Zwei Musterszenarien zeigen

So teuer ist eine Cyberattacke!

142133-flexible-1900
AdobeStock – pinkeyes
Heftarchiv Praxis
Ausgabe 10/2019
Ausgabe 10/2019
Was würden Sie tun?
ck/sg
Die meisten niedergelassenen Ärzte und Apotheker wissen, dass funktionierende Computersysteme für ihre Arbeit wichtig sind. Doch das Risiko, selbst Opfer eines Cyberangriffs zu werden, blenden viele aus – zum Glück trifft es immer nur die anderen. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat in zwei Musterszenarien dargestellt, wie eine Cyberattacke verlaufen kann – und welche Summe eine Cyber-Versicherung decken würde.

1. Musterszenario Datenklau:

Hacker attackieren die IT-Systeme einer (Zahn-)Arztpraxis. Sie kopieren die Patientendaten und versprechen, gegen die Zahlung von Lösegeld auf eine Veröffentlichung der Daten zu verzichten.

  • Angriff

Die (Zahn-)Arztpraxis erhält per Mail einen Erpresserbrief. Die Kriminellen behaupten, im Besitz aller Patientendaten zu sein. Als Beleg senden sie kompromittierende Daten über fünf Patienten, die tatsächlich in der betroffenen Praxis in Behandlung waren. Sie drohen damit, die Daten zu veröffentlichen, wenn der Arzt nicht bereit ist, ein hohes Lösegeld zu zahlen.

  • Informationen an Patienten und Behörden

Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Arzt kein Lösegeld. Er muss aber die Datenschutzbehörden und seine Patienten über den Verlust der sensiblen Daten informieren. Um sicher zu gehen, dass er seinen Pflichten in vollem Umfang nachkommt, holt er sich Hilfe bei einem Rechtsanwalt. Die Patienten sind nach der Information verunsichert und haben intensiven Gesprächsbedarf. Das deckt eine Cyber-Versicherung: Der GDV rechnet hier mit Informationskosten von 4.000 Euro und Anwaltskosten von 2.000 Euro.

  • Security-Initiative

IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zugriff zu den Daten erlaubte. Das deckt eine Cyber-Versicherung: 5.000 Euro für IT-Forensik.

Die fünf größten Risikofaktoren

1. Passwörter/Zugänge

  • sehr einfach zu erratende Passwörter (Behandlung, Praxis, Name des Arztes)

  • Mehrere Benutzer teilen sich dieselbe Zugangskennung.

  • Alle Benutzer haben Administratorenrechte. 

  • Es wird nicht geprüft, ob alte Administratorenrechte noch bestehen.

2. Arglose Mitarbeiter

  • Mitarbeiter klicken auf den in der E-Mail enthaltenen Link und laden das anhängende Word-Dokument herunter. 

  • Im schlimmsten Fall wird sogar das Schadprogramm ausgeführt.

3. Nicht ausreichende Datensicherungen 

  • Viele Praxen erstellen mindestens wöchentlich eine Datensicherung, verschlüsseln diese aber nicht.

  • Wenige Praxen testen, ob sich die Daten auch wiederherstellen lassen.

4. Fehlende Sicherheits-Updates

  • Viele Praxen haben keine aktuellen Sicherheits-Updates ihrer IT-Systeme.

5. Keine Vorbereitung auf den Notfall

  • Die wenigsten Praxen verfügen über ein schriftliches Notfallkonzept für den Fall eines IT-Ausfalls, viele verlassen sich auf ihren IT-Dienstleister; nur wenige haben allerdings einen entsprechenden Vertrag mit einem Dritten.

Quelle: GDW

  • Betriebsunterbrechung

Bis die Schwachstellen geschlossen und weitere Datendiebstähle verhindert sind, bleibt die Arztpraxis geschlossen. Auch die Abrechnung mit den Krankenkassen ist nicht möglich. Das deckt eine Cyber-Versicherung: Kosten für zwei Tage Betriebsunterbrechung: 5.000 Euro.

  • Datenmissbrauch

Die Hacker veröffentlichen die Gesundheitsdaten einiger Patienten. Die Betroffenen beauftragen Spezialisten mit der Löschung der unrechtmäßig veröffentlichten Daten und verlangen vom Arzt Schadenersatz. Das deckt eine Cyber-Versicherung: Schadensersatz: 20.000 Euro nach Artikel 82 DSGVO.

  • Vertrauenskrise

Nachdem die lokale Presse über den Datendiebstahl berichtet, wenden sich zahlreiche Patienten von der Praxis ab, der Patientenstamm schrumpft deutlich. Das deckt eine Cyber-Versicherung: 1.000 Euro für Krisenkommunikation, der Umsatzrückgang ist nicht gedeckt.

  • Aufarbeitung

Die Datenschutzbehörden verhängen aufgrund des Datenverlusts ein hohes Bußgeld. Das deckt eine Cyber-Versicherung: Über eine Cyberversicherung gedeckt sind laut GDV die Informationskosten, die Anwaltskosten, die Kosten für die IT-Forensik, die Betriebsunterbrechung und die Krisenkommunikation. Das Bußgeld ist nicht gedeckt.

Das sichere Passwort

1. Denken Sie sich lange Passwörter aus!

Sonderzeichen und Großbuchstaben helfen nur bedingt weiter, ebenso das ständige Wechseln von Passwörtern. Wichtiger ist die Länge. Hacker „raten“ Passwörter in der Regel nicht, sondern probieren in kurzer Zeit große Mengen möglicher Kombinationen aus. Je länger das Passwort ist, desto länger braucht auch der Computer. Ein einfaches Beispiel, das Sie bitte nicht so verwenden: Um „Pa$$W0rt“ zu knacken, braucht ein herkömmlicher PC nach Auskunft der Webseite checkdeinpasswort.de gerade mal sechs Stunden, für „Pa$$W0rtHallo123“ mehrere Milliarden Jahre.

2. Verwenden Sie einen Passwort-Manager!

Sie können und wollen sich die vielen langen und komplizierten Passwörter nicht merken? Dann fangen Sie auf keinen Fall an, immer das gleiche oder nur ein leicht abgewandeltes Passwort einzugeben. Das macht es Hackern zu einfach. Die bessere Alternative sind Passwort-Manager. Sie generieren und verwalten starke (= lange) Passwörter, die Sie sich nicht merken müssen; das übernimmt der Manager. Da die Anbieter ihre Daten in aller Regel verschlüsseln, sind die Passwörter auch gegen Hackerangriffe geschützt. Sie brauchen für alle Passwörter hingegen nur noch das „MasterKennwort“ – das natürlich wiederum sehr sicher sein sollte.

3. Nutzen Sie die Zwei-Faktor-Authentifizierung!

Für den Schutz von Patientendaten sollten Sie ernsthaft eine Zwei-Faktor-Authentifizierung in Betracht ziehen. Das Verfahren kennen Sie von Ihrer Bank: Am Automaten brauchen Sie ihre Giro-Karte (1. Faktor) und die PIN (2. Faktor), auch eine Überweisung beim Online-Banking funktioniert in aller Regel nur mit PIN und TAN. Den Zugang zu Ihren Systemen können Sie genauso schützen – dann bekommen Sie nach der Eingabe Ihres Passworts zum Beispiel noch einen Code auf Ihr Smartphone geschickt. Alternativ erhält jeder Mitarbeiter eine Chipkarte, mit der er sich identifizieren kann. Mit dem Passwort allein können Hacker dann nichts mehr anfangen.

Quelle: GDW

2. Musterszenario Ransomware:

Hacker attackieren die IT-‧Systeme einer Apotheke und sperren die Systeme. Sie wollen die Systeme erst wieder freigeben, wenn sie vom Praxisinhaber Lösegeld bekommen.

  • Angriff

Die IT-Systeme der Apotheke sind ohne Funktion, auf den Bildschirmen erscheint lediglich die Nachricht der Erpresser.

  • Austausch der IT-Systeme

Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Apotheker kein Lösegeld. IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zugriff zum System erlaubte. Sie setzen neue, sichere Systeme auf und stellen alle Daten der Apotheke aus den Sicherungskopien wieder her. Das deckt eine Cyber-Versicherung: Kosten für IT-Forensik: 5.000 Euro

  • Betriebsunterbrechung

Bis die Systeme wieder laufen, bleibt die Apotheke geschlossen. Die Abrechnung mit den Krankenkassen ist nicht möglich. Das deckt eine Cyber-Versicherung: Kosten für fünf Tage Betriebsunterbrechung: 12.500 Euro.

  • Vertrauenskrise

Nachdem die lokale Presse vom Cyberangriff erfährt und darüber berichtet, wenden sich zahlreiche Kunden von der Praxis ab, der Kundenstamm schrumpft deutlich. Das deckt eine Cyber-Versicherung: Kosten für Krisenkommunikation: 1.000 Euro, der Umsatzrückgang ist nicht gedeckt.

ck/sg

Empfohlene Beiträge

Melden Sie sich hier zum zm-Newsletter des Magazins an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Heft-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm Online-Newsletter und zm starter-Newsletter.