Erpressung mit Patientendaten? Cyberangriffe für Ärzte zunehmend ein Problem

Berlin. Die Bedrohung durch Cyberangriffe ist in Deutschland gewachsen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die IT-Sicherheitslage in Deutschland insgesamt als „angespannt bis kritisch“ ein, wie es wie im aktuellen Lagebericht der Behörde heißt, der am Donnerstag vorgestellt wurde. Der aktuelle Berichtszeitraum zwischen Juni 2020 und Mai 2021 sei geprägt von einer „spürbaren Ausweitung cyber-krimineller Erpressungsmethoden“. Zudem habe sich die Produktion neuer Schadsoftware-Varianten deutlich beschleunigt: Durchschnittlich werden demnach rund 394.000 neue Varianten täglich bekannt (22 Prozent mehr als im Vorjahreszeitraum).

Auch das Gesundheitssystem wird dem Bericht zufolge immer wieder zur Zielscheibe der Angreifer. „Der Bericht zur Lage der IT-Sicherheit in Deutschland 2021 zeigt, dass die Gefahren im Cyberraum weiter zunehmen und selbst Bereiche betreffen, die für unsere Gesellschaft elementar sind, wie etwa die Stromversorgung oder die medizinische Versorgung“, so Bundesinnenminister Horst Seehofer (CSU) in seinem Vorwort.

Zielscheibe Gesundheitswesen

Verwiesen wird in dem Bericht unter anderem auf einen Ransomware-Angriff auf das Universitätsklinikum Düsseldorf im September vorigen Jahres. Infolge des Angriffs musste sich die Klinik an dreizehn aufeinanderfolgenden Tagen von der Notfallversorgung abmelden, planbare und ambulante Op wurden verschoben. „Der Vorfall am Universitätsklinikum verdeutlicht die Gefahren eines Cyber-Angriffs für Organisationen im Gesundheitswesen und deren IT-Infrastrukturen“, so die Autoren des BSI.

Eingegangen wird in dem Bericht auch auf den Angriff auf die Europäische Arzneimittelagentur EMA, bei dem Angreifer Daten über den COVID-Impfstoff der Hersteller BioNTech/Pfizer erbeuteten. Teile der erbeuteten Daten seien anschließend online veröffentlicht worden. „Dabei waren die veröffentlichten Informationen so manipuliert, dass davon ausgegangen werden muss, dass deren Veröffentlichung Zweifel an dem Impfstoff auslösen sollte“, heißt es einordnend.

E-Health und Telematikinfrastruktur

Nicht unerwähnt lässt das BSI auch die Telematikinfrastruktur, die mit dem Start diverser Anwendungen einen immer zentraleren Part im Gesundheitswesen einnimmt und auch aus dem Praxisalltag nicht mehr wegzudenken ist. Obgleich das BSI der TI ein grundsätzlich hohes Sicherheitsniveau bescheinigt, habe es im Berichtszeitraum dennoch „potentielle oder tatsächliche Schwachstellen“ gegeben.

Eine der Schwachstellen sei, dass viele Leistungserbringer nicht den von der gematik empfohlenen Reihenbetrieb nutzen, in dem das Netz des Arztes direkt an den Konnektor angeschlossen ist. Stattdessen werde häufig der Parallelbetrieb verwendet. Der Konnektor und andere Geräte der Praxis-IT sind dann direkt mit dem Internet verbunden. „Dieser Betrieb bietet keinen integrierten Schutz vor Angriffen aus dem Internet“.

BSI-Präsident Arne Schönbohm appelliert in seinem Vorwort zum Lagebericht seiner Behörde an die Anwenderinnen und Anwender. „Informationssicherheit darf nicht länger als Bremsklotz missverstanden werden. Sie ist vielmehr eine Investition in die Zukunft.“ Anwender müssten sich bewusst sein, dass sie ihre Netzwerke und Systeme tagtäglich aktiv schützen müssten. Wer dies nicht tue, gehe enorme Risiken ein. „Krankenhäuser müssen sich von der Notfallversorgung abmelden und reihenweise Operationen absagen. Dadurch werden Leben gefährdet, zudem leidet die medizinische Versorgung in Deutschland insgesamt“, so Schönbohm.

Erpressung mit Patientendaten

Nach Einschätzung des BSI nutzen Hacker inzwischen teilweise sehr aufwendige, mehrstufige Angriffsstrategien. Dabei zeigten sie teils „bedrohlichen Einfallsreichtum“. Einige Angreifer gingen beispielsweise auf das Umfeld der Opfer zu, um so den Druck auf die Opfer zu erhöhen. Das bedeute etwa, dass Angreifer E-Mails an Patienten verschicken, in denen sie androhen, deren Daten zu veröffentlichen, sollte der Arzt das geforderte Schweigegeld nicht entrichten.

Exemplarisch nennt das BSI in seinem Bericht den Fall einer psychotherapeutischen Praxis, bei dem nicht nur die Praxisinhaber, sondern auch deren Patientinnen und Patienten erpresst wurden.

Angreifer würden außerdem häufig auch mit dem Verkauf sensibler Daten drohen oder den Opfern androhen, Verstöße gegen die Datenschutzgrundverordnung bei den zuständigen Behörden zu melden.