Cybercrime im Praxisalltag

Vorsicht vor der netten Assistentin

Die Dimension ist erschreckend – Millionen Patientendaten, 13.000 davon allein aus Deutschland, liegen über Jahre ungeschützt und frei zugänglich auf einem Server. Darunter Röntgenaufnahmen mit hochsensiblen personenbezogenen Informationen wie Geburtsdatum, Vor- und Nachname, Termin der Untersuchung usw. Durch ungeschützte Praxis-IT-Systeme und fehlendes Bewusstsein für die Gefahr können (Zahn-)Ärzte schnell zu Mittätern werden.

AdobeStock/Kaspars Grinvalds

Ein voller Vortragssaal. Vorn ein Redner, der irgendetwas über Datenschutz erzählt. Plötzlich kommt Bewegung ins Publikum: Der Vortragende erbittet ein Smartphone für eine Demonstration. Er sei überzeugt – ohne weitere Informationen wie Sperrcodes –, dem Gerät wichtige persönliche Daten entlocken zu können. Ein Herr aus der ersten Reihe lässt sich auf das Spiel ein. Wenige Augenblicke später erfährt das Publikum den Namen des Handybesitzers – Michael – durch die freundliche Stimme seiner persönlichen elektronischen Assistentin namens Siri. Angaben zu Handynummer und Adresse wären ebenfalls möglich gewesen, die der Referent jedoch mit Blick auf den Datenschutz taktvoll für sich behält. Als nächstes werden dem Gerät noch Einträge aus dem Kalender entlockt: Michael hat 13 Termine im Dezember. Selbst jene Einträge werden aufgezählt, die nicht zuvor explizit in den Geräte-eigenen Terminkalender eingegeben wurden. Siri ist nämlich nicht nur aufmerksam, sie hat auch ein Elefantengehirn. Und ist unter Umständen auch Unbefugten gegenüber sehr auskunftsfreudig.

 

Siri – das elektronische Datenleck

Der Redner ist Tom Weinert, seines Zeichens Kriminalhauptmeister am Kriminalkommissariat in München. Er nutzt diesen effektvollen Kniff gern für seine Vorträge zum Thema Cybercrime. Denn nicht selten mündet das unbekümmerte Lachen des Publikums in betroffenes Raunen. So ist es auch auf dem 23. Saarländischen Zahnärztetag Anfang September in Saarbrücken. Weinert weiß, der Herr in der ersten Reihe ist nicht der einzige, dessen Smartphone schon länger kein Update mehr erhalten hat und bei dem vorinstallierte Standardeinstellungen im Betriebssystem oder gern genutzte Apps oft ungeprüft verwendet werden.

Aber wie konnte Weinert den Sperrcode umgehen? Ganz einfach: Er rief manuell – durch langen Tastendruck der Home-Taste – Siri auf und stellte ihr Fragen („Wem gehört dieses Smartphone?“) oder gab Befehle („Zeige mir alle Termine für Dezember!“). Natürlich hat der Hersteller an dieser Stelle längst nachgebessert und eine Sicherung eingeführt. Inzwischen kann das unbefugte Aufrufen des elektronischen Assistenten im Sperrbildschirm mithilfe eines Codes verhindert werden. Dazu müssen die Voreinstellungen nur minimal geändert werden.

Solche Sicherheitslücken sieht Weinert immer wieder. Was hier harmlos und lustig dargestellt wurde, bekommt einen anderen Beigeschmack vor dem Hintergrund, dass Ärzte mit diesen Geräten mitunter auch Patienten-spezifische Informationen verarbeiten – mal eben wird dem Kollegen ein Röntgenbild geschickt oder sich über einen Patienten in einem Messenger-Dienst ausgetauscht. In den meisten Fällen sind derartige Weitergaben von Patientendaten durch die vom Patienten unterschriebene Datenschutz-Information in dem Passus „Weitergabe an Dritte“ gedeckt und legal. Ein schneller Austausch von Ärzten untereinander ist schließlich vorteilhaft. Je nach verwendetem Messenger kann unter „Weitergabe an Dritte“ aber auch die Freigabe der Daten für Facebook, Google oder andere Datenkraken fallen.

Auch im Praxisalltag sind es eher Unachtsamkeiten aus Gewohnheit oder Unwissen, die zu verheerenden Sicherheitslücken führen (können). Grob fahrlässige Missgriffe wie frei zugängliche Netzwerkdosen im öffentlichen Bereich der Praxisräume oder nicht abgeschlossene Serverschränke sind selten, aber es gibt sie. Zu den häufigsten Fehler-Szenarien zählt Weinert: Ordnungsgemäß und regelmäßig gezogene Back-ups werden auf einer externen Festplatte gespeichert, die dann aber nicht physisch vom System getrennt wird. Oder es findet keine Trennung zwischen einzelnen Benutzeroberflächen statt, das heißt, mehrere Benutzer verwenden dieselbe Zugangskennung mit sehr einfachen oder gar keinen Passwörtern – im schlimmsten Fall in der Administrator-Umgebung. Platz eins der Infektionswege belegt die unbedarfte Öffnung eines E-Mail-Anhangs aus unbekannter Quelle.

 

Bewerbung.pdf. ... oder Bewerbung.pdf.exe?

Seit einer Weile macht eine besonders perfide Schadsoftware die Runde: Als Bewerbung gekennzeichnete E-Mails, die inhaltlich sogar auf spezifische Stellenausschreibungen abgestimmt sind, enthalten als Anhang eine als PDF getarnte Ransomware, also eine Schadsoftware, die Daten des infizierten Systems verschlüsselt und meist eine Lösegeldforderung mitsendet.

Ein Problem kann auch eine vorinstallierte Standardeinstellung des Betriebssystems sein, die Dateianhänge – beispielsweise .pdf, .doc, .exe – dem Anwender verbirgt. Beliebte Vehikel für Schadsoftware sind beispielsweise Makros in Office-Anwendungen oder eben PDFs. Wenn die Voreinstellungen des Systems die Anhänge verbergen, sieht eine E-Mail mit dem Anhang „Bewerbung.pdf“ harmlos aus. Mit den eingeblendeten Dateianhängen kann daraus jedoch eine „Bewerbung.pdf.exe“ werden, was sämtliche Alarmglocken des Empfängers zum Schrillen bringen sollte. Ein geschütztes System würde hier bei Öffnung der Datei melden, dass der Anwender im Begriff ist, ein Programm auszuführen. ‚Ausführen‘ steht für installieren, steht für .exe und ist absolut zu vermeiden, wenn der Absender nicht bekannt ist.

Grundsätzlich keine E-Mail-Anhänge zu öffnen, ist natürlich auch keine Lösung. Das Risiko lässt sich jedoch mit relativ einfachen Maßnahmen minimieren. Zunächst sollten unterschiedliche Nutzerkonten mit den entsprechenden Berechtigungen angelegt werden. Das heißt, die „Bewerbung.pdf.exe“ dürfte ein Nutzer ohne Berechtigung nicht öffnen.

 

Jede zweite Praxis hat das Passwort „Praxis“

Für Mitarbeiter, die öfter mit unbekannten E-Mail-Absendern zu tun haben, gibt es einfache Werkzeuge, um eine Infizierung des Systems zu verhindern: Sogenannte Sandbox-Umgebungen sind vom System abgeschirmte Bereiche, in denen sich PDFs unbekannter Herkunft problemlos öffnen lassen, ohne dass sich deren Inhalt – im Fall von Schadsoftware – über das ganze Computersystem ausbreiten kann. Solche Sandboxen gibt es auch Browser-basiert (www.virustotal.com), so dass eine gespeicherte PDF gar nicht erst im eigenen System geöffnet werden muss.

Wer sich und seine Praxis für zu klein und unbedeutend für einen Angriff hält, ist auf dem Holzweg. (Zahn-)Ärzte sind eine beliebte Zielgruppe, denn aufgrund des hohen Imageschadens, den ein Verlust von Patientendaten mit sich bringen würde, sind sie eher zu Lösegeldzahlungen bereit. IT-Experte Michael Wiesner kam in einer stichprobenartigen Überprüfung von 25 Arztpraxen und Apotheken zu dem Schluss, dass sich 80 Prozent der Befragten mit ihrem IT-System sicher fühlen.

Fun-Fact: Jede zweite Praxis benutzte das Passwort „Praxis“ für die Anmeldung in der Nutzeroberfläche.
Jeder Chef wünscht sich ein loyales, verschwiegenes und zuverlässiges Praxisteam, das in Sachen Datenschutz verantwortungsbewusst handelt. Diese Erwartungshaltung wird allzu gern und selbstverständlich auch auf die elektronische Assistentin projiziert. Dumm nur, wenn diese dann Geheimnisse preisgibt.

Datenleck

Wenn der TI-Profi patzt

Wie schnell ein Fehler im Umgang mit empfindlichen Daten einen massiven Imageschaden verursachen kann, zeigt der Fall der CompuGroup Medical (CGM): Eigentlich soll die CGM als zentraler Partner mit der Telematikinfrastruktur ein stabiles und vor allem sicheres Netzwerk der Kommunikation für Zahnärzte schaffen. Nun hat die Firma mit einer Rundmail Daten von mehr als 7.000 Zahnarztpraxen verschickt.
Anwender, die das Programm Z1.PRO der CGM nutzen, erhielten eine brisante E-Mail: Im Anhang befand sich statt der angekündigten Anwendungshilfe eine PDF mit sämtlichen E-Mail-Adressen der Z1.PRO-Nutzer, insgesamt 7.150 Zahnarztpraxen.

30596853048623304862430486253059686 3059687 3048628
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare