CYBERRISIKEN BEI ÄRZTEN UND APOTHEKEN - BRANCHENREPORT - GDV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesamtverband der Deutschen Versicherungswirtschaft e. V.
Eine Initiative der
Deutschen Versicherer.
Branchenreport
Cyberrisiken bei Ärzten
und Apotheken
02 Übersicht
Cyberrisiken bei Ärzten und
Apotheken – unterschätzte Gefahr?
78 % der Arztpraxen und 97 % der Apotheken wären ohne
funktionierende IT-Systeme deutlich eingeschränkt p Seite 5
Jeder zweite Arzt und Apotheker
denkt, seine Praxis/Apotheke wäre zu klein, um in den
Fokus von Cyberkriminellen zu geratenp Seite 5
80 % meinen, sie wären ausreichend
gegen Cyberkriminalität geschützt p Seite 6
Ein Drittel der Ärzte und Apotheker plant keine
weiteren Investitionen in die IT-Sicherheit p Seite 6
gut erpressbare Berufsgruppe“,
„Ärzte sind eine
sagt IT-Experte und White-Hat-Hacker Michael Wiesner p Seite 10-12
In 22 von 25 getesteten Arztpraxen nutzen
mehrere Benutzer dieselbe Zugangskennung mit sehr
einfachen oder gar keinen Passwörternp Seite 13
10 von 25 getesteten Arztpraxen sind auf einen
Ausfall der IT-Systeme nicht vorbereitet p Seite 15
So gut wie keine Praxis oder
Apotheke ist bei der Mail-Verschlüsselung auf dem
neuesten Stand der Technik p Seite 16
#cybersicher
Cyberrisiken 03
Kostbare Beute Patientendaten
Kaum ein Wirtschaftssektor hantiert mit so sensiblen Informationen wie das Gesundheitswesen.
Mit der fortschreitenden Digitalisierung wächst der Druck auf Ärzte, Apotheken und Kliniken, die
Daten ausreichend vor Hackerangriffen zu schützen.
W
er Lokalzeitungen durch-
kämmt, stößt auf eine Viel-
zahl von Cyberattacken
auf Apotheken und Arztpraxen. Im-
mer wieder geraten Betroffene in die
Schlagzeilen, weil sie nach einem An-
Gefahr erkannt?
griff ihre Apotheke oder Praxis zeit-
weise schließen mussten: im rheini-
schen Kevelaer ebenso wie in Bonn,
in Herbolzheim im Breisgau oder in
Wolfsburg. Die Attacken zeigen, wel-
che Folgen ein Ausfall der IT-Syste-
me haben kann: Im schlimmsten Fall
geht gar nichts mehr.
Kein Wunder. Denn auch die
88 % sehen in dem gestiegenen Risiko
von Cyberkriminalität einen
Nachteil der Digitalisierung
Medizin setzt – Stichwort Telema-
tik-Infrastruktur – auf die Chan-
cen der Digitalisierung. In einer in digitale Formate und Daten- Wie verletzlich das Gesundheits-
repräsentativen Forsa-Umfrage im schutzprobleme. Einig sind sich die wesen schon heute geworden ist, rea-
Auftrag des GDV sagt eine knappe Ärzte und Apotheker aber vor allem lisieren viele Akteure offenbar erst
Mehrheit der befragten Ärzte und darin, dass die Bedrohung durch langsam. Dabei ist der Diebstahl von
Apotheker auch, dass die Vorteile Cyberkriminelle im Zuge der Digi- Patientendaten der Super-Gau: Sie
dieser Entwicklung überwiegen: talisierung steigt. gehören zu den sensibelsten Daten
Die Abrechnung mit Krankenkas- Die Gefahr ist also erkannt – überhaupt, nicht umsonst stuft
sen wird bequemer und schneller, aber gebannt ist sie allein dadurch sie der Gesetzgeber als besonders
der fachliche Austausch mit ande- noch lange nicht. Denn die For- schützenswert ein. Das Strafgesetz-
ren Ärzten und mit Patienten wird sa-Umfrage und Sicherheits-Tests buch sieht sogar Freiheitsstrafen
einfacher, der Verwaltungsaufwand des GDV unter Ärzten und Apothe- vor, wenn vertrauliche Angaben von
geringer. Soweit die Hoffnungen. ken zeigen auch, dass das indivi- Patienten ohne deren Einwilligung
Doch die Befragten sehen auch die duelle Risiko von vielen fahrlässig öffentlich gemacht werden. Gerade
Nachteile: Sie fürchten unter ande- unterschätzt und die Qualität der deshalb bräuchten Ärzte, Apothe-
rem hohe Kosten, Probleme bei der IT-Sicherheit systematisch über- ken und Kliniken besonders sichere
Übertragung bisher analoger Daten schätzt wird. Computersysteme. v
Über die Initiative CyberSicher
Mit der Initiative CyberSicher sensibilisieren die Versicherer für die Gefahren aus dem
Cyberspace und zeigen, wie sich kleine und mittlere Unternehmen schützen können. Eine Initiative der
Dabei nimmt die Initiative auch die Cyberrisiken einzelner Branchen unter die Lupe. Deutschen Versicherer.
#cybersicher04 Cyberrisiken
Fragen Sie Ihren Arzt oder Apotheker:
Hackerangriffe würden Praxen
lahmlegen
Den meisten niedergelassenen Ärzten und Apothekern ist bewusst, wie sehr ihre Arbeit mittlerweile von
funktionierenden Computersystemen abhängig ist. Doch das Risiko, selbst einmal Opfer eines Cyberangriffs
zu werden, verdrängen viele – es trifft ja immer nur die anderen.
B
efällt Arztpraxen oder Apo-
theken ein Computer-Virus,
Über die Umfrage „Cyberrisiken im Gesundheitswesen“
bleiben Viren bei Patienten
unbehandelt. Acht von zehn Arzt- Der GDV hat die Forsa Gesellschaft für Sozialforschung und statistische
praxen und so gut wie jede Apotheke Analysen mbH mit einer repräsentativen Befragung der für die Internet
in Deutschland müssten ihre Arbeit sicherheit zuständigen Mitarbeiter von 200 Arztpraxen und 100 Apo
nach einem erfolgreichen Cyberan- theken beauftragt. Die Interviews fanden zwischen dem 11. Juni und
griff einstellen oder stark einschrän- dem 6. Juli 2018 statt.
ken. Das geht aus einer repräsenta-
tiven Forsa-Befragung im Auftrag
des GDV hervor. So wären bei einem
mehrtägigen Ausfall der IT nach ei- zu werden. Nicht mal ein Viertel der Praxis, schätzen sie das Risiko eines
genen Angaben 78 Prozent der Pra- Ärzte hält das eigene Risiko, Opfer Angriffs also gleich ganz anders
xen und sogar 97 Prozent der Apo- eines Hackerangriffs zu werden, für ein. Eigen- und Fremdwahrneh-
theken sehr stark oder eher stark eher bzw. sehr hoch. Unter Apothe- mung klaffen beim Thema IT-Si-
eingeschränkt. Nur jede achte Pra- kern ist das Problembewusstsein cherheit und Hackerangriffe stark
xis könnte bei einem mehrtägigen mit 17 Prozent noch weniger aus- auseinander.
IT-Ausfall wenig oder gar nicht ein- geprägt. Die große Mehrheit sieht Ein Grund für den Glauben,
geschränkt weiterarbeiten. Neun eine eher oder sehr geringe Gefahr, dass es doch eher die anderen tref-
Prozent der Ärzte sehen sich ein dass Hacker bei Ihnen zuschlagen. fen werde: Vier von fünf Ärzten
wenig, aber nicht so stark einge- Die konkrete Gefahr, selbst Opfer und Apothekern sehen sich gegen
schränkt. Bei den Apothekern glaubt eines Angriffs werden zu können, Cyberkriminalität gut gewappnet.
nur jeder Hundertste, er könne bei wird von deutschen Apothekern und Zum einen glauben fast alle Ärzte
einem Ausfall ohne Einschränkun- Ärzten verdrängt. und Apotheker, ihre Computer-
gen einfach weiter arbeiten. Mich trifft es nicht, schon eher systeme umfassend geschützt zu
Terminverwaltung, digitale den Kollegen: Dies gilt vielen Ärz- haben. Zum anderen wiegen sich
Patientenakten, Bestellsoftware ten als recht wahrscheinlich. 48 Pro- viele in falscher Sicherheit, gar nicht
oder Inventarlisten: Dem starken zent der Apotheker und 44 Prozent zum möglichen Opferkreis zu gehö-
Bewusstsein der Ärzte- und Apo- der Ärzte glauben, dass allgemeine ren: Die eigenen Daten sind nicht
thekerschaft, vom Funktionieren Risiko von Praxen und Apothe- interessant genug, die eigene Pra-
der Technik abhängig zu sein, steht ken, Opfer eines Cyberangriffs zu xis ist nicht groß genug, um in den
nur eine geringe Sorge gegenüber, werden, sei eher bzw. sehr hoch. Fokus von Hackern zu kommen –
selbst Opfer von Cyberkriminalität Blicken Ärzte nicht auf die eigene diese gängigen Irrglauben sind k
#cybersicherCyberrisiken 05
Nicht funktionierende IT-Systeme legen schnell auch die meisten
Apotheken und Arztpraxen lahm
Würde die IT mehrere Tage ausfallen, wäre der
Betrieb Ihrer Apotheke/Praxis
(Angaben in Prozent) 7
5 Über drei Viertel
der Arztpraxen...
nicht eingeschränkt
8
nur wenig eingeschränkt 9
nicht so stark eingeschränkt
eher stark eingeschränkt
Praktisch alle
sehr stark eingeschränkt Apotheken...
89
55 …wären ohne
23 funktionierende IT
eher oder sehr stark
eingeschränkt
„Das Risiko gibt es – aber meine Praxis/Apotheke betrifft es nicht“
„Das Risiko von Artzpraxen
und Apotheken in Deutschland, 44 %
Opfer von Cyberkriminalität zu
werden, ist eher bzw. sehr hoch“ 48 %
„Das Risiko meiner Artzpraxis
bzw. Apotheke, Opfer von
Cyberkriminalität zu werden,
17 % ?
ist eher bzw. sehr hoch“
23 % ?
Gefährlicher Irrglaube
Obwohl Arztpraxen und Apotheken mit sensiblen Pa-
Unsere Computer-
systeme sind um-
tientendaten umgehen, wiegen sie sich in Sicherheit.
Von den Arztpraxen/Apotheken, die nur ein geringes 80 % fassend geschützt
89 %
Risiko sehen, sagen …
Meine Praxis/Apotheke
ist zu klein, um in den
Fokus der Cyberkrimi- Unsere Daten sind
56 % nellen zu geraten nicht interessant für
Cyberkriminelle 45 %
49 % 37 %
#cybersicher06 Cyberrisiken
k bei Medizinern und Pharmazeu- Betroffenen. Auch die Hausarzt- in IT-Sicherheit investieren. Für
ten weit verbreitet. Rund jeder Zwei- praxis und die kleine Apotheke an jeweils 36 Prozent der Ärzte ist eine
te glaubt, die eigene Praxis oder Apo- der Ecke sind somit Ziele globaler Investition zumindest wahrschein-
theke sei zu klein für Hacker. Hackerbanden geworden, zumal lich. Doch jeweils jeder dritte nie-
Dabei ist mit sogenannten kleine Betriebe weniger geschützt dergelassene Mediziner und Phar-
Ransomware-Angriffen in den sind als große. mazeut wird bestimmt nicht oder
vergangenen Jahren eine Spielart Zumindest für die Zukunft steht eher nicht in weitere Schutzmaß-
der Cyberangriffe populär gewor- die IT-Sicherheit bei den meisten nahmen gegen Cyberkriminalität
den, die es Hackern ermöglicht, Apothekern und Ärzten auf dem investieren. Denn der Irrglaube lebt
mit Angriffswellen lukrativ mas- Zettel: Jeder vierte Apotheker und weiter: Mich selbst wird es ja schon
senhaft Kleinbeträge zu erpressen jeder fünfte Arzt will auf jeden Fall nicht treffen. v
– zum großen Schaden der vielen in den kommenden zwei Jahren
Hohes Vertrauen in den eigenen Schutz ...
Ist die eigene Praxis/Apotheke ausreichend gegen
Cyberkrimninalität geschützt?
Ja Nein, müsste mehr tun
ca. 80 %
meinen,
77 % der Ärzte gut geschützt
zu sein
81 % der Apotheken
… führt zu geringer Investitionsbereitschaft
Wollen Sie in den kommenden
zwei Jahren in weitere
Schutzmaßnahmen gegen Auf jeden Fall Wahrscheinlich Eher nicht Bestimmt nicht
Cyberkriminalität investieren?
An 100 % fehlende
Angaben: „weiß nicht“.
19 % 36 % 27 % 8%
25 % 36 % 30 % 4%
#cybersicherCyberrisiken 07
Was eine Cyberattacke kosten kann –
und eine Cyberversicherung deckt ( )
Musterszenario Datenklau: Musterszenario
Ransonware:
Hacker attackieren die IT-Systeme einer Arztpraxis. Sie kopieren die
Patientendaten und versprechen, gegen die Zahlung von Lösegeld Hacker attackieren die IT-Systeme
auf eine Veröffentlichung der Daten zu verzichten. einer Apotheke und sperren die
Systeme. Sie wollen die Systeme
Angriff erst wieder freigeben, wenn sie vom
Apotheker Lösegeld bekommen.
Die Arztpraxis erhält per Mail einen Erpresserbrief. Die Kriminellen be
haupten, im Besitz aller Patientendaten zu sein. Als Beleg senden sie
kompromittierende Daten über fünf Patienten, die tatsächlich in der be Angriff
troffenen Praxis in Behandlung waren. Sie drohen damit, die Daten zu ver
öffentlichen, wenn der Arzt nicht bereit ist, ein hohes Lösegeld zu zahlen. Die IT-Systeme der Apotheke sind
ohne Funktion, auf den Bild
schirmen erscheint lediglich die
Informationen an Patienten und Behörden Nachricht der Erpresser.
Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Arzt
kein Lösegeld. Er muss aber die Datenschutzbehörden und seine Pa-
tienten über den Verlust der sensiblen Daten informieren. Um sicher
zu gehen, dass er seinen Pflichten in vollem Umfang nachkommt,
holt er sich Hilfe bei einem Rechtsanwalt. Die Patienten sind nach
der Information verunsichert und haben intensiven Gesprächsbedarf.
Austausch der IT-Systeme
Informationskosten: Anwaltskosten:
4.000 Euro 2.000 Euro Nach Rücksprache mit Polizei
und Staatsanwaltschaft zahlt der
Apotheker kein Lösegeld. IT-Spe
Security-Initiative zialisten suchen und schließen
die Schwachstelle, die den Tätern
IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zu Zugriff zum System erlaubte. Sie
griff zu den Daten erlaubte. Die Systeme werden desinfiziert und gehärtet. setzen neue, sichere Systeme auf
Kosten für IT-Forensik: und stellen alle Daten der Apo
5.000 Euro theke aus den Sicherungskopien
wieder her.
Betriebsunterbrechung Kosten für IT-Forensik:
5.000 Euro
Bis die Schwachstellen geschlossen und weitere Datendiebstähle
verhindert sind, bleibt die Arztpraxis geschlossen. Auch die Abrech
nung mit den Krankenkassen ist unmöglich. Betriebsunterbrechung
Kosten für 2 Tage Betriebsunterbrechung: Bis die Systeme wieder laufen,
5.000 Euro bleibt die Apotheke geschlossen.
Auch die Abrechnung mit den
Krankenkassen ist unmöglich.
Datenmissbrauch
Kosten für 5 Tage Betriebs
Die Hacker veröffentlichen die Gesundheitsdaten einiger Patienten. Die unterbrechung: 12.500 Euro
Betroffenen beauftragen Spezialisten mit der Löschung der unrecht-
mäßig veröffentlichten Daten und verlangen vom Arzt Schadenersatz.
Schadensersatz:
20.000 Euro nach Art. 82 DSGVO
Vertrauenskrise Vertrauenskrise
Nachdem die lokale Presse über den Datendiebstahl berichtet, wenden Nachdem die lokale Presse vom
sich zahlreiche Patienten von der Praxis ab, der Patientenstamm Cyberangriff erfährt und darüber
schrumpft deutlich. berichtet, wenden sich zahlreiche
Kunden von der Apotheke ab, der
Krisenkommunikation: Kundenstamm schrumpft deutlich.
1.000 Euro
Krisenkommunikation:
Der Umsatzrückgang ist nicht gedeckt 1.000 Euro
Der Umsatzrückgang ist
Aufarbeitung nicht gedeckt
Die Datenschutzbehörden verhängen aufgrund des
Datenverlustes ein hohes Bußgeld.
Das Bußgeld ist nicht gedeckt
#cybersicher08 Prävention
Diesen Schutz Der Cyber-Sicherheits-
sollten alle haben check des GDV unter
www.gdv.de/cybercheck stellt
Ihnen die wichtigsten Fragen rund um
Absolute Sicherheit im Netz gibt es nicht. Doch Ihre IT-Sicherheit. So finden Sie schnell
Widerstand ist möglich. Wer die Gefahren realistisch heraus, wie sicher Ihre Systeme sind, wo
einschätzt und bei seiner IT-Sicherheit die folgenden Sie Schwachstellen haben und wie Sie
Grundlagen beachtet, ist gegen viele Angriffe diese schließen können. Ob Sie die zehn
wirksam geschützt und kann die wirtschaftlichen grundlegenden Anforderungen erfüllen,
Folgen eines erfolgreichen Angriffs eindämmen. können Sie gleich hier beantworten.
Die Forsa-Umfrage des GDV zeigt aber: Viele Ärzte
und Apotheker haben Lücken in ihrer IT-Sicherheit
(Angaben in Prozent).
Ärzte Apotheken Selbsttest
1. Sicherheitsupdates automatisch und zeitnah einspielen
und alle Systeme auf dem aktuellen Stand halten
Die meiste Software erhält regelmäßig Updates. Sie dienen oft
17 5
dazu, bekannt gewordene Sicherheitslücken zu schließen. Das
Installieren der Updates schützt die Systeme vor Angreifern.
2. Mindestens einmal wöchentlich Sicherungskopien machen
Daten und digitale Systeme können gezielt angegriffen, verse-
hentlich gelöscht oder durch Hardware zerstört werden. Des-
18 10
halb ist es dringend nötig, die vorhandenen Daten regelmäßig
zu sichern. Grundsätzlich gilt: Je öfter Sie Ihre Daten sichern,
desto besser.
3. Administratoren-Rechte nur an Administratoren vergeben
Wer mit Administratorrechten an einem IT-System arbeitet,
kann dabei verheerende Schäden anrichten. Deshalb ist es rat-
20 13
sam, solche Rechte nur sehr sparsam zu vergeben und nur dann
zu nutzen, wenn sie für die aktuelle Aufgabe wirklich nötig sind.
4. Alle Systeme, die über das Internet erreichbar oder im
mobilen Einsatz sind, zusätzlich schützen
Mobile Geräte können leicht verloren gehen oder gestohlen wer-
20 14
den. Sind die darauf gespeicherten Daten nicht verschlüsselt,
können sie vollständig ausgelesen werden – selbst wenn sie mit
einem Passwort geschützt sind. Server sind über das Internet
ständig erreichbar und daher für Angriffe besonders beliebte
Ziele. Sie sollten am besten mit einer 2-Faktor-Authentifizie-
rung gesichert werden.
#cybersicherPrävention 09
5. Manipulationen und unberechtigten Zugriff auf
Sicherungskopien verhindern
Backups sind die Rückversicherung für den Fall gelöschter oder ma-
20 14
nipulierter Daten. Gesonderte Authentifizierungsstufen und ein ent-
sprechendes Rechtemanagement sollten daher die versehentliche
oder absichtliche Manipulation gesicherter Daten ausschließen.
6. Alle Systeme mit einem Schutz gegen Schadsoftware
ausstatten und diesen automatisch aktualisieren lassen
Viren, Trojaner oder Ransomware: Die meisten Schäden entstehen
20 14
durch das unbeabsichtigte Infizieren der Systeme mit so genannter
Schadsoftware. Auch wenn Virenscanner hier keinen hundertpro-
zentigen Schutz bieten, sollte mindestens einer auf den Systemen
installiert sein und regelmäßig aktualisiert werden.
7. Sicherungskopien physisch vom gesicherten System trennen
Datensicherungen können auch dann vor dem Verlust Ihrer Daten
schützen, wenn die Systeme gestohlen oder durch einen Brand zer-
21 17
stört wurden. Deshalb ist es ratsam, die Backups nicht in der Nähe
der laufenden Systeme aufzubewahren, sondern mindestens in an-
deren Brandabschnitten, besser jedoch an einem ganz anderen Ort.
8. Mindestanforderungen für Passwörter (z.B. Länge, Sonder
zeichen) verlangen und technisch erzwingen
Gerade wenn Passwörter das einzige Authentifizierungsmittel sind,
18 20
sollte eine geeignete Passwortstärke technisch erzwungen wer-
den. Andernfalls sind IT-Systeme schon durch einfachste Angriffe
gefährdet.
9. Jeden Nutzer mit eigener Zugangskennung und individuellem
Passwort ausstatten
Ohne benutzerindividuelle Kennungen ist es nicht möglich, den Zu-
38 30
gang zu Systemen zu sichern. Die individuelle Authentifizierung ist
auch deswegen wichtig, weil nur so später nachvollzogen werden
kann, wer das System wann verwendet hat.
10. Wiederherstellen der Daten aus der Sicherungskopie
regelmäßig testen
Regelmäßige Testläufe stellen sicher, dass bei der Sicherungskopie
45 56
keine Datenquelle fehlt und die Wiederherstellung tatsächlich funk-
tioniert. Der Notfall ist der schlechteste Zeitpunkt um festzustellen,
dass eine Sicherungskopie fehlerhaft ist.
#cybersicher10 Sicherheitscheck
Praxen im Praxistest
Wie sicher sind Deutschlands Ärzte wirklich? Der GDV hat einen IT-Spezialisten 25 Arztpraxen auf Herz und
Nieren testen lassen – unter anderem eine Zahnarztpraxis in Köln. Ein Livehack.
H
astig schlägt Michael Wies- quer durch Deutschland unterwegs,
ner in die Tasten seines Lap- um im Auftrag des GDV 25 Arztpra-
Würde ein Krimineller an
tops. Im Stakkato probiert er xen zu testen. Die Mediziner wollen
diese Daten kommen, wäre
immer wieder neue Passwörter aus: wissen, ob ihre IT-Systeme Sicher-
„Praxis“, „Behandlung“, „Empfang“.
das existenzbedrohend heitslücken haben.
Kryptische Ziffern und Zeichen fla- Und die findet Wiesner zuhauf –
ckern vor ihm auf dem Bildschirm auch wenn es von außen bei den
auf. Nach etwa fünf Minuten grinst existenzbedrohend, würde ein Kri- meisten Praxen zunächst vielver-
Wiesner. Treffer! Er hat das IT-Sys- mineller an diese Daten kommen“, sprechend aussieht. Tatsächlich
tem der Zahnarztpraxis geknackt. sagt die betroffene Medizinerin aus ist die Absicherung gegen externe
Vor ihm breitet sich die gesamte Köln, die ihren Namen nicht öffent- Angriffe auf den ersten Blick gut.
Ordnerstruktur mit allen Dokumen- lich machen möchte. Das liegt allerdings weniger an den
ten aus: Abrechnungen, Termine, Ärzten und ihren IT-Dienstleistern,
Gutachten, Patientenbriefe. Sensi- sondern vielmehr an der Hardware:
belste Informationen. Würde ein Passwörter sind leicht Inzwischen verfügen auch einfa-
Hacker sie verschlüsseln, käme der zu knacken che DSL-Router über ausreichende
Praxisbetrieb zum Erliegen. Wenn Würde, hätte, könnte – denn dies ist Schutzfunktionen. Und nur selten
die Gesundheitsdaten gestoh- nur ein Test und Wiesner ein soge- sind Dienste für einen Zugriff über
len und ins Netz gestellt wür- nannter White-Hat: ein Hacker, der das Internet freigeschaltet.
den, müsste die Ärztin zudem mit auf Bestellung IT-Systeme auf Herz Doch die Sicherheit ist trüge-
hohen Strafen rechnen. „Es wäre und Nieren prüft. Ende 2018 ist er risch. Selbst wer kein Genie im
#cybersicherSicherheitscheck 11
Über den IT-Sicherheitscheck von 25 Arztpraxen
Der GDV hat die IT-Sicherheit von 25 niedergelassenen Ärzten umfassend analysieren lassen. Michael Wiesner,
Cyber-Security-Experte aus dem Expertennetzwerk der VdS Schadenverhütung GmbH, testete die
technische und organisatorische IT-Sicherheit der 25 freiwilligen Teilnehmer sowohl vor Ort in der
Praxis als auch von außen mit Phishing-Mails und einem Penetrationstest. Die teilnehmenden
Ärzte rekrutierten sich aus der Leserschaft der ÄrzteZeitung. Die Sicherheitschecks fanden
zwischen dem 1. September und dem 31. Dezember 2018 statt.
Programmieren und Hacken ist, wäre, wenn die Öffentlichkeit von Schadprogramme enthalten. Auch
findet in vielen Praxen einen einfa- einem Sicherheitsleck in der Praxis Wiesner greift die Arztpraxen mit
chen Weg zu sensiblen Daten. Und erfahren würde“, sagt Wiesner. sogenannten Phishing-Mails an:
der führt ganz simpel durch die Ein- Die angeblich von einem Arzt-Be-
gangstür. Vor Ort in den Arztpraxen wertungsportal stammende Nach-
wäre es für Cyberkriminelle oft ein Ärzte unterschätzen Gefahr richt informiert über eine schlechte
Leichtes, sich Zugang zu internen von Hackerangriffen Bewertung der Praxis. Für immerhin
Systemen, Abrechnungen, Gutach- Bei vielen Medizinern herrscht in- sechs Ärzte ist das Grund genug, das
ten oder gar zu vollständigen Pati- des Sorglosigkeit- und im Alltag angehängte Word-Dokument her-
entenakten zu verschaffen. Frei viel Stress. Viele scheuen deshalb unterzuladen oder den Link in der
zugängliche Netzwerkdosen im zusätzliche Hürden, einige Praxen Mail anzuklicken. Damit ist ihr Sys-
öffentlichen Bereich der Praxis- verzichten sogar komplett auf Pass- tem infiziert und der Hacker hätte
räume oder nicht abgeschlossene wörter. „Wenn dann noch der Ser- vollen Zugriff.
Serverschränke machten es mög- ver ohne Firewall mit dem Internet Welch gravierende Folgen ein
lich. Doch abseits dieses Leicht- verbunden ist, kann jeder im In- unbedarfter Klick haben kann, hat
sinns seien das größte Problem die ternet darauf zugreifen – und das auch die Kölner Zahnärztin schon
viel zu einfachen Passwörter: „Pra- ist gar nicht so selten“, urteilt der erfahren müssen – allerdings nicht
xis, Behandlung oder die Namen IT-Sicherheitsberater. bei einem Test, sondern bei einer
der eingesetzten Arztsoftware sind Und auch der Mensch selbst echten Attacke. Eine Mitarbeiterin
gängige Kennwörter in den Praxen“, stellt eine große Schwachstelle dar. hatte den schadhaften Anhang einer
sagt Wiesner. Im Ergebnis bewertet Häufiges Einfallstor für Hacker sind fingierten Bewerbungsmail geöff-
Wiesner das Risiko für einen inter- E-Mails mit Dateianhängen, die net und gewährte dem Angreifer k
nen Angriff bei 21 der 25 Praxen
als hoch oder sogar sehr hoch. Bei
allen Betroffenen hätten Angreifer
leichtes Spiel, die Kontrolle über
die komplette IT-Infrastruktur zu
übernehmen.
Die laschen Schutzvorkeh-
rungen stehen im krassen Wider-
spruch zu den sensiblen Daten,
über die Ärzte verfügen. Und die
sie zu einem beliebten Angriffsziel
von Hackern machen. Kommen Kri-
minelle in ihren Besitz, haben sie
etwas gegen den Mediziner in der
Hand. „Ärzte sind eine gut erpress-
bare Berufsgruppe, da es mit einem
hohen Imageschaden verbunden
#cybersicher12 Sicherheitscheck
k so Zugang zum System. Die Ärztin gewartet, wie auch Fachmann Wies- die IT-Sicherheit der getesteten Arzt-
reagiert schnell. Sie löst den Com- ner schnell erkennt: „Die Systeme praxen als unterdurchschnittlich.
puter sofort vom Netzwerk und stellen kein kritisches Risiko dar. Bei vielen gibt es gute Ansätze, aber
zieht den Stecker. „Der Computer Das ist ein guter und wichtiger Sicherheitslücken finden sich fast
war hinüber, aber das Netzwerk Punkt.“ Das ist aber keineswegs überall.
war noch nicht infiziert.“ Der Vor- überall so. Weil Mediziner in der So ist es auch in Köln. Obwohl die
fall hätte auch schlimmeren Scha- Regel wenig Berührung mit IT-The- Praxis vergleichsweise gut abschnei-
den anrichten können, weiß die men haben, sind sie stark von ihrem det, bleibt für die Zahnärztin noch
Medizinerin. IT-Dienstleister abhängig – dessen etwas zu tun: „Die Änderung der
Aus dem Angriff hat sie Kon- Qualität sie aber in den wenigsten Zugangspasswörter steht jetzt an
sequenzen gezogen und technisch Fällen tatsächlich beurteilen kön- erster Stelle. Auch meine privaten
aufgerüstet. Ihre IT wird regelmäßig nen. Im Ergebnis bewertet Wiesner Kennwörter werde ich ändern.“ v
Dann starten die Angriffswellen
Mit dem Passwort „Praxis“ kommt Michael Wiesner in jede zweite Praxis-IT.
Das will der White-Hat-Hacker ändern – und gibt Tipps für eine bessere Informationssicherheit.
Wie gehen Sie vor, wenn Ihnen ein nagement der Informationssicher- Wie finde ich als Unternehmen ei-
Arzt einen Hacker-Auftrag erteilt? heit zu etablieren. Das lässt sich am nen guten Hacker?
Michael Wiesner: Tatsächlich ehesten erreichen, wenn man die Wiesner: Der beste Weg zum Hacker
schauen wir uns erst mal die äuße- drei größten Schwachstellen ver- führt über den Austausch mit ande-
ren Faktoren an: Wie sind die Türen sucht zu bekämpfen: Erstens ver- ren Unternehmen, also über Emp-
gesichert, gibt es öffentlich zugäng- altete Systeme, die nicht mehr oder fehlung. Wir haben in Deutschland
liche Netzwerkdosen, wo steht der nur noch schlecht zu warten sind. mittlerweile eine ganze Reihe sehr
Server, sind die PCs gesperrt, wenn Zweitens die viel zu schwachen Pass- guter Dienstleister, die professionell
niemand daran arbeitet? Wie ist der wörter. Und drittens die fehlende Penetrationstests durchführen und
Zugang aus dem Internet auf die Segmentierung, also Trennung der auch bei einem externen Angriff die
Arztpraxis geschützt? Netzwerke. entsprechende Unterstützung leis-
Anschließend finden wir im ten können. v
Gespräch mit dem Arzt und den
Angestellten heraus, welche Sicher-
heitsroutinen sie einhalten: Wie oft
findet eine Datensicherung statt,
wie oft wird die Datensicherung
getestet? In einem Schwachstel-
len-Scan finden wir anschließend
heraus, wie das Netzwerk und die
IT-Systeme gesichert sind. Und dann
starten wir die Angriffswellen.
Haben Sie drei Tipps, die jedes
Unternehmen sicherer machen?
Wiesner: Ganz übergeordnet muss
das Ziel sein, ein vernünftiges Ma-
#cybersicherSicherheitscheck 13
Das sind die 5 größten Risikofaktoren
Risiko 1: Passwörter/Zugänge
p 22 von 25 Praxen nutzen sehr einfach zu erratende
Passwörter (z. B. Behandlung, Praxis, Name des Arztes)
oder gar keine Passwörter
p In 22 von 25 Praxen teilen sich mehrere Benutzer
dieselbe Zugangskennung
p In 20 von 25 Praxen haben alle Benutzer
Administratorenrechte
p Keine Praxis prüft, ob alte Administratorenrechte
noch bestehen.
Drei Tipps für sichere Passwörter
1. Denken Sie sich laaaaaaaange Passwörter aus merken müssen; das übernimmt der Manager. Da die
Sonderzeichen und Großbuchstaben helfen nur bedingt Anbieter ihre Daten in aller Regel verschlüsseln, sind
weiter, ebenso das ständige Wechseln von Passwörtern. die Passwörter auch gegen Hackerangriffe geschützt.
Wichtiger ist die Länge. Hacker „raten“ Passwörter in Sie brauchen für alle Passwörter hingegen nur noch das
der Regel nicht, sondern probieren in kurzer Zeit große „Master-Kennwort“ – das natürlich wiederum sehr sicher
Mengen möglicher Kombinationen aus. Je länger das sein sollte.
Passwort ist, desto länger braucht auch der Computer.
Ein einfaches Beispiel, das Sie bitte nicht direkt verwen 3. Nutzen Sie die Zwei-Faktor-Authentifizierung
den: Um „Pa$$W0rt“ zu knacken, braucht ein herkömm Für den Schutz von Patientendaten sollten Sie ernst
licher PC nach Auskunft der Webseite checkdeinpass haft eine Zwei-Faktor-Authentifizierung in Betracht
wort.de gerade mal sechs Stunden, für „Pa$$W0rt ziehen. Das Verfahren kennen Sie von Ihrer Bank: Am
Hallo123“ mehrere Milliarden Jahre. Geldautomaten brauchen Sie ihre Giro-Karte (1. Fak
tor) und die PIN (2. Faktor), auch eine Überweisung
2. Verwenden Sie einen Passwort-Manager beim Online-Banking funktioniert in aller Regel nur mit
Sie und Ihre Mitarbeiter können und wollen sich die vie PIN und TAN. Den Zugang zu Ihren Systemen können
len langen und komplizierten Passwörter nicht merken? Sie genauso schützen – dann bekommen Sie nach der
Dann fangen Sie auf keinen Fall an, immer das gleiche Eingabe Ihres Passwortes zum Beispiel noch einen Code
oder nur ein leicht abgewandeltes Passwort einzu auf Ihr Smartphone geschickt. Alternativ bekommt jeder
geben. Das macht es Hackern zu einfach. Die bessere Mitarbeiter eine Chipkarte, mit der er sich identifizie
Alternative sind Passwort-Manager. Sie generieren und ren kann. Mit dem Passwort allein können Hacker dann
verwalten starke (=lange) Passwörter, die Sie sich nicht nichts mehr anfangen.
#cybersicher14 Sicherheitscheck
Risiko 2: Arglose Mitarbeiter
p Bei 6 von 25 der attackierten Arztpraxen Phishing- Download-Link in Phishing-
Mail wurde Mail angeklickt/Mail-Anhang
war der Phishing-Angriff erfolgreich, geöffnet (6) heruntergeladen (5)
hier haben die Mitarbeiter auf den
in der Mail enthaltenen Link geklickt
und das anhängende Word-Dokument
heruntergeladen; in einer Praxis wurde
sogar das Schadprogramm des Word- Schadprogramm im Mail-Anhang
Dokuments ausgeführt. (Makro) wurde ausgeführt (1)
So schützen Sie Ihre Arztpraxis oder Apotheke vor schädlichen E-Mails
Nur ein einziger falscher Klick auf einen verseuchten verhindern Sie, dass sich schädliche Mails automatisch
Mail-Anhang oder einen Link kann die IT-Systeme Ihrer öffnen und Viren oder Würmer sofort aktiv werden.
Praxis oder Apotheke lahmlegen. Wenn Sie Ihre Mit
arbeiter regelmäßig für die Gefahren sensibilisieren 4. Vor dem Öffnen: Prüfen Sie Absender und Betreff
und einige grundlegende Regeln für den Umgang mit Cyberkriminelle verstecken sich gern hinter seriös wir
E-Mails aufstellen, können Sie sich vor vielen Angriffen kenden Absenderadressen. Ist Ihnen der Absender der
schützen. Mail bekannt? Und wenn ja: Ist der Absender wirklich
echt? Achten Sie auf kleine Fehler in der Schreibweise
1. Arbeiten Sie mit hohen Sicherheitseinstellungen oder ungewöhnliche Domain-Angaben hinter dem @.
Nutzen Sie die Sicherheitseinstellungen Ihres Betriebs In betrügerischen E-Mails ist auch der Betreff oft nur
systems und Ihrer Software zu Ihrem Schutz. Im Office- unpräzise formuliert, z. B. „Ihre Rechnung“.
Paket sollten zum Beispiel Makros dauerhaft deaktiviert
sein und nur bei Bedarf und im Einzelfall aktiviert wer 5. Öffnen Sie Links und Anhänge nur von wirklich ver-
den können – denn auch über diese kleinen Unterpro trauenswürdigen Mails
gramme in Word-Dokumenten oder Excel-Listen kann Wollen Banken, Behörden oder Kassen sensible Daten
sich Schadsoftware verbreiten. wissen? Verweist eine kryptische Mail auf weitere Infor
mationen im Anhang? Dann sollten Sie stutzig werden
2. Halten Sie Virenscanner und Firewall immer auf und auf keinen Fall auf die Mail antworten, Links folgen
dem neuesten Stand oder Anhänge öffnen. In Zweifelsfällen fragen Sie beim
Die meisten schädlichen E-Mails können Sie mit einem Absender nach – aber nicht per Mail, sondern am Tele
Virenscanner und einer Firewall automatisch herausfil fon! Auch eine Google-Suche nach den ersten Sätzen der
tern lassen. Wirksam geschützt sind Sie aber nur, wenn verdächtigen Mail kann sinnvoll sein – weil Sie so auch
Sie die Sicherheits-Updates auch schnell installieren. Warnungen vor der Betrugsmasche finden.
3. Öffnen Sie E-Mails nicht automatisch 6. Löschen Sie lieber eine Mail zu viel als eine zu
Firewall und Virenscanner erkennen nicht alle schäd wenig
lichen Mails. Öffnen Sie also nicht gedankenlos jede Erscheint Ihnen eine Mail als nicht glaubwürdig, löschen
Mail in Ihrem Posteingang. Erster Schritt: Stellen Sie Sie die Mail aus Ihrem Postfach – und leeren Sie danach
in Ihrem E-Mail-Programm die „Autovorschau“ aus. So auch den Papierkorb Ihres Mailprogramms.
#cybersicherSicherheitscheck 15
Risiko 3: Datensicherungen sind nur auf den ersten Blick ausreichend
Alle Praxen erstellen mindestens wöchentlich
eine Datensicherung….
p … aber nur 9 von 25 verschlüsseln ihre
Datensicherung
p … und nur 4 von 25 testen, ob sich die
Daten wiederherstellen lassen
So sichern Sie Ihre Daten richtig
Was? Vom Smartphone bis zum Desktop-Rechner soll Daten sollten auf mindestens zwei unterschiedlichen
ten alle Geräte gesichert werden. Kritische Daten sollten Speichermedien liegen, von denen eines außerhalb Ihres
besser mehrfach gesichert werden. Unternehmens liegt (z. B. in der Cloud).
Wie oft? So oft und so regelmäßig wie möglich. Stel Wie aufbewahren? Achten Sie darauf, dass Ihr Back-up
len Sie am besten mit einem automatisierten Zeitplan nicht mit Ihrem Hauptsystem verbunden ist – weder
sicher, dass keine Lücken entstehen. über Kabel noch über das WLAN.
Wohin? Speichern Sie das Back-up auf jeden Fall isoliert Was noch? Testen Sie regelmäßig, ob sich die Daten
vom Hauptsystem, also auf einer externen Festplatte, Ihrer Back-ups im Ernstfall auch wirklich wiederherstel
einem Netzwerkspeicher oder in einer Cloud. Kritische len lassen.
Risiko 4: Fehlende Sicherheitsupdates
p In 9 von 25 Praxen fehlten aktuelle Sicherheits-
updates der IT-Systeme
Risiko 5: Keine Vorbereitung auf den Notfall
haben schrift- haben mit ihrem IT-Dienstleister
liches Notfall- einen Vertrag über die Verfüg-
p Nur 1 der 25 Praxen hat ein schriftliches konzept (1) barkeit ihrer IT-Systeme (14)
Notfallkonzept für den Fall eines IT-Ausfalls,
die anderen Praxen verlassen sich auf ihren
IT-Dienstleister;
p aber 10 von 25 der Praxen haben keinen haben weder ein Notfallkonzept noch einen
entsprechenden Vertrag mit ihrem Dienstleister Vertrag mit ihrem IT-Dienstleister (10)
#cybersicher16 Sicherheitscheck
Daten sammeln? Klar! –
Daten verschlüsseln? Naja.
Eine Analyse der Webseiten und Mailserver zeigt, dass Ärzte, Apotheker und Kliniken
beim Datensammeln besser sind als beim Datenschützen. Viele handeln blauäugig.
D
en Größen der digitalen Wer IP-Adressen nicht ano-
Über den
Welt bleibt der virtuelle Be- nymisiert speichert, verstößt
Cysmo-Sicherheitscheck
such von Arztpraxen, Apo- im Zweifel gegen die DSGVO
theken und Kliniken kaum verbor- Großes Interesse an den Daten der
gen. Wie eine vom GDV beauftrag- Webseiten-Besucher haben aber Der GDV hat die PPI AG beauftragt,
te Untersuchung zeigt, binden mehr auch die Betreiber selbst. Egal ob mit Hilfe des Analyse-Tools Cysmo
als drei Viertel der Ärzte und Apo- Apotheke, Klinik oder Arztpraxis – die Sicherheit der IT-Systeme von
theken und zwei Drittel der Klini- rund ein Viertel setzt sogenannte rund 1.200 niedergelassenen Ärzten
ken auf ihren Webseiten fremde Tracker ein. So können sie feststel- verschiedener Fachrichtungen sowie
Inhalte ein. Sie stammen vor allem len, von welchen Seiten ihre Besu- von jeweils rund 250 Apotheken
von Google, Youtube oder Twitter, cher kommen, wie lange sie auf der und Kliniken zu testen. Cysmo ist ein
aber auch das Arztbewertungspor- Webseite bleiben und was sie sich vollautomatisiertes Analysetool. Es
tal Jameda oder Xing sind dabei. Der wie lange ansehen. Tracker schreiben erfasst und analysiert alle öffentlich
Grund ist klar: Angebote wie etwa aber nicht nur Aktivitäten auf einer einsehbaren Informationen aus Sicht
Google Maps sind kostenlos und be- Webseite mit, sondern können Nut- eines Angreifers und kann so poten
quem. Patienten finden schnell und zer durch das ganze Internet verfol- tielle Angriffspunkte aufzeigen. Die
einfach ihren Weg zum Arzt oder gen. Besonders problematisch: Teile Tests fanden zwischen November
zur Apotheke. Dass die Patienten der untersuchten Webseiten haben 2018 und März 2019 statt.
dafür aber mit der Preisgabe ihrer die Programme so eingestellt, dass
Daten bezahlen müssen, ist vielen die IP-Adressen der Benutzer nicht
Akteuren des Gesundheitswesens anonymisiert werden. Das kann zu- benannt sein. Die Realität sieht in
offenbar entweder nicht bewusst – lässig sein, muss aber in der Daten- den meisten Fällen anders aus. Die
oder schlicht egal. schutzerklärung klar und korrekt meisten dieser Tracker wurden vor
Patientendaten besser nicht per Mail schicken
SSL 2, SSL 3: veraltet seit 2011/2015 TLS 1.0, TLS 1.1: vom BSI nicht mehr empfohlen
TLS 1.2 und besser: sichere Verschlüsselungen, vom BSI empfohlen
Kliniken 31 % 63 % 5 %
Apotheken 10 % 90 %
Ärzte gesamt 19 % 81 %
Zahnärzte
Dermatologen
Kardiologen
Radiologen
Allgemeinärzte
HNO-Ärzte
Orthopäden
Augenärzte
Gynäkologen
Neurologen
Kinderärzte
Urologen
#cybersicherSicherheitscheck 17
Inkrafttreten der EU-Datenschutz- suchten Webseiten die unterstütz- noch vor einem Jahr als ausreichend
grundverordnung (DSGVO) instal- ten Verschlüsselungsstandards im sicher. Doch seit Sommer 2018 wer-
liert und dann nicht mehr angepasst Mailverkehr. Viele Mail-Server sind den sie vom Bundesamt für Infor-
– in der Regel fehlt in solchen Fällen so eingestellt, dass sie noch Ver- mationssicherheit (BSI) nicht mehr
auch eine korrekte Datenschutzer- schlüsselungen unterstützen, die empfohlen. Die Auswertungen zei-
klärung. Wird ein solcher Verstoß ge- schon seit mehreren Jahren veraltet gen jedoch, dass die meisten der un-
gen die DSGVO festgestellt, können und damit unsicher sind. Die neues- tersuchten Webseiten hierauf noch
empfindliche Strafen drohen. ten Verschlüsselungstechnologien nicht reagiert haben. Für Patienten
und damit einen sehr guten Schutz heißt das: Wer intime und vertrau-
haben nur die wenigsten, die breite liche Daten wirklich per Mail an ei-
Handlungsbedarf bei der Masse hinkt der Entwicklung hin- nen Arzt oder eine Klinik schicken
Verschlüsselung von Mails terher. Hier besteht akuter Hand- will, sollte sich nach den Sicherheits-
Ebenfalls nicht auf dem neuesten lungsbedarf: Die Verschlüsselungs- standards erkundigen – oder doch
Stand sind bei den meisten unter- standards TLS 1.0 und TLS 1.1 galten ein anderes Medium nutzen. v
Hohes Interesse am Verhalten der Nutzer
Website-Besucher werden getrackt, IP-Adressen werden nicht anonymisiert
Website-Besucher werden getrackt, IP-Adressen werden anonymisiert Website-Besucher werden nicht getrackt
Kliniken 6% 26 % 68 %
Apotheken 3% 21 % 77 %
Ärzte gesamt 7% 21 % 72 %
Zahnärzte
Dermatologen
Kardiologen
Radiologen
Allgemeinärzte
HNO-Ärzte
Orthopäden
Augenärzte
Gynäkologen
Neurologen
Kinderärzte
Urologen
Viele Nutzerdaten gehen an Dritte
Einbindung externer Quellen und Weitergabe der Nutzerdaten an Dritte außerhalb der EU
Einbindung externer Quellen und Weitergabe der Nutzerdaten an Dritte innerhalb der EU Keine Einbindung externer Quellen, keine Datenweitergabe
Kliniken 55 % 12 % 33 %
Apotheken 72 % 14 % 15 %
Ärzte gesamt 70 % 7% 23 %
Zahnärzte
Dermatologen
Kardiologen
Radiologen
Allgemeinärzte
HNO-Ärzte
Orthopäden
Augenärzte
Gynäkologen
Neurologen
Kinderärzte
Urologen
#cybersicher18 Datenschutz & Recht
Ins Licht gezerrt
Wenn Hacker Webseiten und Internetportale knacken, haben sie es häufig auf die Zugangsdaten der Kunden
abgesehen. Die Cysmo-Untersuchung zeigt, dass auch die Daten von Arztpraxen, Apotheken und Kliniken
betroffen sind – und woher die Daten stammen.
D
ie Kombination von E-Mail-
Sind Sie betroffen? Hier finden Sie es heraus.
Adresse und Passwort kann
Gold wert sein – denn vie-
Der Service „Have I Been Pwned?“ (Pwned wird gesprochen wie „poned“)
le Nutzer sind bequem und nutzen
hat über 6 MilliardenDatensätze aus mehr als 300 Datenlecks gesammelt.
immer dieselben Zugangsdaten für
Wenn Sie überprüfen wollen, ob auch Ihre Mail-Adresse darunter ist, geben
die Anmeldung bei verschiedenen
Sie diese einfach in der entsprechenden Suchmaske ein, das Ergebnis wird
Diensten oder Portalen. Werden die-
sofort angezeigt. p https://haveibeenpwned.com/
se bekannt, ist es für Angreifer leicht,
gleich mehrere Accounts zu kapern. Das Hasso-Plattner-Institut bietet den „HPI Identity Leak Checker“ an.
Das kann für die Betroffenen katast- Sie können anhand ihrer E-Mailadresse prüfen, ob die Adresse in Verbin
rophale Folgen haben. Im Extremfall dung mit anderen persönlichen Daten wie Geburtsdatum oder Adresse im
übernehmen Hacker ganze Identitä- Internet offengelegt wurde und missbraucht werden könnte. Anders als bei
ten und lassen Waren an eine belie- „Have I been Pwned?“ erhalten Sie das Ergebnis per Mail.
bige Adresse liefern, schließen und p https://sec.hpi.de/ilc/
kündigen Verträge, erpressen die be-
troffenen Nutzer oder führen Freun-
de, Verwandte, Behörden, Arbeitge- ähnlichen Passwort geschützt sind. fanden sich im Darknet sage und
ber und Patienten in die Irre. Wie groß die Sorglosigkeit vieler schreibe 185 E-Mail- und Pass-
Tauchen Zugangsdaten also im Mitarbeiter im Gesundheitswesen wort-Kombinationen. Außerdem
Darknet auf, ist eine schnelle Reak- ist, zeigt die Cysmo-Stichprobe. stellt sich heraus: Viele nutzen ihre
tion gefragt: Die Passwörter sollten Mehr als jede zehnte Artzpraxis beruflichen Mail-Adressen nicht nur
umgehend geändert werden, und und Apotheke ist betroffen, unter im beruflichen Kontext– denn allein
zwar nicht nur auf der betroffe- den Kliniken ist es aufgrund der in der Stichprobe stammen mehr als
nen Seite, sondern bei allen Zugän- höheren Mitarbeiterzahl sogar die 40 Datensätze von einem Hack der
gen, die mit demselben oder einem Mehrheit – allein von einer Klinik Partnerbörse Badoo. v
Ergiebige Suche im Darknet
E-Mail-/Passwort-Kombination im Darknet gefunden E-Mail-Adresse im Darknet gefunden Nicht im Darknet gefunden
Kliniken 60 % 10 % 30 %
Apotheken 13 % 6% 80 %
Ärzte gesamt 9% 5% 86 %
Zahnärzte
Dermatologen
Kardiologen
Radiologen
Allgemeinärzte
HNO-Ärzte
Orthopäden
Augenärzte
Gynäkologen
Neurologen
Kinderärzte
Urologen
#cybersicherDatenschutz & Recht 19
Das leistet eine
Cyberversicherung
Der Gesamtverband der Deutschen Versicherungswirtschaft hat unverbindliche
Musterbedingungen für eine Cyberversicherung entwickelt. Sie sind speziell auf
die Bedürfnisse von kleinen und mittleren Unternehmen zugeschnitten und richten sich damit unter
anderem an Ärzte und Apotheker. Die Versicherung übernimmt nicht nur die Kosten durch Datendiebstähle,
Unterbrechungen des Praxis- bzw. Apothekenbetriebs und für den Schadenersatz an Dritte, sondern steht
den Kunden im Ernstfall mit einem umfangreichen Service-Angebot zur Seite. Nach einem erfolgreichen
Angriff schickt und bezahlt die Versicherung Experten für IT-Forensik, vermittelt spezialisierte Anwälte und
Krisenkommunikatoren. So hilft sie, den Schaden für betroffene Ärzte und Apotheker so gering wie möglich zu
halten.
Schaden Leistung
Eigen- Wirtschaftliche Schäden durch Un
terbrechungen des Praxis- bzw. Zahlung eines Tagessatzes
schäden Apothekenbetriebs
Kosten der Datenwiederherstellung
Übernahme der Kosten
und System-Rekonstruktion
Dritt- Schadenersatzforderungen von Patienten
wegen Datenmissbrauch
Entschädigung und
Abwehr unberechtigter
schäden Forderungen
Service- IT-Forensik-Experten zur Analyse, Beweis-
sicherung und Schadenbegrenzung
Leistungen Jeweils
Anwälte für IT- und Datenschutzrecht
Vermittlung und
zur Beratung
Kostenübernahme
PR-Spezialisten für Krisenkommunikation
zur Eindämmung des Imageschadens
Impressum
V.i.S.d.P.:
Herausgeber: Christoph Hardt
Gesamtverband der Deutschen Bildnachweis:
Versicherungswirtschaft e. V. Redaktion: S. 1: everything possible
Wilhelmstraße 43 / 43 G Henning Engelage S. 10: Getty Images/
10117 Berlin Simon Frost Boonchai Wedmakawand Eine Initiative der
Tel. +49 30 2020-5000 Saraida Höfer S. 11: Saraida Höfer Deutschen Versicherer.
berlin@gdv.de, www.gdv.de Christian Siemens S. 12: Katharina Weber gdv.de/cybersicherWilhelmstraße 43 / 43 G 51, rue Montoyer www.gdv.de 10117 Berlin B-1000 Brüssel www.DieVERSiCHERER.de Tel. +49 30 2020-5000 Tel. +32 2 28247-30 facebook.com/DieVERSiCHERER.de Fax +49 30 2020-6000 Fax +49 30 2020-6140 Twitter: @gdv_de E-Mail: berlin@gdv.de E-Mail: bruessel@gdv.de www.youtube.com/user/GDVBerlin
Sie können auch lesen
