CYBERRISIKEN BEI ÄRZTEN UND APOTHEKEN - BRANCHENREPORT - GDV

 
CYBERRISIKEN BEI ÄRZTEN UND APOTHEKEN - BRANCHENREPORT - GDV
Gesamtverband der Deutschen Versicherungswirtschaft e. V.

                                                            Eine Initiative der
                                                            Deutschen Versicherer.

    Branchenreport

   Cyberrisiken bei Ärzten
   und Apotheken
CYBERRISIKEN BEI ÄRZTEN UND APOTHEKEN - BRANCHENREPORT - GDV
02    Übersicht

     Cyberrisiken bei Ärzten und
     Apotheken – unterschätzte Gefahr?

                     78 %           der Arztpraxen und 97 % der Apotheken wären ohne
                        funktionierende IT-Systeme deutlich eingeschränkt p Seite 5

                                             Jeder zweite                      Arzt und Apotheker
                                                denkt, seine Praxis/Apotheke wäre zu klein, um in den
                                                Fokus von Cyberkriminellen zu geratenp Seite 5

                    80 %           meinen, sie wären ausreichend
                       gegen Cyberkriminalität geschützt p Seite 6

                                 Ein Drittel der Ärzte und Apotheker plant keine
                                    weiteren Investitionen in die IT-Sicherheit p Seite 6

                              gut erpressbare Berufsgruppe“,
               „Ärzte sind eine
                sagt IT-Experte und White-Hat-Hacker Michael Wiesner p Seite 10-12

                                           In 22 von 25 getesteten Arztpraxen nutzen
                                              mehrere Benutzer dieselbe Zugangskennung mit sehr
                                              einfachen oder gar keinen Passwörternp Seite 13

           10 von 25 getesteten Arztpraxen sind auf einen
              Ausfall der IT-Systeme nicht vorbereitet p Seite 15

                                      So gut wie keine Praxis oder
                                         Apotheke ist bei der Mail-Verschlüsselung auf dem
                                         neuesten Stand der Technik p Seite 16

     #cybersicher
CYBERRISIKEN BEI ÄRZTEN UND APOTHEKEN - BRANCHENREPORT - GDV
Cyberrisiken       03

Kostbare Beute Patientendaten
Kaum ein Wirtschaftssektor hantiert mit so sensiblen Informationen wie das Gesundheitswesen.
Mit der fortschreitenden Digitalisierung wächst der Druck auf Ärzte, Apotheken und Kliniken, die
Daten ausreichend vor Hackerangriffen zu schützen.

W
           er Lokalzeitungen durch-
           kämmt, stößt auf eine Viel-
           zahl von Cyberattacken
auf Apotheken und Arztpraxen. Im-
mer wieder geraten Betroffene in die
Schlagzeilen, weil sie nach einem An-
                                                                    Gefahr erkannt?
griff ihre Apotheke oder Praxis zeit-
weise schließen mussten: im rheini-
schen Kevelaer ebenso wie in Bonn,
in Herbolzheim im Breisgau oder in
Wolfsburg. Die Attacken zeigen, wel-
che Folgen ein Ausfall der IT-Syste-
me haben kann: Im schlimmsten Fall
geht gar nichts mehr.
    Kein Wunder. Denn auch die
                                                          88 %                   sehen in dem gestiegenen Risiko
                                                                                 von Cyberkriminalität einen
                                                                                 Nachteil der Digitalisierung
Medizin setzt – Stichwort Telema-
tik-Infrastruktur – auf die Chan-
cen der Digitalisierung. In einer        in digitale Formate und Daten-                 Wie verletzlich das Gesundheits-
repräsentativen Forsa-Umfrage im         schutzprobleme. Einig sind sich die       wesen schon heute geworden ist, rea-
Auftrag des GDV sagt eine knappe         Ärzte und Apotheker aber vor allem        lisieren viele Akteure offenbar erst
Mehrheit der befragten Ärzte und         darin, dass die Bedrohung durch           langsam. Dabei ist der Diebstahl von
Apotheker auch, dass die Vorteile        Cyberkriminelle im Zuge der Digi-         Patientendaten der Super-Gau: Sie
dieser Entwicklung überwiegen:           talisierung steigt.                       gehören zu den sensibelsten Daten
Die Abrechnung mit Krankenkas-                Die Gefahr ist also erkannt –        überhaupt, nicht umsonst stuft
sen wird bequemer und schneller,         aber gebannt ist sie allein dadurch       sie der Gesetzgeber als besonders
der fachliche Austausch mit ande-        noch lange nicht. Denn die For-           schützenswert ein. Das Strafgesetz-
ren Ärzten und mit Patienten wird        sa-Umfrage und Sicherheits-Tests          buch sieht sogar Freiheitsstrafen
einfacher, der Verwaltungsaufwand        des GDV unter Ärzten und Apothe-          vor, wenn vertrauliche Angaben von
geringer. Soweit die Hoffnungen.         ken zeigen auch, dass das indivi-         Patienten ohne deren Einwilligung
Doch die Befragten sehen auch die        duelle Risiko von vielen fahrlässig       öffentlich gemacht werden. Gerade
Nachteile: Sie fürchten unter ande-      unterschätzt und die Qualität der         deshalb bräuchten Ärzte, Apothe-
rem hohe Kosten, Probleme bei der        IT-Sicherheit systematisch über-          ken und Kliniken besonders sichere
Übertragung bisher analoger Daten        schätzt wird.                             Computersysteme.                  v

 Über die Initiative CyberSicher

Mit der Initiative CyberSicher sensibilisieren die Versicherer für die Gefahren aus dem
Cyberspace und zeigen, wie sich kleine und mittlere Unternehmen schützen können.               Eine Initiative der
Dabei nimmt die Initiative auch die Cyberrisiken einzelner Branchen unter die Lupe.            Deutschen Versicherer.

#cybersicher
04    Cyberrisiken

     Fragen Sie Ihren Arzt oder Apotheker:
     Hackerangriffe würden Praxen
     lahmlegen
     Den meisten niedergelassenen Ärzten und Apothekern ist bewusst, wie sehr ihre Arbeit mittlerweile von
     funktionierenden Computersystemen abhängig ist. Doch das Risiko, selbst einmal Opfer eines Cyberangriffs
     zu werden, verdrängen viele – es trifft ja immer nur die anderen.

     B
             efällt Arztpraxen oder Apo-
             theken ein Computer-Virus,
                                                Über die Umfrage „Cyberrisiken im Gesundheitswesen“
             bleiben Viren bei Patienten
     unbehandelt. Acht von zehn Arzt-          Der GDV hat die Forsa Gesellschaft für Sozialforschung und statistische
     praxen und so gut wie jede Apotheke       Analysen mbH mit einer repräsentativen Befragung der für die Internet­
     in Deutschland müssten ihre Arbeit        sicherheit zuständigen Mitarbeiter von 200 Arztpraxen und 100 Apo­
     nach einem erfolgreichen Cyberan-         theken beauftragt. Die Interviews fanden zwischen dem 11. Juni und
     griff einstellen oder stark einschrän-    dem 6. Juli 2018 statt.
     ken. Das geht aus einer repräsenta-
     tiven Forsa-Befragung im Auftrag
     des GDV hervor. So wären bei einem
     mehrtägigen Ausfall der IT nach ei-      zu werden. Nicht mal ein Viertel der    Praxis, schätzen sie das Risiko eines
     genen Angaben 78 Prozent der Pra-        Ärzte hält das eigene Risiko, Opfer     Angriffs also gleich ganz anders
     xen und sogar 97 Prozent der Apo-        eines Hackerangriffs zu werden, für     ein. Eigen- und Fremdwahrneh-
     theken sehr stark oder eher stark        eher bzw. sehr hoch. Unter Apothe-      mung klaffen beim Thema IT-Si-
     eingeschränkt. Nur jede achte Pra-       kern ist das Problembewusstsein         cherheit und Hackerangriffe stark
     xis könnte bei einem mehrtägigen         mit 17 Prozent noch weniger aus-        auseinander.
     IT-Ausfall wenig oder gar nicht ein-     geprägt. Die große Mehrheit sieht            Ein Grund für den Glauben,
     geschränkt weiterarbeiten. Neun          eine eher oder sehr geringe Gefahr,     dass es doch eher die anderen tref-
     Prozent der Ärzte sehen sich ein         dass Hacker bei Ihnen zuschlagen.       fen werde: Vier von fünf Ärzten
     wenig, aber nicht so stark einge-        Die konkrete Gefahr, selbst Opfer       und Apothekern sehen sich gegen
     schränkt. Bei den Apothekern glaubt      eines Angriffs werden zu können,        Cyberkriminalität gut gewappnet.
     nur jeder Hundertste, er könne bei       wird von deutschen Apothekern und       Zum einen glauben fast alle Ärzte
     einem Ausfall ohne Einschränkun-         Ärzten verdrängt.                       und Apotheker, ihre Computer-
     gen einfach weiter arbeiten.                 Mich trifft es nicht, schon eher    systeme umfassend geschützt zu
         Terminverwaltung, digitale           den Kollegen: Dies gilt vielen Ärz-     haben. Zum anderen wiegen sich
     Patientenakten, Bestellsoftware          ten als recht wahrscheinlich. 48 Pro-   viele in falscher Sicherheit, gar nicht
     oder Inventarlisten: Dem starken         zent der Apotheker und 44 Prozent       zum möglichen Opferkreis zu gehö-
     Bewusstsein der Ärzte- und Apo-          der Ärzte glauben, dass allgemeine      ren: Die eigenen Daten sind nicht
     thekerschaft, vom Funktionieren          Risiko von Praxen und Apothe-           interessant genug, die eigene Pra-
     der Technik abhängig zu sein, steht      ken, Opfer eines Cyberangriffs zu       xis ist nicht groß genug, um in den
     nur eine geringe Sorge gegenüber,        werden, sei eher bzw. sehr hoch.        Fokus von Hackern zu kommen –
     selbst Opfer von Cyberkriminalität       Blicken Ärzte nicht auf die eigene      diese gängigen Irrglauben sind k

     #cybersicher
Cyberrisiken    05

Nicht funktionierende IT-Systeme legen schnell auch die meisten
Apotheken und Arztpraxen lahm
Würde die IT mehrere Tage ausfallen, wäre der
 Betrieb Ihrer Apotheke/Praxis
(Angaben in Prozent)                                            7
                                                            5                                   Über drei Viertel
                                                                                                der Arztpraxen...
   nicht eingeschränkt
                                                                8
   nur wenig eingeschränkt                          9
   nicht so stark eingeschränkt
   eher stark eingeschränkt
                                                                                                Praktisch alle
   sehr stark eingeschränkt                                                                     Apotheken...

                                                                            89
                                                                                   55           …wären ohne
                                                   23                                           funktionierende IT
                                                                                                eher oder sehr stark
                                                                                                eingeschränkt

„Das Risiko gibt es – aber meine Praxis/Apotheke betrifft es nicht“

    „Das Risiko von Artzpraxen
und Apotheken in Deutschland,                                                                         44 %
 Opfer von Cyberkriminalität zu
werden, ist eher bzw. sehr hoch“                                                                              48 %

 „Das Risiko meiner Artzpraxis
     bzw. Apotheke, Opfer von
  Cyberkriminalität zu werden,
                                                            17 %                                          ?
       ist eher bzw. sehr hoch“
                                                                    23 %                                         ?

Gefährlicher Irrglaube
Obwohl Arztpraxen und Apotheken mit sensiblen Pa-
                                                                                              Unsere Computer-
                                                                                              systeme sind um-
tientendaten umgehen, wiegen sie sich in Sicherheit.
Von den Arztpraxen/Apotheken, die nur ein geringes                     80 %                   fassend geschützt

                                                                       89 %
Risiko sehen, sagen …

                                  Meine Praxis/Apotheke
                                  ist zu klein, um in den
                                  Fokus der Cyberkrimi-                Unsere Daten sind
       56 %                          nellen zu geraten                nicht interessant für
                                                                        Cyberkriminelle                    45 %
       49 %                                                                                                37 %

#cybersicher
06    Cyberrisiken

     k bei Medizinern und Pharmazeu-              Betroffenen. Auch die Hausarzt-                in IT-Sicherheit investieren. Für
     ten weit verbreitet. Rund jeder Zwei-        praxis und die kleine Apotheke an              jeweils 36 Prozent der Ärzte ist eine
     te glaubt, die eigene Praxis oder Apo-       der Ecke sind somit Ziele globaler             Investition zumindest wahrschein-
     theke sei zu klein für Hacker.               Hackerbanden geworden, zumal                   lich. Doch jeweils jeder dritte nie-
          Dabei ist mit sogenannten               kleine Betriebe weniger geschützt              dergelassene Mediziner und Phar-
     Ransomware-Angriffen in den                  sind als große.                                mazeut wird bestimmt nicht oder
     vergangenen Jahren eine Spielart                 Zumindest für die Zukunft steht            eher nicht in weitere Schutzmaß-
     der Cyberangriffe populär gewor-             die IT-Sicherheit bei den meisten              nahmen gegen Cyberkriminalität
     den, die es Hackern ermöglicht,              Apothekern und Ärzten auf dem                  investieren. Denn der Irrglaube lebt
     mit Angriffswellen lukrativ mas-             Zettel: Jeder vierte Apotheker und             weiter: Mich selbst wird es ja schon
     senhaft Kleinbeträge zu erpressen            jeder fünfte Arzt will auf jeden Fall          nicht treffen.                    v
     – zum großen Schaden der vielen              in den kommenden zwei Jahren

     Hohes Vertrauen in den eigenen Schutz ...
     Ist die eigene Praxis/Apotheke ausreichend gegen
     Cyberkrimninalität geschützt?

        Ja     Nein, müsste mehr tun

                                                                                        ca. 80 %
                                                                                            meinen,
                                            77 % der Ärzte                                gut geschützt
                                                                                             zu sein

                                       81 % der Apotheken

     … führt zu geringer Investitionsbereitschaft
     Wollen Sie in den kommenden
     zwei Jahren in weitere
     Schutzmaßnahmen gegen                                   Auf jeden Fall   Wahrscheinlich     Eher nicht   Bestimmt nicht
     Cyberkriminalität investieren?
     An 100 % fehlende
     Angaben: „weiß nicht“.
                                                                19 %                           36 %                  27 %        8%

                                                                25 %                           36 %                 30 %        4%

     #cybersicher
Cyberrisiken      07

                  Was eine Cyberattacke kosten kann –
                  und eine Cyberversicherung deckt ( )

 Musterszenario Datenklau:                                                     Musterszenario
                                                                               Ransonware:
Hacker attackieren die IT-Systeme einer Arztpraxis. Sie kopieren die
Patientendaten und versprechen, gegen die Zahlung von Lösegeld                Hacker attackieren die IT-Systeme
auf eine Veröffentlichung der Daten zu verzichten.                            einer Apotheke und sperren die
                                                                              Systeme. Sie wollen die Systeme
Angriff                                                                       erst wieder freigeben, wenn sie vom
                                                                              Apotheker Lösegeld bekommen.
Die Arztpraxis erhält per Mail einen Erpresserbrief. Die Kriminellen be­
haupten, im Besitz aller Patientendaten zu sein. Als Beleg senden sie
kom­promittierende Daten über fünf Patienten, die tatsächlich in der be­      Angriff
troffenen Praxis in Behandlung waren. Sie drohen damit, die Daten zu ver­
öffentlichen, wenn der Arzt nicht bereit ist, ein hohes Lösegeld zu zahlen.   Die IT-Systeme der Apotheke sind
                                                                              ohne Funktion, auf den Bild­
                                                                              schirmen erscheint lediglich die
Informationen an Patienten und Behörden                                       Nachricht der Erpresser.
Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Arzt
kein Lösegeld. Er muss aber die Datenschutzbehörden und seine Pa­-
tienten über den Verlust der sensiblen Daten informieren. Um sicher
zu gehen, dass er seinen Pflichten in vollem Umfang nachkommt,
holt er sich Hilfe bei einem Rechtsanwalt. Die Patienten sind nach
der Information verunsichert und haben intensiven Gesprächsbedarf.
                                                                              Austausch der IT-Systeme
   Informationskosten:                Anwaltskosten:
   4.000 Euro                         2.000 Euro                              Nach Rücksprache mit Polizei
                                                                              und Staatsanwaltschaft zahlt der
                                                                              Apotheker kein Lösegeld. IT-Spe­
Security-Initiative                                                           zialisten suchen und schließen
                                                                              die Schwachstelle, die den Tätern
IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zu­    Zugriff zum System erlaubte. Sie
griff zu den Daten erlaubte. Die Systeme werden desinfiziert und gehärtet.    setzen neue, sichere Systeme auf
   Kosten für IT-Forensik:                                                    und stellen alle Daten der Apo­
   5.000 Euro                                                                 theke aus den Sicherungskopien
                                                                              wieder her.
Betriebsunterbrechung                                                            Kosten für IT-Forensik:
                                                                                 5.000 Euro
Bis die Schwachstellen geschlossen und weitere Datendiebstähle
verhindert sind, bleibt die Arztpraxis geschlossen. Auch die Abrech­
nung mit den Krankenkassen ist unmöglich.                                     Betriebsunterbrechung
   Kosten für 2 Tage Betriebsunterbrechung:                                   Bis die Systeme wieder laufen,
   5.000 Euro                                                                 bleibt die Apotheke geschlossen.
                                                                              Auch die Abrechnung mit den
                                                                              Krankenkassen ist unmöglich.
Datenmissbrauch
                                                                                 Kosten für 5 Tage Betriebs­
Die Hacker veröffentlichen die Gesundheitsdaten einiger Patienten. Die           unterbrechung: 12.500 Euro
Betroffenen beauftragen Spezialisten mit der Löschung der unrecht-
mäßig veröffentlichten Daten und verlangen vom Arzt Schadenersatz.
   Schadensersatz:
   20.000 Euro nach Art. 82 DSGVO

Vertrauenskrise                                                               Vertrauenskrise
Nachdem die lokale Presse über den Datendiebstahl berichtet, wenden           Nachdem die lokale Presse vom
sich zahlreiche Patienten von der Praxis ab, der Patientenstamm               Cyberangriff erfährt und darüber
schrumpft deutlich.                                                           berichtet, wenden sich zahlreiche
                                                                              Kunden von der Apotheke ab, der
   Krisenkommunikation:                                                       Kundenstamm schrumpft deutlich.
   1.000 Euro
                                                                                 Krisenkommunikation:
Der Umsatzrückgang ist nicht gedeckt                                             1.000 Euro
                                                                              Der Umsatzrückgang ist
Aufarbeitung                                                                  nicht gedeckt
Die Datenschutzbehörden verhängen aufgrund des
Datenverlustes ein hohes Bußgeld.
Das Bußgeld ist nicht gedeckt

#cybersicher
08    Prävention

     Diesen Schutz                                                           Der Cyber-Sicherheits-

     sollten alle haben                                                      check des GDV unter
                                                                             www.gdv.de/cybercheck stellt
                                                                             Ihnen die wichtigsten Fragen rund um
     Absolute Sicherheit im Netz gibt es nicht. Doch                         Ihre IT-Sicherheit. So finden Sie schnell
     Widerstand ist möglich. Wer die Gefahren realistisch                    heraus, wie sicher Ihre Systeme sind, wo
     einschätzt und bei seiner IT-Sicherheit die folgenden                   Sie Schwachstellen haben und wie Sie
     Grundlagen beachtet, ist gegen viele Angriffe                           diese schließen können. Ob Sie die zehn
     wirksam geschützt und kann die wirtschaftlichen                         grundlegenden Anforderungen erfüllen,
     Folgen eines erfolgreichen Angriffs eindämmen.                          können Sie gleich hier beantworten.
     Die Forsa-Umfrage des GDV zeigt aber: Viele Ärzte
     und Apotheker haben Lücken in ihrer IT-Sicherheit
     (Angaben in Prozent).
                                                                                    Ärzte       Apotheken Selbsttest

     1.		 Sicherheitsupdates automatisch und zeitnah einspielen
          und alle Systeme auf dem aktuellen Stand halten
         Die meiste Software erhält regelmäßig Updates. Sie dienen oft
                                                                                     17              5
         dazu, bekannt gewordene Sicherheitslücken zu schließen. Das
         Installieren der Updates schützt die Systeme vor Angreifern.

     2.		 Mindestens einmal wöchentlich Sicherungskopien machen
         Daten und digitale Systeme können gezielt angegriffen, verse-
         hentlich gelöscht oder durch Hardware zerstört werden. Des-
                                                                                     18             10
         halb ist es dringend nötig, die vorhandenen Daten regelmäßig
         zu sichern. Grundsätzlich gilt: Je öfter Sie Ihre Daten sichern,
         desto besser.

     3.		 Administratoren-Rechte nur an Administratoren vergeben
         Wer mit Administratorrechten an einem IT-System arbeitet,
         kann dabei verheerende Schäden anrichten. Deshalb ist es rat-
                                                                                     20             13
         sam, solche Rechte nur sehr sparsam zu vergeben und nur dann
         zu nutzen, wenn sie für die aktuelle Aufgabe wirklich nötig sind.

     4.		 Alle Systeme, die über das Internet erreichbar oder im
          mobilen Einsatz sind, zusätzlich schützen
         Mobile Geräte können leicht verloren gehen oder gestohlen wer-
                                                                                     20             14
         den. Sind die darauf gespeicherten Daten nicht verschlüsselt,
         können sie vollständig ausgelesen werden – selbst wenn sie mit
         einem Passwort geschützt sind. Server sind über das Internet
         ständig erreichbar und daher für Angriffe besonders beliebte
         Ziele. Sie sollten am besten mit einer 2-Faktor-Authentifizie-
         rung gesichert werden.

     #cybersicher
Prävention   09

5.		 Manipulationen und unberechtigten Zugriff auf
     Sicherungskopien verhindern
    Backups sind die Rückversicherung für den Fall gelöschter oder ma-
                                                                             20   14
    nipulierter Daten. Gesonderte Authentifizierungsstufen und ein ent-
    sprechendes Rechtemanagement sollten daher die versehentliche
    oder absichtliche Manipulation gesicherter Daten ausschließen.

6.		 Alle Systeme mit einem Schutz gegen Schadsoftware
     ausstatten und diesen automatisch aktualisieren lassen
    Viren, Trojaner oder Ransomware: Die meisten Schäden entstehen
                                                                             20   14
    durch das unbeabsichtigte Infizieren der Systeme mit so genannter
    Schadsoftware. Auch wenn Virenscanner hier keinen hundertpro-
    zentigen Schutz bieten, sollte mindestens einer auf den Systemen
    installiert sein und regelmäßig aktualisiert werden.

7.		 Sicherungskopien physisch vom gesicherten System trennen
    Datensicherungen können auch dann vor dem Verlust Ihrer Daten
    schützen, wenn die Systeme gestohlen oder durch einen Brand zer-
                                                                             21   17
    stört wurden. Deshalb ist es ratsam, die Backups nicht in der Nähe
    der laufenden Systeme aufzubewahren, sondern mindestens in an-
    deren Brandabschnitten, besser jedoch an einem ganz anderen Ort.

8.		 Mindestanforderungen für Passwörter (z.B. Länge, Sonder­
     zeichen) verlangen und technisch erzwingen
    Gerade wenn Passwörter das einzige Authentifizierungsmittel sind,
                                                                             18   20
    sollte eine geeignete Passwortstärke technisch erzwungen wer-
    den. Andernfalls sind IT-Systeme schon durch einfachste Angriffe
    gefährdet.

9.		 Jeden Nutzer mit eigener Zugangskennung und individuellem
     Passwort ausstatten
    Ohne benutzerindividuelle Kennungen ist es nicht möglich, den Zu-
                                                                             38   30
    gang zu Systemen zu sichern. Die individuelle Authentifizierung ist
    auch deswegen wichtig, weil nur so später nachvollzogen werden
    kann, wer das System wann verwendet hat.

10. Wiederherstellen der Daten aus der Sicherungskopie
    regelmäßig testen
    Regelmäßige Testläufe stellen sicher, dass bei der Sicherungskopie
                                                                             45   56
    keine Datenquelle fehlt und die Wiederherstellung tatsächlich funk-
    tioniert. Der Notfall ist der schlechteste Zeitpunkt um festzustellen,
    dass eine Sicherungskopie fehlerhaft ist.

#cybersicher
10    Sicherheitscheck

     Praxen im Praxistest
     Wie sicher sind Deutschlands Ärzte wirklich? Der GDV hat einen IT-Spezialisten 25 Arztpraxen auf Herz und
     Nieren testen lassen – unter anderem eine Zahnarztpraxis in Köln. Ein Livehack.

     H
            astig schlägt Michael Wies-                                            quer durch Deutschland unterwegs,
            ner in die Tasten seines Lap-                                          um im Auftrag des GDV 25 Arztpra-
                                              Würde ein Krimineller an
            tops. Im Stakkato probiert er                                          xen zu testen. Die Mediziner wollen
                                             diese Daten kommen, wäre
     immer wieder neue Passwörter aus:                                             wissen, ob ihre IT-Systeme Sicher-
     „Praxis“, „Behandlung“, „Empfang“.
                                               das existenzbedrohend               heitslücken haben.
     Kryptische Ziffern und Zeichen fla-                                                Und die findet Wiesner zuhauf –
     ckern vor ihm auf dem Bildschirm                                              auch wenn es von außen bei den
     auf. Nach etwa fünf Minuten grinst     existenzbedrohend, würde ein Kri-      meisten Praxen zunächst vielver-
     Wiesner. Treffer! Er hat das IT-Sys-   mineller an diese Daten kommen“,       sprechend aussieht. Tatsächlich
     tem der Zahnarztpraxis geknackt.       sagt die betroffene Medizinerin aus    ist die Absicherung gegen externe
         Vor ihm breitet sich die gesamte   Köln, die ihren Namen nicht öffent-    Angriffe auf den ersten Blick gut.
     Ordnerstruktur mit allen Dokumen-      lich machen möchte.                    Das liegt allerdings weniger an den
     ten aus: Abrechnungen, Termine,                                               Ärzten und ihren IT-Dienstleistern,
     Gutachten, Patientenbriefe. Sensi-                                            sondern vielmehr an der Hardware:
     belste Informationen. Würde ein        Passwörter sind leicht                 Inzwischen verfügen auch einfa-
     Hacker sie verschlüsseln, käme der     zu knacken                             che DSL-Router über ausreichende
     Praxisbetrieb zum Erliegen. Wenn       Würde, hätte, könnte – denn dies ist   Schutzfunktionen. Und nur selten
     die Gesundheitsdaten gestoh-           nur ein Test und Wiesner ein soge-     sind Dienste für einen Zugriff über
     len und ins Netz gestellt wür-         nannter White-Hat: ein Hacker, der     das Internet freigeschaltet.
     den, müsste die Ärztin zudem mit       auf Bestellung IT-Systeme auf Herz          Doch die Sicherheit ist trüge-
     hohen Strafen rechnen. „Es wäre        und Nieren prüft. Ende 2018 ist er     risch. Selbst wer kein Genie im

     #cybersicher
Sicherheitscheck        11

 Über den IT-Sicherheitscheck von 25 Arztpraxen

Der GDV hat die IT-Sicherheit von 25 niedergelassenen Ärzten umfassend analysieren lassen. Michael Wiesner,
Cyber-Security-Experte aus dem Expertennetzwerk der VdS Schadenverhütung GmbH, testete die
technische und organisatorische IT-Sicherheit der 25 freiwilligen Teilnehmer sowohl vor Ort in der
Praxis als auch von außen mit Phishing-Mails und einem Penetrationstest. Die teilnehmenden
Ärzte rekrutierten sich aus der Leserschaft der ÄrzteZeitung. Die Sicherheitschecks fanden
zwischen dem 1. September und dem 31. Dezember 2018 statt.

Programmieren und Hacken ist,          wäre, wenn die Öffentlichkeit von       Schadprogramme enthalten. Auch
findet in vielen Praxen einen einfa-   einem Sicherheitsleck in der Praxis     Wiesner greift die Arztpraxen mit
chen Weg zu sensiblen Daten. Und       erfahren würde“, sagt Wiesner.          sogenannten Phishing-Mails an:
der führt ganz simpel durch die Ein-                                           Die angeblich von einem Arzt-Be-
gangstür. Vor Ort in den Arztpraxen                                            wertungsportal stammende Nach-
wäre es für Cyberkriminelle oft ein    Ärzte unterschätzen Gefahr              richt informiert über eine schlechte
Leichtes, sich Zugang zu internen      von Hackerangriffen                     Bewertung der Praxis. Für immerhin
Systemen, Abrechnungen, Gutach-        Bei vielen Medizinern herrscht in-      sechs Ärzte ist das Grund genug, das
ten oder gar zu vollständigen Pati-    des Sorglosigkeit- und im Alltag        angehängte Word-Dokument her-
entenakten zu verschaffen. Frei        viel Stress. Viele scheuen deshalb      unterzuladen oder den Link in der
zugängliche Netzwerkdosen im           zusätzliche Hürden, einige Praxen       Mail anzuklicken. Damit ist ihr Sys-
öffentlichen Bereich der Praxis-       verzichten sogar komplett auf Pass-     tem infiziert und der Hacker hätte
räume oder nicht abgeschlossene        wörter. „Wenn dann noch der Ser-        vollen Zugriff.
Serverschränke machten es mög-         ver ohne Firewall mit dem Internet          Welch gravierende Folgen ein
lich. Doch abseits dieses Leicht-      verbunden ist, kann jeder im In-        unbedarfter Klick haben kann, hat
sinns seien das größte Problem die     ternet darauf zugreifen – und das       auch die Kölner Zahnärztin schon
viel zu einfachen Passwörter: „Pra-    ist gar nicht so selten“, urteilt der   erfahren müssen – allerdings nicht
xis, Behandlung oder die Namen         IT-Sicherheitsberater.                  bei einem Test, sondern bei einer
der eingesetzten Arztsoftware sind          Und auch der Mensch selbst         echten Attacke. Eine Mitarbeiterin
gängige Kennwörter in den Praxen“,     stellt eine große Schwachstelle dar.    hatte den schadhaften Anhang einer
sagt Wiesner. Im Ergebnis bewertet     Häufiges Einfallstor für Hacker sind    fingierten Bewerbungsmail geöff-
Wiesner das Risiko für einen inter-    E-Mails mit Dateianhängen, die          net und gewährte dem Angreifer k
nen Angriff bei 21 der 25 Praxen
als hoch oder sogar sehr hoch. Bei
allen Betroffenen hätten Angreifer
leichtes Spiel, die Kontrolle über
die komplette IT-Infrastruktur zu
übernehmen.
    Die laschen Schutzvorkeh-
rungen stehen im krassen Wider-
spruch zu den sensiblen Daten,
über die Ärzte verfügen. Und die
sie zu einem beliebten Angriffsziel
von Hackern machen. Kommen Kri-
minelle in ihren Besitz, haben sie
etwas gegen den Mediziner in der
Hand. „Ärzte sind eine gut erpress-
bare Berufsgruppe, da es mit einem
hohen Imageschaden verbunden

#cybersicher
12    Sicherheitscheck

     k so Zugang zum System. Die Ärztin      gewartet, wie auch Fachmann Wies-       die IT-Sicherheit der getesteten Arzt-
     reagiert schnell. Sie löst den Com-     ner schnell erkennt: „Die Systeme       praxen als unterdurchschnittlich.
     puter sofort vom Netzwerk und           stellen kein kritisches Risiko dar.     Bei vielen gibt es gute Ansätze, aber
     zieht den Stecker. „Der Computer        Das ist ein guter und wichtiger         Sicherheitslücken finden sich fast
     war hinüber, aber das Netzwerk          Punkt.“ Das ist aber keineswegs         überall.
     war noch nicht infiziert.“ Der Vor-     überall so. Weil Mediziner in der            So ist es auch in Köln. Obwohl die
     fall hätte auch schlimmeren Scha-       Regel wenig Berührung mit IT-The-       Praxis vergleichsweise gut abschnei-
     den anrichten können, weiß die          men haben, sind sie stark von ihrem     det, bleibt für die Zahnärztin noch
     Medizinerin.                            IT-Dienstleister abhängig – dessen      etwas zu tun: „Die Änderung der
          Aus dem Angriff hat sie Kon-       Qualität sie aber in den wenigsten      Zugangspasswörter steht jetzt an
     sequenzen gezogen und technisch         Fällen tatsächlich beurteilen kön-      erster Stelle. Auch meine privaten
     aufgerüstet. Ihre IT wird regelmäßig    nen. Im Ergebnis bewertet Wiesner       Kennwörter werde ich ändern.“ v

     Dann starten die Angriffswellen
     Mit dem Passwort „Praxis“ kommt Michael Wiesner in jede zweite Praxis-IT.
     Das will der White-Hat-Hacker ändern – und gibt Tipps für eine bessere Informationssicherheit.

     Wie gehen Sie vor, wenn Ihnen ein       nagement der Informationssicher-        Wie finde ich als Unternehmen ei-
     Arzt einen Hacker-Auftrag erteilt?      heit zu etablieren. Das lässt sich am   nen guten Hacker?
     Michael Wiesner: Tatsächlich            ehesten erreichen, wenn man die         Wiesner: Der beste Weg zum Hacker
     schauen wir uns erst mal die äuße-      drei größten Schwachstellen ver-        führt über den Austausch mit ande-
     ren Faktoren an: Wie sind die Türen     sucht zu bekämpfen: Erstens ver-        ren Unternehmen, also über Emp-
     gesichert, gibt es öffentlich zugäng-   altete Systeme, die nicht mehr oder     fehlung. Wir haben in Deutschland
     liche Netzwerkdosen, wo steht der       nur noch schlecht zu warten sind.       mittlerweile eine ganze Reihe sehr
     Server, sind die PCs gesperrt, wenn     Zweitens die viel zu schwachen Pass-    guter Dienstleister, die professionell
     niemand daran arbeitet? Wie ist der     wörter. Und drittens die fehlende       Penetrationstests durchführen und
     Zugang aus dem Internet auf die         Segmentierung, also Trennung der        auch bei einem externen Angriff die
     Arztpraxis geschützt?                   Netzwerke.                              entsprechende Unterstützung leis-
         Anschließend finden wir im                                                  ten können.                       v
     Gespräch mit dem Arzt und den
     Angestellten heraus, welche Sicher-
     heitsroutinen sie einhalten: Wie oft
     findet eine Datensicherung statt,
     wie oft wird die Datensicherung
     getestet? In einem Schwachstel-
     len-Scan finden wir anschließend
     heraus, wie das Netzwerk und die
     IT-Systeme gesichert sind. Und dann
     starten wir die Angriffswellen.

     Haben Sie drei Tipps, die jedes
     Unternehmen sicherer machen?
     Wiesner: Ganz übergeordnet muss
     das Ziel sein, ein vernünftiges Ma-

     #cybersicher
Sicherheitscheck        13

Das sind die 5 größten Risikofaktoren

 Risiko 1: Passwörter/Zugänge

p 22 von 25 Praxen nutzen sehr einfach zu erratende
  Passwörter (z. B. Behandlung, Praxis, Name des Arztes)
  oder gar keine Passwörter

p In 22 von 25 Praxen teilen sich mehrere Benutzer
  dieselbe Zugangskennung

p In 20 von 25 Praxen haben alle Benutzer
  Administratorenrechte

p Keine Praxis prüft, ob alte Administratorenrechte
  noch bestehen.

Drei Tipps für sichere Passwörter

1. Denken Sie sich laaaaaaaange Passwörter aus               merken müssen; das übernimmt der Manager. Da die
Sonderzeichen und Großbuchstaben helfen nur bedingt          Anbieter ihre Daten in aller Regel verschlüsseln, sind
weiter, ebenso das ständige Wechseln von Passwörtern.        die Passwörter auch gegen Hackerangriffe geschützt.
Wichtiger ist die Länge. Hacker „raten“ Passwörter in        Sie brauchen für alle Passwörter hingegen nur noch das
der Regel nicht, sondern probieren in kurzer Zeit große      „Master-Kennwort“ – das natürlich wiederum sehr sicher
Mengen möglicher Kombinationen aus. Je länger das            sein sollte.
Passwort ist, desto länger braucht auch der Computer.
Ein einfaches Beispiel, das Sie bitte nicht direkt verwen­   3. Nutzen Sie die Zwei-Faktor-Authentifizierung
den: Um „Pa$$W0rt“ zu knacken, braucht ein herkömm­          Für den Schutz von Patientendaten sollten Sie ernst­
licher PC nach Auskunft der Webseite checkdeinpass­          haft eine Zwei-Faktor-Authentifizierung in Betracht
wort.de gerade mal sechs Stunden, für „Pa$$W0rt­             ziehen. Das Verfahren kennen Sie von Ihrer Bank: Am
Hallo123“ mehrere Milliarden Jahre.                          Geldautomaten brauchen Sie ihre Giro-Karte (1. Fak­
                                                             tor) und die PIN (2. Faktor), auch eine Überweisung
2. Verwenden Sie einen Passwort-Manager                      beim Online-Banking funktioniert in aller Regel nur mit
Sie und Ihre Mitarbeiter können und wollen sich die vie­     PIN und TAN. Den Zugang zu Ihren Systemen können
len langen und komplizierten Passwörter nicht merken?        Sie genauso schützen – dann bekommen Sie nach der
Dann fangen Sie auf keinen Fall an, immer das gleiche        Eingabe Ihres Passwortes zum Beispiel noch einen Code
oder nur ein leicht abgewandeltes Passwort einzu­            auf Ihr Smartphone geschickt. Alternativ bekommt jeder
geben. Das macht es Hackern zu einfach. Die bessere          Mitarbeiter eine Chipkarte, mit der er sich identifizie­
Alternative sind Passwort-Manager. Sie generieren und        ren kann. Mit dem Passwort allein können Hacker dann
verwalten starke (=lange) Passwörter, die Sie sich nicht     nichts mehr anfangen.

#cybersicher
14    Sicherheitscheck

      Risiko 2: Arglose Mitarbeiter

     p Bei 6 von 25 der attackierten Arztpraxen                       Phishing-               Download-Link in Phishing-
                                                                      Mail wurde              Mail angeklickt/Mail-Anhang
       war der Phishing-Angriff erfolgreich,                          geöffnet (6)            heruntergeladen (5)
       hier haben die Mitarbeiter auf den
       in der Mail enthaltenen Link geklickt
       und das anhängende Word-Dokument
       heruntergeladen; in einer Praxis wurde
       sogar das Schadprogramm des Word-                                             Schadprogramm im Mail-Anhang
       Dokuments ausgeführt.                                                         (Makro) wurde ausgeführt (1)

     So schützen Sie Ihre Arztpraxis oder Apotheke vor schädlichen E-Mails

     Nur ein einziger falscher Klick auf einen verseuchten      verhindern Sie, dass sich schädliche Mails automatisch
     Mail-Anhang oder einen Link kann die IT-Systeme Ihrer      öffnen und Viren oder Würmer sofort aktiv werden.
     Praxis oder Apotheke lahmlegen. Wenn Sie Ihre Mit­
     arbeiter regelmäßig für die Gefahren sensibilisieren       4. Vor dem Öffnen: Prüfen Sie Absender und Betreff
     und einige grundlegende Regeln für den Umgang mit          Cyberkriminelle verstecken sich gern hinter seriös wir­
     E-Mails aufstellen, können Sie sich vor vielen Angriffen   kenden Absenderadressen. Ist Ihnen der Absender der
     schützen.                                                  Mail bekannt? Und wenn ja: Ist der Absender wirklich
                                                                echt? Achten Sie auf kleine Fehler in der Schreibweise
     1. Arbeiten Sie mit hohen Sicherheitseinstellungen         oder ungewöhnliche Domain-Angaben hinter dem @.
     Nutzen Sie die Sicherheitseinstellungen Ihres Betriebs­    In betrügerischen E-Mails ist auch der Betreff oft nur
     systems und Ihrer Software zu Ihrem Schutz. Im Office-     unpräzise formuliert, z. B. „Ihre Rechnung“.
     Paket sollten zum Beispiel Makros dauerhaft deaktiviert
     sein und nur bei Bedarf und im Einzelfall aktiviert wer­   5. Öffnen Sie Links und Anhänge nur von wirklich ver-
     den können – denn auch über diese kleinen Unterpro­        trauenswürdigen Mails
     gramme in Word-Dokumenten oder Excel-Listen kann           Wollen Banken, Behörden oder Kassen sensible Daten
     sich Schadsoftware verbreiten.                             wissen? Verweist eine kryptische Mail auf weitere Infor­
                                                                mationen im Anhang? Dann sollten Sie stutzig werden
     2. Halten Sie Virenscanner und Firewall immer auf          und auf keinen Fall auf die Mail antworten, Links folgen
     dem neuesten Stand                                         oder Anhänge öffnen. In Zweifelsfällen fragen Sie beim
     Die meisten schädlichen E-Mails können Sie mit einem       Absender nach – aber nicht per Mail, sondern am Tele­
     Virenscanner und einer Firewall automatisch herausfil­     fon! Auch eine Google-Suche nach den ersten Sätzen der
     tern lassen. Wirksam geschützt sind Sie aber nur, wenn     verdächtigen Mail kann sinnvoll sein – weil Sie so auch
     Sie die Sicherheits-Updates auch schnell installieren.     Warnungen vor der Betrugsmasche finden.

     3. Öffnen Sie E-Mails nicht automatisch                    6. Löschen Sie lieber eine Mail zu viel als eine zu
     Firewall und Virenscanner erkennen nicht alle schäd­       wenig
     lichen Mails. Öffnen Sie also nicht gedankenlos jede       Erscheint Ihnen eine Mail als nicht glaubwürdig, löschen
     Mail in Ihrem Posteingang. Erster Schritt: Stellen Sie     Sie die Mail aus Ihrem Postfach – und leeren Sie danach
     in Ihrem E-Mail-Programm die „Autovorschau“ aus. So        auch den Papierkorb Ihres Mailprogramms.

     #cybersicher
Sicherheitscheck           15

 Risiko 3: Datensicherungen sind nur auf den ersten Blick ausreichend

Alle Praxen erstellen mindestens wöchentlich
eine Datensicherung….

p … aber nur 9 von 25 verschlüsseln ihre
  Datensicherung

p … und nur 4 von 25 testen, ob sich die
  Daten wiederherstellen lassen

So sichern Sie Ihre Daten richtig

Was? Vom Smartphone bis zum Desktop-Rechner soll­           Daten sollten auf mindestens zwei unterschiedlichen
ten alle Geräte gesichert werden. Kritische Daten sollten   Speichermedien liegen, von denen eines außerhalb Ihres
besser mehrfach gesichert werden.                           Unternehmens liegt (z. B. in der Cloud).
Wie oft? So oft und so regelmäßig wie möglich. Stel­        Wie aufbewahren? Achten Sie darauf, dass Ihr Back-up
len Sie am besten mit einem automatisierten Zeitplan        nicht mit Ihrem Hauptsystem verbunden ist – weder
sicher, dass keine Lücken entstehen.                        über Kabel noch über das WLAN.
Wohin? Speichern Sie das Back-up auf jeden Fall isoliert    Was noch? Testen Sie regelmäßig, ob sich die Daten
vom Hauptsystem, also auf einer externen Festplatte,        Ihrer Back-ups im Ernstfall auch wirklich wiederherstel­
einem Netzwerkspeicher oder in einer Cloud. Kritische       len lassen.

 Risiko 4: Fehlende Sicherheitsupdates

p In 9 von 25 Praxen fehlten aktuelle Sicherheits-
  updates der IT-Systeme

 Risiko 5: Keine Vorbereitung auf den Notfall
                                                                    haben schrift-     haben mit ihrem IT-Dienstleister
                                                                    liches Notfall-    einen Vertrag über die Verfüg-
p Nur 1 der 25 Praxen hat ein schriftliches                         konzept (1)        barkeit ihrer IT-Systeme (14)
  Notfallkonzept für den Fall eines IT-Ausfalls,
  die anderen Praxen verlassen sich auf ihren
  IT-Dienstleister;

p aber 10 von 25 der Praxen haben keinen                                     haben weder ein Notfallkonzept noch einen
  entsprechenden Vertrag mit ihrem Dienstleister                             Vertrag mit ihrem IT-Dienstleister (10)

#cybersicher
16    Sicherheitscheck

     Daten sammeln? Klar! –
     Daten verschlüsseln? Naja.
     Eine Analyse der Webseiten und Mailserver zeigt, dass Ärzte, Apotheker und Kliniken
     beim Datensammeln besser sind als beim Datenschützen. Viele handeln blauäugig.

     D
             en Größen der digitalen                      Wer IP-Adressen nicht ano-
                                                                                                      Über den
             Welt bleibt der virtuelle Be-                nymisiert speichert, verstößt
                                                                                                      Cysmo-Sicherheitscheck
             such von Arztpraxen, Apo-                    im Zweifel gegen die DSGVO
     theken und Kliniken kaum verbor-                     Großes Interesse an den Daten der
     gen. Wie eine vom GDV beauftrag-                     Webseiten-Besucher haben aber              Der GDV hat die PPI AG beauftragt,
     te Untersuchung zeigt, binden mehr                   auch die Betreiber selbst. Egal ob         mit Hilfe des Analyse-Tools Cysmo
     als drei Viertel der Ärzte und Apo-                  Apotheke, Klinik oder Arztpraxis –         die Sicherheit der IT-Systeme von
     theken und zwei Drittel der Klini-                   rund ein Viertel setzt sogenannte          rund 1.200 niedergelassenen Ärzten
     ken auf ihren Webseiten fremde                       Tracker ein. So können sie feststel-       verschiedener Fachrichtungen sowie
     Inhalte ein. Sie stammen vor allem                   len, von welchen Seiten ihre Besu-         von jeweils rund 250 Apotheken
     von Google, Youtube oder Twitter,                    cher kommen, wie lange sie auf der         und Kliniken zu testen. Cysmo ist ein
     aber auch das Arztbewertungspor-                     Webseite bleiben und was sie sich          vollautomatisiertes Analysetool. Es
     tal Jameda oder Xing sind dabei. Der                 wie lange ansehen. Tracker schreiben       erfasst und analysiert alle öffentlich
     Grund ist klar: Angebote wie etwa                    aber nicht nur Aktivitäten auf einer       einsehbaren Informationen aus Sicht
     Google Maps sind kostenlos und be-                   Webseite mit, sondern können Nut-          eines Angreifers und kann so poten­
     quem. Patienten finden schnell und                   zer durch das ganze Internet verfol-       tielle Angriffspunkte aufzeigen. Die
     einfach ihren Weg zum Arzt oder                      gen. Besonders problematisch: Teile        Tests fanden zwischen November
     zur Apotheke. Dass die Patienten                     der untersuchten Webseiten haben           2018 und März 2019 statt.
     dafür aber mit der Preisgabe ihrer                   die Programme so eingestellt, dass
     Daten bezahlen müssen, ist vielen                    die IP-Adressen der Benutzer nicht
     Akteuren des Gesundheitswesens                       anonymisiert werden. Das kann zu-          benannt sein. Die Realität sieht in
     offenbar entweder nicht bewusst –                    lässig sein, muss aber in der Daten-       den meisten Fällen anders aus. Die
     oder schlicht egal.                                  schutzerklärung klar und korrekt           meisten dieser Tracker wurden vor

     Patientendaten besser nicht per Mail schicken
        SSL 2, SSL 3: veraltet seit 2011/2015       TLS 1.0, TLS 1.1: vom BSI nicht mehr empfohlen
        TLS 1.2 und besser: sichere Verschlüsselungen, vom BSI empfohlen

          Kliniken                                             31 %                                                            63 % 5 %
       Apotheken                    10 %                                                                                            90 %
     Ärzte gesamt                               19 %                                                                                81 %

              Zahnärzte
         Dermatologen
            Kardiologen
             Radiologen
        Allgemeinärzte
             HNO-Ärzte
            Orthopäden
            Augenärzte
           Gynäkologen
            Neurologen
            Kinderärzte
               Urologen

     #cybersicher
Sicherheitscheck                17

Inkrafttreten der EU-Datenschutz-                    suchten Webseiten die unterstütz-                    noch vor einem Jahr als ausreichend
grundverordnung (DSGVO) instal-                      ten Verschlüsselungsstandards im                     sicher. Doch seit Sommer 2018 wer-
liert und dann nicht mehr angepasst                  Mailverkehr. Viele Mail-Server sind                  den sie vom Bundesamt für Infor-
– in der Regel fehlt in solchen Fällen               so eingestellt, dass sie noch Ver-                   mationssicherheit (BSI) nicht mehr
auch eine korrekte Datenschutzer-                    schlüsselungen unterstützen, die                     empfohlen. Die Auswertungen zei-
klärung. Wird ein solcher Verstoß ge-                schon seit mehreren Jahren veraltet                  gen jedoch, dass die meisten der un-
gen die DSGVO festgestellt, können                   und damit unsicher sind. Die neues-                  tersuchten Webseiten hierauf noch
empfindliche Strafen drohen.                         ten Verschlüsselungstechnologien                     nicht reagiert haben. Für Patienten
                                                     und damit einen sehr guten Schutz                    heißt das: Wer intime und vertrau-
                                                     haben nur die wenigsten, die breite                  liche Daten wirklich per Mail an ei-
Handlungsbedarf bei der                              Masse hinkt der Entwicklung hin-                     nen Arzt oder eine Klinik schicken
Verschlüsselung von Mails                            terher. Hier besteht akuter Hand-                    will, sollte sich nach den Sicherheits-
Ebenfalls nicht auf dem neuesten                     lungsbedarf: Die Verschlüsselungs-                   standards erkundigen – oder doch
Stand sind bei den meisten unter-                    standards TLS 1.0 und TLS 1.1 galten                 ein anderes Medium nutzen.          v

Hohes Interesse am Verhalten der Nutzer
   Website-Besucher werden getrackt, IP-Adressen werden nicht anonymisiert
   Website-Besucher werden getrackt, IP-Adressen werden anonymisiert             Website-Besucher werden nicht getrackt

     Kliniken            6%                               26 %                                                                                     68 %
  Apotheken            3%                      21 %                                                                                                77 %
Ärzte gesamt              7%                         21 %                                                                                          72 %
         Zahnärzte
    Dermatologen
       Kardiologen
        Radiologen
   Allgemeinärzte
        HNO-Ärzte
       Orthopäden
       Augenärzte
      Gynäkologen
       Neurologen
       Kinderärzte
          Urologen

Viele Nutzerdaten gehen an Dritte
   Einbindung externer Quellen und Weitergabe der Nutzerdaten an Dritte außerhalb der EU
   Einbindung externer Quellen und Weitergabe der Nutzerdaten an Dritte innerhalb der EU            Keine Einbindung externer Quellen, keine Datenweitergabe

     Kliniken                                                                              55 %         12 %                                       33 %
  Apotheken                                                                                                   72 %              14 %               15 %
Ärzte gesamt                                                                                                70 %          7%                       23 %
         Zahnärzte
    Dermatologen
       Kardiologen
        Radiologen
   Allgemeinärzte
        HNO-Ärzte
       Orthopäden
       Augenärzte
      Gynäkologen
       Neurologen
       Kinderärzte
          Urologen

#cybersicher
18    Datenschutz & Recht

     Ins Licht gezerrt
     Wenn Hacker Webseiten und Internetportale knacken, haben sie es häufig auf die Zugangsdaten der Kunden
     abgesehen. Die Cysmo-Untersuchung zeigt, dass auch die Daten von Arztpraxen, Apotheken und Kliniken
     betroffen sind – und woher die Daten stammen.

     D
            ie Kombination von E-Mail-
                                                            Sind Sie betroffen? Hier finden Sie es heraus.
            Adresse und Passwort kann
            Gold wert sein – denn vie-
                                                           Der Service „Have I Been Pwned?“ (Pwned wird gesprochen wie „poned“)
     le Nutzer sind bequem und nutzen
                                                           hat über 6 MilliardenDatensätze aus mehr als 300 Datenlecks gesammelt.
     immer dieselben Zugangsdaten für
                                                           Wenn Sie überprüfen wollen, ob auch Ihre Mail-Adresse darunter ist, geben
     die Anmeldung bei verschiedenen
                                                           Sie diese einfach in der entsprechenden Suchmaske ein, das Ergebnis wird
     Diensten oder Portalen. Werden die-
                                                           sofort angezeigt. p https://haveibeenpwned.com/
     se bekannt, ist es für Angreifer leicht,
     gleich mehrere Accounts zu kapern.                    Das Hasso-Plattner-Institut bietet den „HPI Identity Leak Checker“ an.
     Das kann für die Betroffenen katast-                  Sie können anhand ihrer E-Mailadresse prüfen, ob die Adresse in Verbin­
     rophale Folgen haben. Im Extremfall                   dung mit anderen persönlichen Daten wie Geburtsdatum oder Adresse im
     übernehmen Hacker ganze Identitä-                     Internet offengelegt wurde und missbraucht werden könnte. Anders als bei
     ten und lassen Waren an eine belie-                   „Have I been Pwned?“ erhalten Sie das Ergebnis per Mail.
     bige Adresse liefern, schließen und                   p https://sec.hpi.de/ilc/
     kündigen Verträge, erpressen die be-
     troffenen Nutzer oder führen Freun-
     de, Verwandte, Behörden, Arbeitge-                ähnlichen Passwort geschützt sind.              fanden sich im Darknet sage und
     ber und Patienten in die Irre.                    Wie groß die Sorglosigkeit vieler               schreibe 185 E-Mail- und Pass-
         Tauchen Zugangsdaten also im                  Mitarbeiter im Gesundheitswesen                 wort-Kombinationen. Außerdem
     Darknet auf, ist eine schnelle Reak-              ist, zeigt die Cysmo-Stichprobe.                stellt sich heraus: Viele nutzen ihre
     tion gefragt: Die Passwörter sollten              Mehr als jede zehnte Artzpraxis                 beruflichen Mail-Adressen nicht nur
     umgehend geändert werden, und                     und Apotheke ist betroffen, unter               im beruflichen Kontext– denn allein
     zwar nicht nur auf der betroffe-                  den Kliniken ist es aufgrund der                in der Stichprobe stammen mehr als
     nen Seite, sondern bei allen Zugän-               höheren Mitarbeiterzahl sogar die               40 Datensätze von einem Hack der
     gen, die mit demselben oder einem                 Mehrheit – allein von einer Klinik              Partnerbörse Badoo.               v

     Ergiebige Suche im Darknet
        E-Mail-/Passwort-Kombination im Darknet gefunden          E-Mail-Adresse im Darknet gefunden     Nicht im Darknet gefunden

          Kliniken                                                                              60 %    10 %                         30 %
       Apotheken                 13 %      6%                                                                                        80 %
     Ärzte gesamt                9% 5%                                                                                               86 %

              Zahnärzte
         Dermatologen
            Kardiologen
             Radiologen
        Allgemeinärzte
             HNO-Ärzte
            Orthopäden
            Augenärzte
           Gynäkologen
            Neurologen
            Kinderärzte
               Urologen

     #cybersicher
Datenschutz & Recht      19

Das leistet eine
Cyberversicherung
Der Gesamtverband der Deutschen Versicherungswirtschaft hat unverbindliche
Musterbedingungen für eine Cyberversicherung entwickelt. Sie sind speziell auf
die Bedürfnisse von kleinen und mittleren Unternehmen zugeschnitten und richten sich damit unter
anderem an Ärzte und Apotheker. Die Versicherung übernimmt nicht nur die Kosten durch Datendiebstähle,
Unterbrechungen des Praxis- bzw. Apothekenbetriebs und für den Schadenersatz an Dritte, sondern steht
den Kunden im Ernstfall mit einem umfangreichen Service-Angebot zur Seite. Nach einem erfolgreichen
Angriff schickt und bezahlt die Versicherung Experten für IT-Forensik, vermittelt spezialisierte Anwälte und
Krisenkommunikatoren. So hilft sie, den Schaden für betroffene Ärzte und Apotheker so gering wie möglich zu
halten.

                                Schaden                                             Leistung

Eigen-                          Wirtschaftliche Schäden durch Un­
                                terbrechungen des Praxis- bzw.                      Zahlung eines Tagessatzes
schäden                         Apothekenbetriebs
                                Kosten der Datenwiederherstellung
                                                                                    Übernahme der Kosten
                                und System-Rekonstruktion

Dritt-                          Schadenersatzforderungen von Patienten
                                wegen Datenmissbrauch
                                                                                    Entschädigung und
                                                                                    Abwehr unberechtigter
schäden                                                                             Forderungen

Service-                        IT-Forensik-Experten zur Analyse, Beweis-
                                sicherung und Schadenbegrenzung
Leistungen                                                                          Jeweils
                                Anwälte für IT- und Datenschutzrecht
                                                                                    Vermittlung und
                                zur Beratung
                                                                                    Kostenübernahme
                                PR-Spezialisten für Krisen­kommunikation
                                zur Eindämmung des Imageschadens

Impressum
                                   V.i.S.d.P.:
Herausgeber:                       Christoph Hardt
Gesamtverband der Deutschen                             Bildnachweis:
Versicherungswirtschaft e. V.      Redaktion:           S. 1: everything possible
Wilhelmstraße 43 / 43 G            Henning Engelage     S. 10: Getty Images/
10117 Berlin                       Simon Frost          Boonchai Wedmakawand            Eine Initiative der
Tel. +49 30 2020-5000              Saraida Höfer        S. 11: Saraida Höfer            Deutschen Versicherer.
berlin@gdv.de, www.gdv.de          Christian Siemens    S. 12: Katharina Weber          gdv.de/cybersicher
Wilhelmstraße 43 / 43 G   51, rue Montoyer          www.gdv.de
10117 Berlin              B-1000 Brüssel            www.DieVERSiCHERER.de
Tel. +49 30 2020-5000     Tel. +32 2 28247-30         facebook.com/DieVERSiCHERER.de
Fax +49 30 2020-6000      Fax +49 30 2020-6140        Twitter: @gdv_de
E-Mail: berlin@gdv.de     E-Mail: bruessel@gdv.de     www.youtube.com/user/GDVBerlin
Sie können auch lesen
NÄCHSTE FOLIEN ... Stornieren