Geht es um Cyber-Angriffe, winken viele Apotheker und Ärztinnen ab. „Wer will schon meine kleine Apotheke hacken?“ Oder: „Was können Hacker von meiner Praxis wollen?“, lauten weitverbreitete Fragen, die meist auch umstandslos mit „niemand“ und „nichts“ beantwortet werden. Und ja, diese Sicht ist nicht ganz falsch. Fast kein IT-Krimineller will gezielt in eine ganz bestimmte Apotheke oder Arztpraxis virtuell „einsteigen“. Und doch führt diese Sichtweise Apotheken und Praxen direkt in die Cyber-Hölle.
Dass Praxen oder Apotheken aus dem Internet gezielt attackiert werden, ist die Ausnahme. Eine davon ereignete sich im September 2016, als eine Apotheke in der Münchner Innenstadt während der Wiesn-Zeit gehackt wurde. Der Täter manipulierte Monitore im Schaufensterbereich derart, dass sie einen pornografischen Film zeigten. Was vermutlich als Spaß gemeint war und auch etliche Passanten amüsierte, führte unter anderem zu Schäden an der IT-Infrastruktur der Apotheke. Die übrigens durch den Angriff bundesweit bekannt wurde – als „Porno-Apotheke“. Eine Art von PR, auf die die meisten Apotheker wohl verzichten können.
Doch das sind, wie bereits erwähnt, Ausnahmefälle. Die seit Jahren stetig wachsende Gefahr für Gesundheitsdienstleister sieht anders aus. Sie geht vor allem von „Supply-Chain-Angriffen“ aus und verursacht brandgefährliche Domino-Effekte. Worum geht es? Kurz gesagt: Kriminelle machen sich eine einzige Schwachstelle zunutze, um tausende, wenn nicht hunderttausende von Computern weltweit zu infiltrieren. Angriffe werden beispielsweise gezielt auf Software-Anbieter und andere IT-Dienstleister oder eben auch auf Datensammelstellen wie Ärztliche Abrechnungsstellen, Apotheken-Rezeptabrechner oder auch Krankenkassen ausgeführt, um deren Kunden zu infizieren.
Damit dringen Hacker sozusagen über die „Hintertür“ in die Apothekensoftware oder Praxisverwaltungsprogramme ein und kommen von dort an die begehrten Gesundheitsdaten. Denn damit lässt sich im Darknet oder als Angebot an Produktanbieter sehr viel Geld machen. Besonders begehrt sind deshalb Daten schwer Erkrankter, die dann zum Beispiel mit dubiosen Heilungsversprechen um das Ersparte gebracht werden sollen. Oder körper- und leistungsbewusste Menschen, die tendenziell affin sind für Nahrungsergänzungsangebote und ähnliche „Wundermittel“.
Zur Orientierung: Experten gehen davon aus, dass ein einziger Datensatz eines Krebspatienten im Darknet rund 800 Dollar (= 0,0208 Bitcoins) und eine „Body-Adresse“ immerhin knapp die Hälfte davon wert ist.
Das Dramatsisch der aufziehenden Cyber-Gefahr für Gesundheitsdienstleister ist eben nicht die Tatsache, dass sie mit vielen sensiblen Daten arbeiten, sondern dass so gut wie alle Praxen und Apotheken diese Daten in immer gleicher Form mit externen Dienstleistern teilen. Und das nicht nur für den Abrechnungsprozess, sondern auch zur Preisermittlung in Apotheken, mit medizinischen Laboren, Sanitätsfachhäusern oder radiologischen und sonstigen spezialisierten Dienstleistern.
Dadurch – und das ist die Haupt-Gefahr, die Vermittler adressieren sollten – ist jeder Gesundheitsdienstleister fest in einer Datenverarbeitungskette eingebunden, die einen Hack nach Domino-Manier wie die Kaseya-Attacke (siehe nächste Seite für weitere Informationen) auch auf Gesundheitsdaten zum wahrscheinlichsten Szenario werden lässt, was diese Gegenüberstellung verdeutlicht (Quelle: Die ApothekerHelfer).
Das Ergebnis eines solchen Hacks ist dann jedoch ein realer Datenverlust an der Datenbasis, eben bei den Praxen und Apotheken. Den diese sind für die Datensicherheit ihren Patienten oder Kunden verantwortlich. Wirklich groß ist also die Gefahr, als Opfer eines Domino-Hacks gegen die Datenschutz-Grundverordnung verstoßen zu haben. Und das kann seit Einführung der DSGVO schlimmstenfalls als Straftat bewertet werden. Dazu später mehr.
Solche „Domino-Angriffe“ sind mittlerweile weit verbreitet. Zuletzt erfuhr die oben bereits erwähnte „Kaseya-Attacke“ im Juli größere Aufmerksamkeit. Eine Hacker-Gruppe mit Namen „REvil“ nutzte eine Schwachstelle bei dem US-amerikanischen IT-Dienstleister Kaseya aus, drang über dessen Software in zahlreiche Unternehmen ein und konnte auch viele Endkunden attackieren. Man kann es auch so zusammenfassen: Eine mutmaßlich russische Hacker-Gruppe kapert die Software eines US-Amerikanischen IT-Dienstleisters und in Schweden bleibt die Supermarktkette Coop geschlossen, weil die Kette mit einer Software von Kaseya arbeitet.
Aber nicht nur in Schweden wirkte sich die Attacke aus: Betroffen waren laut den Hackern über eine Million Computer rund um den Globus. Darunter auch mindestens zwei Unternehmen in Deutschland sowie deren Kunden – mehrere tausend Computer wurden befallen. Das ist der Domino-Effekt, der gerade auch für Apotheken gefährlich ist. Um den Angriff zu beenden, forderten die Täter 70 Millionen Dollar Lösegeld.
Um sich die Folgen eines gleichermaßen erfolgreichen Angriffs auf eine Datenschnittstelle im Gesundheitswesen zu vergegenwärtigen, muss man anstelle von Kaseya nur einen Akteur der Gesundheitsbranche annehmen: Ein Angriff auf die IT-Infrastruktur einer Krankenkasse dürfte Cyber-Kriminellen äußerst lukrativ erscheinen. Von hier kann beispielsweise ein Virustransfer zu Rezeptabrechner-Dienstleistern erfolgen. Über deren IT-System werden weitere Dienstleister-Netzwerke der Apothekenbranche infiziert – und zuletzt Apotheken. Ganz ähnlich ist das auch bei Medizinern und Zahnärzten möglich. Neben Krankenkassen können Anbieter von Praxis-Software sowie andere Dienstleister unfreiwillig als Einfallstor für IT-Kriminelle dienen. Domino-Effekte sind in der Gesundheitsbranche genauso möglich wie in anderen Wirtschaftszweigen.
Dass solche Attacken keine Seltenheit sind, dürfte allgemein bekannt sein: Ebenfalls im Juli wurden einige Server des Landkreises Anhalt-Bitterfeld angegriffen. Die Folge: Unter anderem konnten Sozialhilfe und Wohnungsgeld nicht ausgezahlt werden. Wie bei der „Kaseya-Attacke“ verlangen die Täter ein Lösegeld, damit der Angriff beendet wird. Im September 2020 legte ein Hack die Düsseldorfer Uniklinik lahm, Anfang des Jahres die Urologische Klinik Planegg, im März traf es die Evangelische Klinik Lippstadt. Und aus der Versicherungsbranche hat es bekanntlich gerade erst die Haftpflichtkasse in Darmstadt getroffen. Die Liste der Opfer ließe sich problemlos verlängern. Immer wieder sind auch Apotheken und Praxen betroffen.
Das Heimtückische an solchen Angriffen ist, dass sie von einer vertrauenswürdigen Seite kommen. Ein weiteres – öffentlich nicht bekanntes – Beispiel aus unserer eigenen Erfahrung: Eine Praxisgemeinschaft in Ostdeutschland erlitt Ende 2018 einen Schaden von mehr als 20.000 Euro, weil eine Sekretärin die E-Mail eines Händlers für Bürobedarf öffnete. Die E-Mail war für die Sekretärin völlig unauffällig, schließlich war die Praxisgemeinschaft bei dem Händler Kunde. Was damals der Sekretärin und auch sonst niemandem bekannt war: Die Online-Plattform des Händlers war von Kriminellen geknackt worden. So kamen die Täter an Kontaktdaten von Kunden und diese erhielten von den Tätern einen Trojaner per E-Mail. Die Malware verschlüsselte die Datenbank der Ärzte und legte die Praxisgemeinschaft lahm. Ein Erpressungsversuch wurde übrigens in diesem Fall nicht unternommen. Der Schaden war auch so schon groß genug.
Zurück zur Gefahr, als Opfer eines Cyber-Angriffs selbst ins Visier der Strafverfolgung zu geraten. Dazu ein weiterer Vorfall: Ende April wurde die deutsche Supermarktkette Tegut, die gut 280 Märkte in mehreren Bundesländern betreibt, aus dem Internet heraus angegriffen. Die Attacke führte als erstes dazu, dass viele Märkte Lücken im Sortiment nicht auffüllen konnten, da Warenwirtschaftsprogramme abgeschaltet werden mussten. Wenig später tauchten dann Daten zahlreicher Kunden – inklusive Kontaktdaten – im Darknet auf. Das ist eine Verletzung der Datensicherheit und musste umgehend an Behörden und Kunden gemeldet werden. Die Datenschutz-Grundverordnung gibt dafür gerade einmal 72 Stunden Zeit. Diese Frist ist für kleinere Unternehmen wie Apotheken und Arztpraxen kaum einzuhalten.
Daten, die in Apotheken oder Praxen anlaufen, sind im Vergleich zu denen aus Supermärkten um ein Vielfaches heikler. Denn in der Gesundheitsbranche kommen persönliche Daten, Finanz- und Gesundheitsdaten zusammen. Und das ist für Kriminelle wie oben bereits geschrieben sehr verlockend. Zur Erinnerung: Der Datensatz eines Krebspatienten zum Beispiel wird im Darknet für rund 800 Dollar verkauft. Datendiebstahl ist einträglich.
Dazu kommt, dass Gesundheitsdienstleister wie Arztpraxen und Apotheken üblicherweise schlechter gesichert sind als Großkonzerne oder staatliche Einrichtungen mit eigener IT-Sicherheitsabteilung. Die Gefahr aber ist fast schon allgegenwärtig: Schließlich können selbst Drucker, moderne Telefonanlagen, NIR-Spektrometer und andere scheinbar harmlose oder gar unverzichtbare Geräte wie zukünftig selbstbestellende Kommissionierautomaten oder das im Aufbau befindliche vernetzte System des E-Rezeptes Einfallstore für Datendiebe und Co. werden.
Apotheken und Arztpraxen sind für den Datenschutz verantwortlich. Sie sind in der Pflicht, einen Verstoß gegen Datenschutzrichtlinien – also auch bei Cyber-Attacken – genau zu prüfen und innerhalb von 72 Stunden zu melden – und zwar Aufsichtsbehörden und betroffenen Kunden beziehungsweise Patienten. Das heißt, der Apotheker oder die Ärztin hat nach Erkennen des Schadens nur 72 Stunden Zeit, einen Datenrechtsanwalt und einen IT-Forensiker zu finden, die die Schadenursachen untersuchen, Kundendaten sichern, eine vollständige Meldung absetzen und auch noch alle potenziell betroffenen Kunden oder Patienten schriftlich informieren.
Gelingt dies nicht, droht Ungemach: Nach den 72 Stunden kommt es laut DSGVO zur Pflichtabgabe an die Staatsanwaltschaft, diese entscheidet dann, ob sie den Fall verfolgt und ob aus einer Ordnungswidrigkeit ein Straftatbestand wird. Hintergrund dieser scharfen Regelung sind die besonders sensiblen Datensätze, die von Heilberufen verarbeitet werden. Und die 72-Stunden-Frist ist eine sportliche Herausforderung. Denn IT-Forensiker und entsprechende Fachanwälte gibt es nicht wie Sand am Meer. Dazu muss beachtet werden, dass nach einem großen Cyber-Angriff mit vielen Opfern diese wenigen Spezialisten sehr gesucht sind. Wer also zu spät kommt, erhält keine Unterstützung.
Deshalb empfiehlt es sich für Gesundheitsdienstleister, eine branchengerechte Cyber-Versicherung abzuschließen, die neben den üblichen finanziellen Schutz auch weitere Service-Leistungen bietet – vor allem die fristgerechte Vermittlung von IT-Spezialisten und qualifizierter Rechtsanwälte, damit die 72-Stunden-Frist eingehalten werden kann. Eine solche Absicherung ist eigentlich schon heute unverzichtbar und wird es in Zukunft noch mehr sein.
Cyber-Angriffe haben ein enormes Schadenpotenzial. Sie können für Wirtschaftsunternehmen existenzbedrohend sein und haben bei Angriffen auf Kritische Infrastrukturen (KRITIS) wie Krankenhäuser oder Energieversorger schnell dramatische Auswirkungen auf die Bevölkerung. Solche Cyber-Angriffe mit beispielsweise Ransomware und DDoS haben in den letzten Jahren in Häufigkeit und Intensität deutlich zugenommen. Die Gefahr von Cyber-Angriffen durch hochprofessionell, global vernetzt agierende Täter wächst.
Christian Ring ist Versicherungskaufmann (IHK) und zertifizierter Berater Heilwesen (IHK). Er hat sich unter anderem auf den Cyber-Schutz für Heilberufler spezialisiert und dazu bedarfsgerechte Zielgruppenlösungen initiiert. Sein Praxis Know-how über Heilberufe bringt er regelmäßig im Rahmen der PharmAssec Akademien ein.
Kontakt: ed.gnutfits-krowten-lacidem@gnir.c
Michael Jeinsen ist zertifizierter Berater Heilwesen, Pressesprecher der Medical Network Stiftung, Betreiber des Service- und Informationsportals für Heilberufe denphamed.de und im Hauptberuf Spezial-Versicherungsmakler für Heilberufe, insb. Apotheken. Er ist auch Fachbereichsleiter für Apothekenversicherungen im BVSV.
Kontakt: ed.gnutfits-krowten-lacidem@nesniej.m