„Diesmal war es anders“

Hinter Angriffen (auch) auf die IT von Arztpraxen stecken hochprofessionelle verbrecherische Organisationen. Absoluten Schutz gibt es nicht. Absolute Gleichgültigkeit ist aber die größte Gefahr.

Martin Novak

„Ich dachte, wir wären sehr gut vorbereitet“, sagt Alexander Moussa. Erst seit Kurzem ist er auch EDV-Referent in der Ärztekammer Steiermark und kennt sich aus in IT-Belangen. Trotzdem wurden er und seine Praxis kürzlich Opfer eines Angriffs aus dem Netz: „Diesmal war es anders“, beschreibt es Moussa.

Ab 6 Uhr 45 ließen sich die Computer nicht mehr hochfahren. Nachdem sein Team Moussa verständigt hatte, eilte er sofort in die Praxis, um festzustellen, dass nichts mehr ging. Ein offenbar per E-Mail eingeschleppter „Trojaner“ hatte das System befallen und versperrte Moussa und seinen Mitarbeiterinnen und Mitarbeitern den Zugang zur EDV.

Mit weitreichenden Folgen: „An einen normalen Ordinationsbetrieb war nicht zu denken“, subsummiert der IT-affine Arzt. Einen Tag lief die Praxis im Notfallmodus. Nur dringlichste Fälle wurden behandelt, die Leistungsaufzeichnung erfolgte auf Papier.

„Die Patientinnen und Patienten waren aber sehr verständnisvoll“, so Moussa. Wobei deren Information nicht einmal mit einem ausgedruckten Praxisaushang erfolgen konnte. Denn die lahmgelegte IT fand auch die Drucker nicht.

Die gute Nachricht: Dank der betreuenden EDV-Firma sowie disziplinierter und aufwändiger Mehrfachsicherung konnte der IT-Betrieb bis zum Abend wiederhergestellt werden. Nur deswegen und weil es entsprechende Wartungsverträge gab, hielt sich auch der wirtschaftliche Schaden in Grenzen. Vorhanden war er dennoch: Viel Arbeitszeit ging in die Problembehebung und ein Tag mit weitestgehendem Ordinationsausfall verursachte zusätzliche Kosten.

Existenzbedrohend

Es hätte noch weit schlimmer kommen können: Der Angriff fand zum Zeitpunkt der Kassen-Quartalsabrechnung statt. Wäre sie – samt den erforderlichen Leistungsnachweisen – nicht möglich gewesen, wären drei Monate Arbeit in den Sand gesetzt gewesen. Was nur deshalb nicht so war, weil die Sicherung funktionierte. „Ein Angriff auf die IT kann existenzbedrohend sein“, warnt Moussa.

Ist das zu verhindern? „Eine gezielte Attacke hat eine hundertprozentige Erfolgsquote“, nimmt IT-Sicherheitsexperte Christoph Machner ( webquake – das Leobener Unternehmen betreut sehr große, aber auch sehr kleine Unternehmen in Sachen IT-Sicherheit) gleich alle Illusionen. „Einen wirklichen Schutz gibt es nicht“, weiß auch Jürgen Armbrust vom Büroteam Leibnitz, das viele Ärztinnen und Ärzte betreut.

Das heißt aber nicht, dass man nichts tun kann, im Gegenteil. Das Wichtigste ist die Entwicklung von Problembewusstsein, auch bei den Mitarbeiterinnen und Mitarbeitern. Sensibilisierung und Information heißt die Devise. Mitarbeiter sollten wissen, was sie nicht tun sollen, zum Beispiel nach Möglichkeit keine verdächtigen E-Mails öffnen. Nur, dass das leichter gesagt als getan ist. Denn oft kommen die elektronischen Nachrichten in perfektem Deutsch von offenbar vertrauenswürdigen Absendern. Angehängte Dateien, die das Virus enthalten, sind oft von „Spitzenkräften“ (Armbrust) programmiert.

Ein zweites Maßnahmenbündel ist die Vorbereitung auf den Ernstfall: Dazu gehören ein optimaler Firewall- und Virenschutz, vor allem aber auch eine Mehrfachsicherung auf verschiedenen Ebenen. Welche Sicherungssysteme die geeigneten sind, wissen die IT-Fachleute, denen man jedenfalls genau zuhören sollte.

Den Stecker ziehen

Wie aber soll man reagieren, wenn die IT offenbar befallen ist, der Zugang abgeschnitten wurde oder Dateien sich plötzlich verändern, weil das Kryptovirus seine schädliche Arbeit tut? „Den Stecker ziehen“, sagt Armbrust. Das heißt: Alle verbundenen Geräte vom Strom nehmen und möglichst auch vom Netz, kurz „alles stilllegen“ und dann unmittelbar die Fachleute zur Hilfe rufen. Wichtig zu wissen: Eine Telefonanlage oder auch das Faxgerät, die über die IT laufen, sind dann auch nicht mehr verfügbar. Man braucht also ein unabhängiges Telefon (eventuell ein Handy) und die Telefonnummer der IT-Betreuer – Letztere übrigens nicht nur im elektronischen Telefonverzeichnis, sondern eben auch auf Papier.

Dass ein solcher IT-Notfall eintritt, ist nicht unwahrscheinlich. „Rund fünf Prozent unserer Kunden haben schon Schaden durcheinen Cyberangriff erlebt“, schätzt Willibald Wilfling, Geschäftsführer beim Computerhaus Weiz, das auch die Datenrettung für Alexander Moussa und seine Praxis übernommen hat. Wie breit das Problem ist, zeigen auch die Antworten auf die aktuelle AERZTE Steiermark-Frage des Monats: Ein Viertel der Befragten hat demnach schon einmal einen Cyberangriff erlebt, weitere 14 Prozent kennen Betroffene. Wobei „Cyberangriffe“ in diesem Kontext nicht nur jene durch Ransom-Software sind, sondern auch Phishing (das Abgreifens persönlicher Daten) oder verlockende Angebote, viel Geld aus Erbschaften oder Beteiligungen an Geldtransfers unter verschiedensten Vorwänden zu bekommen.

Denn Internet-Kriminalität ist ein weites Feld: In ihr Visier können Private ebenso geraten wie riesige Unternehmen oder kleine Betriebe – darunter eben auch ärztliche Praxen. In der Cybercrime-Szene tummeln sich Hobby-Kriminelle ebenso wie perfekt organisierte und hochprofessionelle Unternehmen. Letztere bemühen sich in den meisten Fällen darum, ihre Opfer, wenn sie bezahlen – und das kommt oft genug vor –, perfekt zu servicieren. Da kann es schon sein, dass es sogar eine Hotline gibt (weit weg von Europa natürlich) bzw. ausführliche schriftliche Erklärungen, wie man die Herrschaft über die eigene IT wieder zurückbekommt. Schließlich wollen auch Verbrecher zufriedene „Kunden“, damit diese sozusagen positiv über die Täter sprechen.

Alexander Moussa hat nicht bezahlt. Musste bzw. konnte er gar nicht, denn wohl wegen der entschlossenen und sofort eingeleiteten Gegenmaßnahmen kam dann gar keine Geldforderung mehr. Er empfiehlt auch, in jedem Fall Anzeige zu erstatten. Dafür reicht das nächste Polizeiwachzimmer. Eine Anzeige gegen Unbekannt führt zwar nicht immer zu unmittelbaren Ergreifungen, liefert aber der Cybercrime-Unit im Innenministerium wertvolle Informationen, die in die Präventionsarbeit einfließen.

Angesichts des Gegners ist es wichtig, dass die Behörden sich entsprechend rüs­ten. Die „Cybercrime-Mafia“ ist nämlich ein regelrechtes Großgewerbe geworden. Da gibt es einen „Markt in der organisierten Kriminalität“ (Machner), es wird mit pdf-, Excel- und anderen Dateien gehandelt, die als virusverseuchte Anhänge das „Waffenarsenal“ der Täter bilden. Klassische Abwehrmaßnahmen wie Firewalls und Antivirus-Programme helfen deswegen auch nur bedingt. Selbst wenn die besten zum Einsatz kommen und regelmäßig aktualisiert werden (wöchentlich oder gar täglich), können sie dennoch älter sein als die neuesten Angriffswaffen im Netz – es reicht ein Unterschied von einigen Stunden.

„Cyber Cops“

Das österreichische Bundeskriminalamt besitzt ein eigenes Cybercrime-Competence-Center (Name: C4), das sich mit allen Formen der Computerkriminalität befasst. Laut letztem verfügbarem „Lagebericht Cybercrime“ gab es 2017 16.804 statistisch erfasste Vorfälle von Cyberverbrechen in Österreich, 2008 waren es noch 3.291. Das bedeutet eine Verfünffachung in zehn Jahren, gegenüber 2016 stieg die Zahl der angezeigten Cyber-Verbrechen um gut 28 Prozent. Allein mehr als 1.000 Fälle von Ransomware wurden in diesem Jahr angezeigt. 2017 stieg die Aufklärungsquote für „Cybercrime im engeren Sinne“ laut Statistik gegenüber dem Jahr zuvor um 10,2 Prozentpunkte auf 28,2 Prozent. Bei „widerrechtlichem Zugriff auf ein Computersystem“ (laut § 118a Strafgesetzbuch) lag die Aufklärungsquote sogar bei 29,2 Prozent.

Versicherung

Gegen Angriffe kann eine Versicherung zwar nicht schützen, sie mildert aber den wirtschaftlichen Schaden. Versicherungsexperten für den ärztlichen Bereich wie Christoph Breisach ( Bogen & Partner ) oder Walter Liendl (Sie&Wir) raten jedenfalls dazu. Auf dem Markt ist ein – allerdings nicht speziell auf Ärztinnen und Ärzte zugeschnittenes – deutsches Versicherungsprodukt. Laut Beschreibung – Quelle ist die Salzburger PBP Salzburg Financial Services GmbH – geht es um Kosten für die Wiederherstellung von Daten, etwaige Schadenersatzklagen von PatientInnen wegen des Vorwurfs, dass ihre Gesundheitsdaten mangels ausreichender Absicherung der EDV öffentlich gemacht wurden, Verdienstentgang durch Stillstand der Ordination mangels Zugang zu Patientendaten und anderes. Ab nächstem Jahr wird es laut Liendl auch ein brandneues österreichisches Versicherungsprodukt (entwickelt mit einem großen Versicherer und Greco, einem der größten unabhängigen Risiko- und Versicherungsmanager in Europa) geben, kostengünstiger und ganz konkret auf ärztliche Bedürfnisse ausgerichtet. Sowohl Sie&Wir als auch Bogen & Partner werden diese spezielle Versicherung dann im Portfolio haben.

Das Recht

Der Schutz der IT vor unterschiedlichsten Gefährdungen – von Einbruch, Vandalismus und Feuer oder Wasser bis zu allen Formen der Computerkriminalität – ist nicht nur medizinisch angebracht und wirtschaftlich sinnvoll, sondern auch rechtlich notwendig. Darauf weist Ärztesoftware-Experte Alwin Günzberg hin: „Das DSG 2018 zählt beispielhaft einige erforderliche Maßnahmen auf. Es obliegt jedoch der Verantwortung jeder Unternehmerin, jedes Unternehmers, alle notwendigen Maßnahmen zu treffen, die der Datensicherheit dienen.“ Was genau zu tun ist, wird im Paragrafen 54 des Datenschutzgesetzes (DSG) 2018 beschrieben.

Folgende Maßnahmen sind laut Günzberg aus dem DSG unmittelbar abzuleiten:

  • Sicherung vor Verlust und Zerstörung (Hardware-Gebrechen, Sabotage, Fehleingaben etc.)
  • Vorkehrungen gegen zufällige Ereignisse (Stromausfall, Wasserschaden, Feuer etc.)
  • Regelmäßige Datensicherung
  • Sicherstellung eines reibungslosen und dauerhaften Betriebs der IT in den Gesundheitseinrichtungen
  • Verwendung von Betriebssystemen, die mit Sicherheitsupdates versorgt werden, aktuellen Browsern sowie aktuellem Virenschutz

Günzberg weist auch auf die notwendigen präventiven Maßnahmen im Rahmen des IT-Sicherheitsmanagements hin: Durchführung einer Risikoanalyse, Erstellung eines IT-Sicherheitskonzeptes auf Basis der Risikoanalyse, Umsetzung des IT-Sicherheitskonzeptes, Kontrolle des IT-Sicherheitskonzeptes und Anpassung.

Angriff Nummer 2

Nur wenige Tage nach dem Angriff auf Moussas Praxis in Hartberg gab es einen neuerlichen Anschlag – auf den man (noch) besser vorbereitet war als auf den ersten. Analoge Listen und Laufzettel mussten nur mehr aus der Lade geholt werden, den ausgedruckten Praxisaushang gab es schon. „Wir konnten den Praxisbetrieb zwar durch fehlenden Zugriff auf unsere IT nur eingeschränkt, aber doch weiterführen.“


Die Paragrafen

Diese Paragrafen sind – ohne Anspruch auf Vollständigkeit – besonders relevant:

§ 118a StGB Widerrechtlicher Zugriff auf ein Computersystem: Wer sich zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen durch Überwindung einer spezifischen Sicherheitsvorkehrung im Computersystem in der Absicht Zugang verschafft,

1.) sich oder einem anderen Unbefugten Kenntnis von personenbezogenen Daten zu verschaffen, deren Kenntnis schutzwürdige Geheimhaltungsinteressen des Betroffenen verletzt, oder

2.) einem anderen durch die Verwendung von im System gespeicherten und nicht für ihn bestimmten Daten, deren Kenntnis er sich verschafft, oder durch die Verwendung des Computersystems einen Nachteil zuzufügen,

ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

Wer die Tat in Bezug auf ein Computersystem, das ein wesentlicher Bestandteil der kritischen Infrastruktur (§ 74 Abs. 1 Z 11) ist, begeht, ist mit Freiheitsstrafe bis zu zwei Jahren zu bestrafen.

(3) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.

Wer die Tat nach Abs. 1 im Rahmen einer kriminellen Vereinigung begeht, ist mit Freiheitsstrafe bis zu zwei Jahren, wer die Tat nach Abs. 2 im Rahmen einer kriminellen Vereinigung begeht, mit Freiheitsstrafe bis zu drei Jahren zu bestrafen.

§ 119a StGB Missbräuchliches Abfangen von Daten: Wer in der Absicht, sich oder einem anderen Unbefugten von im Wege eines Computersystems übermittelten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, eine Vorrichtung, die an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt oder die elektromagnetische Abstrahlung eines Computersystems auffängt, ist, wenn die Tat nicht nach § 119 mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

§ 54 DSG Datensicherheitsmaßnahmen: Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, unter Berücksichtigung der unterschiedlichen Kategorien gemäß § 37, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß § 39.


Was ist Ransomware?

Die Kategorie der sogenannten „Ransomware“ bezeichnet bösartige Software, welche zur Erpressung des Benutzers genutzt wird, indem sie die Funktionalität seines Systems einschränkt und eine Geldzahlung fordert, um die Einschränkungen aufzuheben. Bei Cryptolockern werden zum Beispiel sämtliche Daten auf lokalen Speichermedien sowie meist auch Netzlaufwerke, USB-Sticks, Speicherkarten etc. mit einem starken Algorithmus verschlüsselt, sodass der User keinen Zugriff mehr darauf hat. Danach wird ein Geldbetrag gefordert nach dessen Bezahlung der Malwarebetreiber zusichert, die Daten wieder zu entschlüsseln und den Zugriff freizugeben. Es ist in derartigen Situationen jedoch nicht gesichert, dass der Zugriff nach Bezahlung tatsächlich wieder möglich ist. (Aus Lagebericht Cybercrime 2017 )

Hier geht es zur Cybercrime-Checkliste

AERZTE Steiermark 11/2019
 

Fotos: Shutterstock, Flicker/fotomaxl.at, Schaffer-Warga, Jungwirth