Für Cyberkriminelle sind Arztpraxen ein beliebtes Angriffsziel, da diese über eine Vielzahl von Patientendaten verfügen, die sich für Identitätsdiebstahl, Steuerbetrug und andere Finanzdelikte eignen. Mit zielgerichteten Massnahmen lässt sich die Cyber Security in der Arztpraxis erhöhen und damit das Risiko eines Cyberangriffs minimieren.
Weshalb sind für Cyberkriminelle besonders die kleineren Arztpraxen beliebte Ziele? Weil Angreifer wissen, dass eine kleine Praxis über ebenso wertvolle Patientendaten verfügt wie eine grosse Organisation, doch ein wesentlich schwächeres Schutzkonzept dahintersteht. Auch kleinere medizinische Praxen speichern Patientennamen, Adressen, Sozialversicherungsnummern, Geburtsdaten, Versicherungsdaten und vieles mehr. Diese Informationen sind für Kriminelle ideal, um Identitätsdiebstahl, Erpressungen und weitere Delikte zu begehen.
Ransomware: Hohes Risiko für Arztpraxen
Mit gefährlicher Ransomware (Erpressungs-Software) setzen die Delinquenten die IT von Arztpraxen ausser Betrieb oder verschlüsseln Patientendaten derart, dass sie vorübergehend nicht mehr nutzbar sind. Solche Blockaden dauern in der Regel so lange, bis die betroffene Praxis den Erpressern das geforderte Lösegeld zahlt. Andere Cyberkriminelle stehlen Patientendaten und drohen mit deren Veröffentlichung, wenn der geforderte Betrag nicht bei ihnen eintrifft.
Für medizinische Betriebe können solche Angriffe fatale Folgen haben: Die Praxis ist von der Aussenwelt nicht mehr erreichbar, Betriebsabläufe sind lahmgelegt, es drohen Imageschäden und Vertrauensverluste seitens der Patienten sowie Umsatz- und Gewinnausfälle.
Ransomware gelangt in der Regel via Phishing-E-Mails (gefälschte E-Mails) in die IT-Infrastruktur einer Arztpraxis. Auch Datendiebe setzen diese Methode ein. Die Kriminellen versuchen dabei, den Empfänger auf eine gefälschte Internetseite zu locken. Diese sind echten Seiten täuschend echt nachempfunden und fordern den Besucher dazu auf, Zugangsdaten einzugeben. Kommt er dieser Aufforderung nach, gelangen die Angreifenden in Besitz von Nutzernamen und Passwörtern. So können sie die Identität ihres Opfers bei den jeweiligen Internet-Diensten oder für den Zugang zur IT der Arztpraxis übernehmen.
Andere gefährliche E-Mails enthalten Schadsoftware in ihren Anhängen. Sobald eine Mitarbeiterin oder ein Mitarbeiter einen solchen Anhang öffnet, verschlüsselt ein Ransomware-Programm alle Daten auf dem Arbeitsplatzrechner und breitet sich auf andere PCs, Workstations sowie Server im Netzwerk aus.
Eine erfolgreiche Ransomware-Attacke kann das gesamte Netzwerk verschlüsseln und den Zugriff auf Patientendaten für lange Zeit verunmöglichen – der Praxisbetrieb ist unter Umständen wochenlang lahmgelegt. Und sollte die Praxis tatsächlich ein Lösegeld bezahlen, ist dennoch nicht sicher, ob die Angreifer die Daten auch wirklich freigeben.
Mitarbeitende als schwächstes Glied der IT-Sicherheit
Ein einmaliges unbeabsichtigtes Fehlverhalten eines einzigen Praxismitarbeiters genügt, um in die Fänge von Cyberkriminellen zu gelangen. Gemäss einer IBM-Studie sind die meisten erfolgreichen Cyberattacken auf das Verhalten der Mitarbeitenden zurückzuführen. Dazu gehören das Nichterkennen eines Phishing-Angriffs, den Verlust ihres Notebooks oder Smartphones oder der Versand von Patientendaten an falsche Empfänger.
6 Massnahmen zum Schutz von Arztpraxen vor Cyberangriffen
Mit geeigneten Schutzmassnahmen lässt sich die medizinische Praxis mit ihren Patientendaten vor Cyberangriffen schützen.
1. Einsatz von sicheren Passwörtern durch alle Mitarbeitenden
Passwörter sind für Mitarbeitende die Schlüssel zu verschiedenen Netzwerken des Praxisbetriebs: Dazu gehören IT-Anwendungen, Patientendaten, Onlinebanking, die Internetseite der Praxis, soziale Medien und weitere. In vielen Fällen sind sich Mitarbeitende nicht bewusst, was ein sicheres Passwort auszeichnet. Für die Praxisleitung ist es daher ratsam, verbindliche Regeln zur Wahl von sicheren Passwörtern festzulegen. Dazu gehören folgende Voraussetzungen:- Sichere Passwortlänge wählen mit einer Länge von 12 Zeichen oder mehr. Je länger, desto schwieriger zu erraten.
- Keine persönlichen Informationen anwenden (z.B. Geburtstage, Namen von Familienmitgliedern oder Haustieren).
- Keine Wörter aus dem Wörterbuch für das Passwort verwenden. Kriminelle verfügen über Software, mit der sie systematisch Wörter aus Wörterbüchern abfragen und damit leicht das Passwort erraten können.
- Die ersten Buchstaben der Wörter eines gut zu merkenden Fantasiesatzes statt eines einzelnen Worts für das Passwort wählen, z.B. «Weisse Hasen suchen ihr Futter immer um 7 Uhr morgens ausser am Freitag». Das Passwort lautet dann «WHsiFiu7UmaaF».
- Nach neuesten Erkenntnissen soll darauf verzichtet werden, den Einsatz von Sonderzeichen (*, &, !, $ usw.) im Passwort einzufordern, denn dies führt erfahrungsgemäss dazu, dass Nutzer die Sonderzeichen als Platzhalter für Buchstaben einsetzen. In der Folge verwenden sie einfach zu erratende Wörter und statten diese mit ein bis zwei Sonderzeichen aus, wie z.B. «W@ssersp!el», in der falschen Meinung auf diese Weise eine hohe Sicherheit zu erzielen.
- Für unterschiedliche Zugänge verschiedene Passwörter verwenden.
- Passwörter nicht offen zur Schau stellen. Das mag offensichtlich erscheinen, doch Untersuchungen zeigen, dass viele Nutzer ihr Passwort mit einem Klebezettel an ihrem Bildschirm befestigen.
2. Verschlüsseln von Daten
Auch verlorengegangene oder gestohlene Notebooks, Smartphones und USB-Speicher sind häufig die Ursache für Datendiebstahl. Zahlreiche Praxen sind sich nicht bewusst, wie viele Patientendaten sich auf mobilen Geräten befinden: Sie können in E-Mails, Tabellenkalkulationen, Dokumenten, PDF-Dateien und gescannten Bildern enthalten sein – wenn nun z.B. das persönliche Praxis-E-Mail-Konto der Mitarbeitenden auf ihrem Smartphone oder Notebook abrufbar ist, sind diese sensiblen Daten bereits mobil unterwegs.
Zudem gilt es zu berücksichtigen, dass Cyberkriminelle auch nicht davor zurückschrecken, in medizinische Praxen einzubrechen, um sich Zugang zu sensiblen Daten zu verschaffen. Dabei entwenden sie die auffindbaren Desktop-Computer oder Speicher und greifen danach auf die gespeicherten Daten zu.
Der beste Weg sensible Patientendaten zu schützen, ist die Verschlüsselung der Daten. Geht ein mobiles Gerät mit Datenverschlüsselung verloren oder wird es gestohlen, so haben Unbefugte keinen Zugriff auf die darin enthaltenen Informationen.
Arten der Datenverschlüsselung
- E-Mail-Verschlüsselung: E-Mails, die Patienteninformationen und andere sensible Daten enthalten, lassen sich verschlüsseln. Über solche E-Mails gesendete Daten sind geschützt.
- Verschlüsselung für SMS-Versand: Über herkömmliche SMS versendete Daten zwischen zwei Mobiltelefonen sind nicht geschützt. Ratsam ist der Einsatz von sicheren Texting-Anwendungen, die SMS-Daten verschlüsseln.
- Verschlüsselung von Arbeitsplätzen: Auch für Daten auf Notebook- und Desktop-Computern sowie Workstations ist eine Verschlüsselung sinnvoll, damit sämtliche darauf gespeicherten Daten geschützt sind. So führt ein Diebstahl oder Einbruch in den Praxisbetrieb nicht zu Datenschutzverletzungen.
3. Sicherheitsschulung für Mitarbeitende
Da meist das fehlende Risikobewusstsein bei Mitarbeitenden die Ursache für IT-Sicherheitsvorfälle ist, muss die Praxisleitung dafür sorgen, dass sich das Personal sicherheitskonform zu verhalten weiss. Wichtig dabei ist die Sensibilisierung der Mitarbeitenden für Sicherheitsrisiken sowie die Weitergabe der entsprechenden Handlungsanweisungen anlässlich von regelmässigen Schulungen. Folgende Inhalte sind für Cyber-Security-Schulungen von hoher Wichtigkeit:
- Phishing-Attacken identifizieren: Die Praxis-Mitarbeitenden sollen in der Lage sein, verdächtige E-Mails oder Websites selbständig zu erkennen, um zu vermeiden, dass sie auf einen betrügerischen Link klicken, eine schädliche Software herunterladen oder falsche Updates und Treiber installieren. Insbesondere sollten sie den 20-Sekunden-Check zur Identifikation von Phishing E-Mails beherrschen.
- Passwortregeln beherrschen: Die Mitarbeitenden sollen die Kriterien eines starken Passwortes kennen sowie die oben erläuterten Regeln für den sicheren Umgang mit Login-Daten beherrschen.
- Social Media mit Bedacht nutzen: Die Mitarbeitenden sollen auf die Risiken und Verhaltensweisen im Umgang mit Social Media sensibilisiert werden. Sämtliche Kommunikation, die über solche Kanäle stattfindet, darf keine sensitiven Informationen enthalten, die direkte oder indirekte Rückschlüsse für den Zugriff auf die IT-Infrastruktur zulassen.
- Sicher im Internet surfen: Damit sich die Mitarbeitenden möglichst risikofrei im Internet bewegen, müssen sie mit den wichtigen Vorsichtsmassnahmen vertraut sein und diese im Alltag umsetzen können. So sollen sie ausschliesslich verschlüsselte Websites nutzen. Dies lässt sich mit einem Blick auf die Adressleiste im Internet-Browser erkennen: Die Internet-Adresse (URL) einer verschlüsselten und damit sicheren Website beginnt mit https (nicht http) oder mit einem geschlossenen Schloss-Symbol. Auch harmlos wirkende animierte Bilder, Schriften oder Werbebanner können gefährliche Instrumente enthalten, die Cyberkriminellen das Tor zur IT-Infrastruktur des Praxisbetriebs öffnen. Die Mitarbeitenden sollen Kenntnis darüber haben, wie sie solche und weitere Optionen in ihrem Internet-Browser einschränken oder wen sie im Zweifelsfall kontaktieren sollen.
- Clean Desk Policy anwenden: Die Mitarbeitenden sollen die Risiken für Datendiebstahl am physischen Arbeitsplatz kennen und die Richtlinien einer für die Praxis aufbereiteten Clean Desk Policy verstehen und anwenden können.
4. Datensicherung und Test der Datenwiederherstellung
Eine wirksame Datensicherung (Backup) schützt eine Arztpraxis vor Datenverlusten aufgrund von beschädigten Servern oder Cyberkriminalität. Auch Naturkatastrophen wie Feuer, Überschwemmungen, Stürme oder Erdbeben können die IT-Infrastruktur beschädigen und Patientendaten zerstören. Aktuelle Datensicherungen und ein nachvollziehbarer Wiederherstellungsplan helfen bei der Rettung von Patientendaten.
Für das Backup ist es ratsam, automatische Sicherungen durchzuführen, die Daten zu verschlüsseln und an verschiedenen Orten zu speichern. Wird die 3-2-1-Regel der Datensicherung eingehalten, so lässt sich ein hohes Mass an Datensicherheit erzielen. Diese Regel besagt, dass jeweils 3 Kopien der Daten auf 2 verschiedenen Medien gesichert und eine davon extern gelagert sein soll. Empfehlenswert ist ein regelmässiger Test dieser Datensicherungen, um zu gewährleisten, dass sich die Daten korrekt wiederherstellen lassen.
5. Aktuelles technisches Schutzkonzept
In medizinischen Praxen sind Endgeräte und IT-Systeme in der Regel vernetzt. PCs und Notebooks greifen auf Internetseiten zu, Server liefern Daten an Internetnutzer oder die Mitarbeitenden nutzen IT-Systeme von externen Partnern, Labors, Lieferanten oder Zuweisern. Um unerwünschte Zugriffe auf die eigenen Dateien zu verhindern, muss die Cybersicherheit so ausgelegt sein, dass sie den Datenverkehr an diesen Schnittstellen permanent überwacht. Dies gilt besonders für die Übergänge zum Internet, da vom Web zahlreiche Bedrohungen ausgehen. Um die IT und die damit verbundenen Daten zu schützen, benötigt eine gut geschützte Arztpraxis daher moderne Firewalls, die auf dem neuesten technologischen Stand sind.
Cyberkriminelle finden für ihre Angriffe in der Praxis-IT täglich neue Schwachstellen in der Software, in Betriebssystemen oder in Anwendungen. Die Hersteller beheben solche Sicherheitslücken durch die Bereitstellung von Patches und Updates zur Aktualisierungen der Programme. Doch nur wenn der Praxisbetrieb diese Aktualisierungen zeitnah einspielt, können sie diese Schwachstellen beheben, bevor sie Kriminelle entdecken und missbrauchen. Um das Eindringen von Schadsoftware wie Viren oder Ransomware zu verhindern, sind Endgeräte und Server stets mit den aktuellsten Virenscanner-Versionen auszustatten – sie erkennen die neuesten Malware-Signaturen und können diese wirksam abwehren.
6. Durchführung eines IT Security Checkups
Wie bei Praxispatienten ist auch bei der IT-Infrastruktur ein regelmässiger Checkup eine wichtige Massnahme, um allfällige Risiken frühzeitig zu erkennen. Ein IT Security Checkup trägt dazu bei, die IT-Sicherheitsrisiken für die Arztpraxis und die Patientendaten zu verstehen. Die daraus erstellte Dokumentation gibt Auskunft über aufgedeckte Sicherheitsmängel und die möglichen konkreten Massnahmen zur Maximierung der IT-Sicherheit.
7. Zusammenarbeit mit spezialisiertem IT-Dienstleister
Um eine genügend hohe Cyber Security in der Arztpraxis zu gewährleisten, lohnt sich der Beizug eines auf medizinische Praxisbetriebe spezialisierten IT-Dienstleisters. Dieser soll in der Lage sein, einen Security Checkup durchzuführen und die Praxisleitung bei der Umsetzung der notwendigen Voraussetzungen für die Cybersicherheit zu unterstützen.
Titelbild: National Cancer Institute auf Unsplash