Sind Kliniken und Praxen leichte Beute?

NEU-ISENBURG. Nach einer Studie des US-amerikanischen Ponemom Institutes werden Gesundheitsanbieter in den Vereinigten Staaten im Schnitt einmal pro Monat Opfer einer Cyber-Attacke. Dabei berichteten mehr als die Hälfte der Dienstleister von mindestens einem Angriff in den letzten 12 Monaten.

Dass sich Cyberkriminelle längst nicht nur auf den Gesundheitsmarkt in den USA konzentrieren, belegt eine andere Studie: So hat das Unternehmen gemalto, ein Anbieter von digitalen Sicherheitsdiensten, ermittelt, dass Cyberkriminelle im vergangenen Jahr weltweit 707 Millionen Datensätze erbeuteten. 23 Prozent der Angriffe und nahezu ein Fünftel aller erbeuteten Daten entfielen auf den Gesundheitsbereich.

Bekannteste Beispiele hierzulande für Hacker-Angriffe sind das Lukaskrankenhaus in Neuss und das Klinikum Arnsberg. Beide Kliniken in Nordrhein-Westfalen mussten nach einem Virenbefall binnen weniger Tage ihre EDV-Systeme herunterfahren. Daten wurden dabei zum Glück nicht abgegriffen. Aber das Beispiel zeigt, wie leicht Arbeitsprozesse in Kliniken und Praxen beeinträchtigt werden können.

Kliniken fehlt oft das nötige Budget

Das Problem vieler Kliniken: Im Vergleich zu den Sicherheitskonzepten anderer Institutionen mit kritischen Daten, etwa Banken, seien sie aus Budgetgründen sicherheitstechnisch eher unterdurchschnittlich ausgestattet, berichtet Thomas Wespel, Geschäftsführer von Avast Deutschland, einem Anbieter von Sicherheitssystemen.

Oft fehle es an den nötigen Finanzmitteln, um in neue Technik zu investieren. Die Konsequenz: Es werde mit alten Programmen weitergearbeitet. Und diese Schwachstelle nutzen Cyberkriminelle gezielt aus. Gerade bei den sogenannten Ransomeware-Attacken - bei denen Festplatteninhalte komplett verschlüsselt werden und die Angreifer gegen Zahlung bestimmter Geldbeträge Dechiffrierungscodes anbieten - handelt es sich laut Wespel in der Regel nicht einmal um gezielte Angriffe. "Malware-Autoren suchen sich immer den einfachsten Weg", sagt Wespel.

Vorsicht mit Smartphone und Co

Dabei kann insbesondere der Trend, eigene mobile Geräte mit in die Klinik und Praxis zu bringen und dort als Arbeitsmittel zu nutzen (Stichwort "bring your own device"), neue Sicherheitsrisiken eröffnen. Wespel: "Um Schadsoftware in das Klinik- oder Praxissystem einzuspielen, reicht es mitunter schon, wenn man das Smartphone zum Laden an den PC anhängt." Bis hin zur Gefahr, dass ungewollt Patientendaten auf dem Smartphone landen.

Damit reicht es laut Wespel nicht aus, wenn man Rechner mit Patientendaten nicht ans Internet anschließt. Insbesondere Kliniken bräuchten ein Sicherheitskonzept, das auch die Vernetzung der Technik im Haus einbezieht. "Wie abhängig sind die Computer im Op?" Eine Frage, die sich die IT-Experten der Kliniken stellen sollten.

Hilfreich ist hier nach Angaben des Experten eine Sicherheitssoftware oder -plattform, die als sogenannter Terminal-Server fungiert. Diese sorgt dafür, dass man zwar die Annehmlichkeiten des Smartphones, zum Beispiel die einfache Bedienbarkeit, nutzen kann, tatsächlich wird die Anwendung aber nur als eine Art Bild auf das Gerät gespielt. Die Software läuft auf dem Server. Damit kommunizieren das Betriebssystem des Smartphones und Apps, die auf dem Gerät sind, nicht direkt mit dem Betriebssystem der Klinik. Im Prinzip handelt es sich um eine Art abgeschottetes Arbeiten.

Solche Lösungen sind allerdings meist für große Institutionen, also eher Kliniken, angelegt. Es gibt aber Spielregeln, die auch die EDV-Systeme in den Praxen sicherer machen:

Wichtigster Schritt ist laut Wespel, dass sowohl das Betriebssystem als auch alle Programme, die die Praxen nutzen, auf aktuellem Stand gehalten werden. "Der größte Teil der Malware kommt durch alte Programme. Was man einsetzt, sollte daher up to date sein." Das gilt vor allem für weitverbreitete Programme wie den Internetbrowser, den Flash Player, Java Script oder Skype.

Natürlich sollte auch ein aktueller Virenscanner installiert sein. Dabei gibt es Virenprogramme, die prinzipiell nur Software erlauben, die bekannt ist. Wespel erklärt den Effekt: Ein Trojaner könnte dann zwar durch eine Sicherheitslücke schlüpfen, das Programm werde aber nicht ausgeführt, da der Virenscanner es blockiere bzw. ablehne.

Die Ransomeware-Attacken machen es noch einmal deutlich: Ohne regelmäßige Datensicherung sind Kliniken und Praxen aufgeschmissen. Hilfreich sei ein Software-Tool, das abends automatisch ein Backup initiiere, so der Experte. Das Backup sollte aber auf einer getrennten Festplatte liegen.

Wer mit WLAN in der Praxis arbeitet, sollte auf eine gute Verschlüsselung der Daten achten und die zugehörigen Schlüssel aktuell halten. Die Geräte, die ins WLAN dürfen, können dabei über die sogenannte MAC-Adresse (Media-Access-Control-Adresse), also den Namen der Hardware, genau definiert werden. Wer auch seinen Patienten im Wartezimmer einen WLAN-Zugang anbieten will, sollte dafür ein Gast-WLAN einrichten, das vom übrigen Netzwerk und dem WLAN für die Praxisdaten getrennt läuft. Hier sollten sich die Praxen ihren Router genau anschauen, ob er dies leistet.Nicht unterschätzen darf man auch den Nutzen einer gehörigen Portion Skepsis und Vorsicht mit E-Mail-Anhängen und fremden Weblinks. So machte die KV Niedersachsen erst im Juli darauf aufmerksam, dass wiederholt Arztpraxen in der Region Ziel von Netzattacken geworden seien. Meist von Ransomeware, die über E-Mail-Anhänge verbreitet wurde (wir berichteten).