Cyberangriffe sind in der Wirtschaft ein Riesenproblem. Auch die meisten Zahnärzte kennen die Gefahr – allerdings nicht für die eigene Praxis. Weil ihr Betrieb doch kein lohnendes Ziel sei, denken sie. Ein großer Irrtum.
„Wird schon gut gehen! Wen soll das schon interessieren? Wir sind wir doch als Praxis viel zu klein, das lohnt sich doch gar nicht, oder?“ Doch.
Nicht nur Zahnärzte, auch Apotheker und andere Arztgruppen wiegen sich häufig in Sicherheit, wenn es um das Thema Cyberkriminalität geht. Dabei sind gerade Gesundheitseinrichtungen für Kriminelle höchst attraktiv, und ist es fast egal, ob es um eine große Klinik geht oder um eine kleinere Zahnarztpraxis. Im individuellen Fall ist der Schaden immens. Hier sei erwähnt, dass neben monetären Einbußen und hohen Kosten auch nicht monetäre Schäden in Form von Reputationsschäden, Redundanzen oder der Praxisorganisation erhebliceh Folgen haben können.
In seinem Branchenreport „Cyberrisiken bei Ärzten und Apotheken“ zeigt der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) wie breit der Gap zwischen Wunschdenken und Wirklichkeit ist: In einer repräsentativen Forsa-Umfrage für den GDV unter 200 Ärzten und 100 Apothekern sagten 88 Prozent, Cyberkriminalität sähen sie als Nachteil der Digitalisierung. 44 Prozent der Ärzte und Zahnärzte sagten, sie hielten grundsätzlich auch Arztpraxen für gefährdet, für die eigene Praxis sahen aber nur 17 Prozent diese Gefahr. Weil: „Unsere Daten sind nicht interessant für Cyberkriminelle“ (45 Prozent), „Meine Praxis ist zu klein“ (56 Prozent), „Unsere Computersysteme sind umfassend geschützt“ (80 Prozent).
Schlecht geschützt und heiß begehrt
Gerade den letzten Punkt widerlegte die GDV umgehend: Für ihren Report ließ sie einen Cyberexperten in einer Stichprobe die IT-Sicherheit von 25 Praxen prüfen. 22 der 25 Praxen konnte er innerhalb kürzester Zeit kompromittieren, nur eine hatte einen funktionierenden Notfallplan.
Auch die Argumente „zu uninteressant“ und „zu klein“ ziehen leider nicht. Zahnarzt- und Arztpraxen sind schon wegen der Patientendaten, die sich bei ihnen ansammeln, ein äußerst attraktives Ziel. Viele Angreifer gehen dabei gar nicht zielgerichtet gegen einzelne Einheiten vor, sondern nutzen stattdessen Sicherheitslücken, die viele Unternehmen betreffen könnten, kleine wie große. Ihre für diese Lücken programmierte Schadsoftware senden die Hacker an eine möglichst große Verteilergruppe, etwa per Mail.
Wird ein Praxissystem von einer Ransomware – einem Verschlüsselungstrojaner – befallen, stecken meist dubiose E-Mailanhänge dahinter. Ein klassischer Fall ist dieser: Die Praxis inseriert eine offene Stelle und erhält eine Bewerbung von einer vermeintlich vertrauenswürdigen Quelle. Da die Mail seriös erscheint, wird die Nachricht geöffnet und der angehängte Lebenslauf heruntergeladen. Dann lässt sich die Datei trotz wiederholtem Anklicken nicht öffnen oder verlangt Makros für die richtige Darstellung. Auch unter Aktivierung der Makros passiert nichts, und die Mail wird ad acta gelegt.
Ransomware und Trojanische Pferde
Ob die Schadsoftware nun im Hintergrund direkt anfängt zu wirken oder perfide genug angelegt ist, damit das Virus erst nach einiger Zeit auch sämtliche Backups befällt, hängt davon ab, wieviel Mühe sich die Entwickler gemacht haben. In einer Praxis dauerte es ein halbes Jahr, bis das Virus nach dem Befall loslegte. Infizierte IT-Systeme dienen dabei parallel als Wirt und verteilen die Schadsoftware über das Adressbuch an andere Emailempfänger. Die vermeintlich vertrauenswürdige E-Mail wird so zum Trojanischen Pferd für das nächste System. Cyberkriminelle lesen oft die Jobanzeigen eines Jobportals aus und erhalten so oft in vierstelliger Zahl E-Mailadressen mit potenziellen Opfern.
Bei Ransomware verschlüsselt die Software im Hintergrund den Inhalt Ihrer Festplatten, und Sie erhalten eine Meldung mit den Forderungen der Erpresser. Häufig verlangen sie Bitcoin, bevor sie angeblich die Daten wieder entsperren und die Praxis wieder arbeitsfähig wird. Noch entscheidender ist allerdings, dass Ihre Patientendaten in die Hände von Kriminellen fallen könnten. Die Auswirkungen sind viel weitreichender und verlassen monetäre Aspekte.
Auch wenn Cyber-Bausteine oder eigene Versicherungen gegen Cyberschäden schon häufiger als Bestandteil eines Absicherungskonzepts zu finden sind, sollte man deshalb fortwährend überprüfen, ob und inwieweit die Praxis im Schadensfall abgesichert ist. Am besten mit Hilfe eines Experten oder einer Expertin.
Versicherungsschutz ständig gefährdet
Ein einfaches Beispiel: Bei dem Abschluss einer Krankenversicherung muss man Gesundheitsfragen beantworten und diese werden durch medizinische Gutachten begründet. Bei der Krankenversicherung ist die Antragsstellung für den Versicherungsschutz ausschlaggebend, und sobald die Versicherung besteht, zahlt die Versicherung, wenn Sie krank werden. Bei dem Abschluss einer Cyberversicherung müssen Sie als zahnmedizinischer Experte, IT-spezifische Fragen beantworten und sich fortwährend um die Einhaltung der Voraussetzungen für den Versicherungsschutz kümmern: Softwareaktualisierungen, Patch-Management, Rechte-Rollenkonzepte, adäquate Sicherheitsvoraussetzungen…
Hier wird deutlich, wieso ich den Vergleich zwischen Krankenversicherung und Cyber-Versicherung gewählt habe. Bei der KV müssen Sie anfänglich gesund sein, bei der Cyber-Versicherung sind Sie als Zahnarzt oder Zahnärztin dafür zuständig, dass Ihre Praxis-IT laufend gesund bleibt, damit Sie Ihren Versicherungsschutz behalten.
Ein gutes Absicherungskonzept bietet daher neben dem Versicherungsschutz ein IT-Audit sowie umfassende Assistance Leistungen wie eine 24-Stunden-Hotline mit IT-Experten oder IT-Forensikern, die im Schadensfall zu Rate gezogen werden können.
