Totaler Datenverlust durch Cyberangriff – Ausweg Praxisschließung?

NEU-ISENBURG. Zwei Ärzte im US-Bundesstaat Michigan wollen ihre Praxis schließen und den Ruhestand antreten – vorzeitig. Der Grund: Ihre Patientendaten, Terminplanung und Abrechnungen wurden von Erpressern verschlüsselt, und die Ärzte waren nicht bereit, das Lösegeld in Höhe von 6500 US-Dollar zu zahlen. Daraufhin löschten die Angreifer alle Daten.

Die Folgen für die Patienten: Nach einer Operation erlitt ein 13-jähriges Kind eine Kieferhöhlenvereiterung. Die Mutter wollte einen Termin vereinbaren, wurde aber mit Hinweis auf die Panne an andere Praxen verwiesen. Die Mutter beklagt sich nun darüber, dass der Verlauf der später erforderlichen Operation und die Ursache der Erkrankung jetzt nicht mehr nachvollziehbar seien.

Für die Patienten besteht nach Auskunft des Praxisinhabers John B. wegen der Datenpanne keine Gefahr – die Daten seien auf dem Server verschlüsselt gewesen, das Arztgeheimnis sei nicht verletzt worden. Das will Rechtsanwalt Steven Teppler nicht so einfach gelten lassen: Eine „Zweitverwertung“ der Patientendaten könne nur nach „sorgfältiger Prüfung der Systeme“ ausgeschlossen werden.

Zu prüfen wären wohl auch der von den Praxisinhabern verwendete Verschlüsselungsalgorithmus und die Schlüssellänge – erst das gäbe Aufschluss darüber, wie lange die gekaperten Daten vor einer Entschlüsselung sicher sind.

Praxen sind attraktive Beute

Mac McMillan, Chef der Firma CynergisTek glaubt, dass Arztpraxen eine besonders attraktive Beute für Hacker und Cyber-Kriminelle sind: Patientendaten seien nicht nur besonders sensibel, sondern die wie Kleinunternehmen geführten Praxen seien häufig auch besonders schlecht geschützt.

Das bestätigte auch eine Studie des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) im April. Die Angreifer arbeiten McMillan zufolge dagegen permanent an der Verbesserung ihrer Fähigkeiten: Er glaubt, dass die Probleme mit Cyber-Kriminalität für Ärzte „noch hässlicher“ werden könnten.

Angreifer stellten mittlerweile zum Teil „atemberaubende“ Forderungen: 2016 ging es bei einer Klinik in Los Angelos um 3,6 Millionen Dollar. Die Täter prüfen zunächst die verfügbaren Mittel und passten ihre Forderungen den Möglichkeiten der Opfer an. Wer einfach behaupte, kein Geld zu haben, werde von den Angreifern süffisant auf seine Möglichkeiten hingewiesen, so Rechtsanwalt Steven Teppler.

Die zunehmenden Risiken verlangen nach Kontrollen der Aufsichtsbehörden. Besonders aktiv ist in diesem Bereich das Bayerische Landesamt für Datenschutzaufsicht: Im Oktober 2018 befragte das Landesamt acht Praxen zur Häufigkeit automatisierter Sicherungskopien und der dazu eingesetzten Software, Speichermedien, Virenscanner, der Regelmäßigkeit des Zurückspielens von Sicherungskopien, zum Anschluss der Praxis-EDV ans Internet und zu Schulungsmaßnahmen für Mitarbeiter.

Konkrete Fragen zu den Ergebnissen der Prüfung will Präsident Thomas Kranig nicht beantworten. Und verweist stattdessen auf seinen Jahresbericht 2017/2018; dort schreibt die Behörde, dass „Ärzte meist nicht optimal auf Ransomware-Angriffe vorbereitet sind“.

Unter anderem wird Kritik geübt am Anschluss von Praxisrechnern mit Patientendaten ans Internet und an den Strategien für die Sicherungskopien: Es sei „zu vermuten, dass aufgrund fehlender Routinen, Übungen und Tests das Einspielen vorhandener Datensicherungen im Ernstfall nicht ohne Weiteres durchgeführt werden kann“.

Die Sensibilisierung funktioniert

Einziger Lichtblick der Prüfung sei gewesen, „dass die Arztpraxen durchgängig von der Gefahrensituation durch Ransomware wussten und ihre Mitarbeiter diesbezüglich sensibilisierten“. Unbeantwortet bleibt die Frage, wie viele Geldbußen und in welcher Höhe diese verhängt wurden. Zusätzlich droht Schadenersatz; davon bleibt der Praxisinhaber nur dann verschont, wenn er nachweist, „dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.

Das ist insbesondere vor dem Hintergrund der „Selbstquantifizierung“ mit Hilfe von Fitness-Trackern wie schlauen Uhren oder Gesundheitsarmbändern zu beachten.

Auch den Ärzten in Michigan droht ein juristisches Nachspiel – das Einstellen der Geschäftstätigkeit oder das Zahlen eines Lösegelds entbinde nicht von der juristischen Verantwortung der Ärzte für die Sicherheit der Patientendaten, betont Rechtsanwalt Steven Teppler.

Lesen Sie dazu auch: Gastkommentar: Es kann jeden treffen