„Besorgniserregend“ – Cyberattacken werden immer häufiger
WIESBADEN. 136.000 Cyberangriffe alleine aus dem Inland hat das Bundeskriminalamt im letzten Lagebild für 2022 registriert. Dabei kommt geschätzt nur jeder zehnte Vorfall überhaupt zur Anzeige. Entsprechend bewertet das BKA die Lage als besorgniserregend. Praxen und Kliniken sind dabei Opfer von ziellosen wie auch von zielgerichteten Angriffen. Ihre Verantwortung ist hoch.
Angriffe auf Einrichtungen im Gesundheitswesen sind im Vergleich zum Vorjahr um 74 % gestiegen, sagt der Security Report 2023 von Check Point Software Technologies. Und weltweit gehört das Gesundheitswesen aktuell zu den drei am häufigsten attackierten Branchen.
„Gerade MVZ, Arztpraxen und Diabetologische Schwerpunktpraxen sind attraktive Opfer für Cyberkriminelle. Die Täter haben leider oft leichtes Spiel!”, sagt Dr. Friedhelm Petry, Diabetologe in einer Gemeinschaftspraxis in Wetzlar, der sich tief in die Thematik eingearbeitet hat. „Umfragen zeigen immer wieder, dass bei der Mehrheit der Praxen die Türen für Cyberkriminelle weit offen stehen.”
Praxen werden überholt von der galoppierenden Digitalisierung
Eines der Probleme: Kliniken und vor allen Dingen Arztpraxen, die nicht zu großen Strukturen gehören, fällt es aufgrund ihrer Größe oft schwer, ausreichend Expertise und Ressourcen für den professionellen Umgang mit der so zügig voranschreitenden Digitalisierung abzustellen. Auch die Bereitschaft, sich mit den Gefahren der Digitalisierung auseinanderzusetzen, ist oft nicht die größte – man hat ja schließlich Medizin studiert, um ärztlich zu arbeiten, nicht um IT-Probleme zu lösen.
So nachvollziehbar diese Position auch ist: Sie greift leider zu kurz. Denn gleichzeitig sind es die Ärztinnen und Ärzte, die für das haften, was in ihrer Praxis mit den Patientendaten passiert. Und die Vorstellung, dass die Praxis einige Tage einfach ausfallen könnte, weil kein PVS mehr funktioniert, kein Rezept mehr ausgestellt werden kann und auch das Kartenlesegerät nicht funktioniert, bringt jedes Praxisteam an den Rand des Vorstellungsvermögens: Versorgende Einrichtungen stehen mehr als alle anderen Unternehmen unter einem extremen Ausfalldruck.
Szene der Cyberkriminellen hat sich professionalisiert
Gleichzeitig werden die Täter aus der globalen Cybercrime-Industrie immer professioneller. Im Darknet ist ein großes Sortiment an Schadsoftware erhältlich. „Unter dem Schlagwort ‚Crime as a service‘ bieten mittlerweile hochprofessionelle Täter anderen Kriminellen ohne IT-Know-how ihre Dienste an”, beschreibt der Diabetologe Dr. Petry die Professionalisierung der Cybercrime-Szene. Die größte Bedrohung für Arztpraxen geht dabei von Ransomware aus. Bei einem solchen Angriff wird über eine der möglichen Schwachstellen im System – z. B. über eine Mail oder einen USB-Stick – ein Trojaner in das System eingebracht. Über das Programm nimmt der Erpresser Zugriff auf den Computer und macht z. B. die Daten im System unzugänglich, sodass die Praxis nicht mehr arbeiten kann.
Dann erhält die Praxis ein Erpresserschreiben, in dem angedroht wird, die Datensätze im Darknet zu verkaufen, wenn nicht eine bestimmte Summe gezahlt wird. Entspricht diese Summe relativ genau einem Ihrer Bankguthaben, können Sie übrigens davon ausgehen, dass Sie schon länger ausgespäht wurden. Der Verkauf der Gesundheitsdatensätze im Darknet ist allerdings mindestens genauso lukrativ – Experten sprechen von Verkäufen zum Preis von bis zu 250 Euro pro Datensatz. Zum Vergleich: Eine Kreditkartennummer gibt es schon für 5 Euro.
| Umfrage zum dt-Report Für die Umfrage zum dt-Report werden jedes Jahr Diabetolog*innen befragt, alle zwei Jahre alternierend Menschen mit Diabetes (in 2023) und Diabetesberater*innen (in 2024). Durch den Vergleich der Antworten im Längsschnitt über die letzten fünf Jahre und zwischen den unterschiedlichen befragten Gruppen ergibt sich ein differenziertes Bild der aktuellen und zukünftigen Entwicklung von neuen Technologien in der Diabetologie. Österreich und Schweiz waren erstmals dabei, geplant ist, die Umfrage auf Frankreich und England auszuweiten. www.dut-report.de |
Während der kriminelle Übergriff für die Täter also sehr lukrativ ist, steht auf der anderen Seite der potenziell große Impact auf die Patient*innen. Denn die Schäden, die ein Mensch durch den Verlust bzw. die Offenbarung von Gesundheitsdaten erleiden kann, bleiben lebenslang bestehen – und bei Erkrankungen mit erblichem Faktor sogar über die Generationen hinweg.
Auch das Öffentlichwerden von chronischen Erkrankungen wie Diabetes kann für Betroffene sehr bedrohlich sein. Sie fürchten, auf dem Arbeitsmarkt oder bei Versicherungsabschlüssen Nachteile zu erleiden oder Diskriminierungen ausgesetzt zu werden. Hier wird der hohe Verantwortungsdruck auf das Gesundheitswesen deutlich – zumal es angesichts der Zahl und der Professionalisierung der Angriffe heute keine Frage mehr ist, ob eine Praxis einen durchschlagenden Cyberangriff erleiden wird, sondern nur wann. Arztpraxen müssen deswegen alle nur möglichen Vorkehrungen treffen, um Angriffe auf die Praxis-IT zu verhindern. Und zwar unabhängig von Größe oder Art der Praxis – diese Kriterien können das Risiko weder verkleinern noch vergrößern: Oft werden die Schadprogramme in Massen abgefeuert und dringen einfach überall ein, wo sie eine Schwachstelle finden.
Zahlen oder kämpfen – da streiten sich die Gelehrten
Im Ernstfall stellt sich dann für die von Ransomware-Angriffen betroffenen Praxen die Frage, ob sie der Lösegeldforderung, die im vierstelligen, aber auch im sechs- oder sogar siebenstelligen Bereich liegen kann, nachkommen sollen. Sicherheitsbehörden fordern dazu auf, der Zahlungsaufforderung nicht nachzukommen, da nicht garantiert ist, dass die Systeme und Daten wirklich freigegeben und keine Datensätze abgezogen werden. Außerdem bestehe die Gefahr, in Täterkreisen als „Zahler“ markiert zu werden. Andere argumentieren, dass das Geschäftsmodell der Täter darauf beruhe, selbst verlässlich zu sein: Werde bekannt, dass trotz Zahlung keine Freigabe erfolgt, riskierten die Kriminellen, dass zukünftig niemand mehr Lösegeld zahlt.
Was im Rahmen der Diskussion um die Lösegeldzahlung häufig untergeht, ist die strafrechtliche Problematik einer Zahlung, sagt der Rechtsanwalt Daniel Lindenberg. Problematisch sind Lösegeldzahlungen zunächst mit Blick auf Embargovorschriften bzw. Sanktionslisten. Da der Angegriffene meistens nicht weiß, an wen er das Geld zahlt, können zumindest strafbewehrte fahrlässige Sanktionslistenverstöße vorliegen.
Daneben erfüllt die Zahlung des Lösegelds auch den Straftatbestand der Unterstützung einer kriminellen Vereinigung. Eine Lösegeldzahlung wird nur bei existenzbedrohenden Eingriffen bzw. Veröffentlichung sensibelster Daten als möglicherweise gerechtfertigt angesehen, nur, wenn die Zahlung zum Zwecke der Gefahrenabwehr für Leib, Leben oder Freiheit erfolgt.
„In Bezug auf die diabetologische Praxis ergeben sich auf dieser Basis gute Verteidigungsmöglichkeiten, da nur durch die Lösegeldzahlung die ordnungsgemäße Behandlung der Patienten sichergestellt werden kann”, so Lindenberg. Trotzdem werden die Behörden im Einzelfall bei einer Interessenabwägung prüfen, so der Rechtsanwalt, ob der Betroffene angemessene IT-Sicherheitsvorkehrungen vorgenommen hatte. Die datenschutzrechtlich verankerte Pflicht zur Gewährleistung von IT-Sicherheit gewinnt dadurch an Bedeutung. Genauso wie die regelmäßige Erstellung von Back-ups, die häufig zu einer schnellen Schadensbegrenzung verhelfen.
Anouschka Wasner