schutz Ihrer technischen Infrastruktur ergriffen hat. Zweitens: Lassen Sie den Ist-Zustand Ihrer Praxis im datenschutzrechtlichen Zusammenhang von einer externen Stelle unabhängig von Ihrem IT-Dienstleister überprüfen. Auf diese Weise können Sie grobe Verstöße gegen die geltenden Sicherheitsrichtlinien minimieren oder gar eliminieren. Achtung: Ihre Dienstleister stehen Ihnen beratend zur Seite, die Haftung liegt jedoch allein bei der Praxis, da diese für die Datenhaltung verantwortlich ist. Sie reduzieren hiermit allerdings das Risiko einer Einschätzung fahrlässiger Handhabe seitens der Justitia. Drittens: Vereinbaren Sie mit Ihrem IT-Dienstleister regelmäßige Kontrollen im Hinblick auf die Aktualität der ergriffenen Maßnahmen und Ihrer eingesetzten Programme beziehungsweise Anwendungen.
Wie schätzen Sie diese Bedrohung ein?
In meiner mittlerweile 15-jährigen Tätigkeit im Dentalmarkt habe ich nirgends eine derartige Existenzgefahr wie bei diesem Thema gesehen.
