post

Der Tagesanzeiger hat in Zusammenarbeit mit First Security Technology AG im Mai 2016 eine IT-Sicherheitsüberprüfung durchgeführt, die aufzeigt wie anfällig Arztpraxen für Cyberangriffe sind. Die IT-Netzwerke von Arztpraxen wiesen in dem Test zum Teil gravierende Sicherheitslücken auf. Das kann auch Patienten gefährden.

Schwachstelle Mensch
Viele Cyberangriffe beginnen vielfach mit einer betrügerischen E-Mail. Im Dateianhang befindet sich meistens ein PDF-Dokument oder eine Worddatei, welche beim Öffnen ein Schadprogramm ausführt. Dieses kann beispielsweise Daten verschlüsseln, Daten ausspionieren oder grundsätzlich die IT-Sicherheit ausschalten. Deshalb ist ein zentraler Grundsatz: Das grösste Einfallstor in ein IT-Netzwerk ist immer der Anwender oder die Anwenderin.

Alarmierende Resultate: Keine Updates, Passwortschutz und Firewall

Sämtliche der sieben getesteten Arztpraxen wiesen diverse Sicherheitsprobleme auf:

  • Einer der Ärzte benutzte einen veralteten, ohne Passwort gesicherten WLAN-Router. Mit wenig Aufwand könnte man so den Datenverkehr ausspionieren, um Passwörter oder E-Mails zu stehlen.
  • In einer Praxis war es möglich, von extern die Firewall auszuschalten. So könnten unbemerkt Viren in die ­Praxis eingeschleust werden.

Grobfahrlässige Handhabung mit NAS
In zwei der sieben Arztpraxen stiess die Firma auf schwerwiegende Lücken beim Network Attached Storage (NAS), einem netzgebundenen Speicher. NAS sind bei Privatnutzern sehr beliebt als zentraler Speicher für Fotos, Videos oder Musik. Weil NAS günstig und einfach zu bedienen sind, wurden sie auch von einigen KMU eingesetzt. Im Test gehörten auch Arztpraxen zu den Anwendern, welche das NAS für sensible Patientendaten verwendeten.

Beide betroffenen Arztpraxen hatten NAS von Synology im Einsatz. Wichtige, vom Hersteller empfohlene Sicherheitsupdates wurden von den Ärzten nicht durchgeführt. Grobfahrlässig war insbesondere, dass die beiden NAS der Praxen nicht mit einer Firewall geschützt waren. Daten von Röntgenaufnahmen, Laborberichte oder Gesundheitschecks sind dadurch ungesichert und für Unberechtigte zugänglich.

Auszug Eidgenössischer Datenschutzbeauftragter (EDÖB)

“Die Personendaten, die in Arztpraxen bearbeitet werden, gehören zur Kategorie der besonders schützenswerten Daten. Details über den Gesundheitszustand sind äusserst vertraulich, und der Umgang mit diesen Daten muss entsprechend verantwortungsbewusst geschehen. Dabei ist insbesondere auch auf adäquate technische Installationen zu achten.”
Datenschutz: Erläuterungen zum Datenschutz in der Arztpraxis

Einfaches Spiel für Hacker
Via Internet kann das Passwort der Geräte zurückgesetzt werden. Das automatisch generierte E-Mail wird abgefangen, indem das offene WLAN der Praxen ausspioniert wird. Einfachere Methoden existieren ebenfalls. Eine Software prüft automatisch alle Passwortkombinationen. Bei längeren Passwörtern kann dies mehrere Wochen dauern. Doch auch dieser Weg kann zum Ziel führen. Eine professionell konfigurierte Firewall verhindert natürlich solche Passworteingaben. Des Weiteren gilt es zu beachten, dass Betroffene, wie im Fall der beiden Ärzte, nicht merken, dass sie bestohlen werden. Die Originaldaten auf dem Computer oder Netzwerkspeicher können noch unbeschädigt vorhanden sein.

Schwerwiegende Hackerangriffe
Wie hoch ist das Risiko für kleine Privatpraxen überhaupt? Im vergangenen Januar hat sich ein spektakulärer Fall ereignet. Das Hollywood Presbyterian Medical Center in Los Angeles wurde Opfer von Cyberkriminellen. Die Ärzte des Luxusspitals mussten umgerechnet SFr. 3,7 Mio. an Cyberkriminelle bezahlen, um Zugang zu gestohlenen Patientendaten zurückzuerhalten. Die Hacker waren in das Spitalsystem eingedrungen und umgehend waren sämtliche Krankenakten von den Ärzten nicht mehr einsehbar. Wenn Ärzte oder Pflegepersonal nicht wissen welche Behandlung erfolgte bzw. bevorsteht und welche Medikamente in welcher Dosis verabreicht werden müssen wird es schnell lebensbedrohlich. Davon abgesehen, könnten die Hacker die Patientendaten an Unbefugte weiterverkaufen.

Cyberangriffe auch im deutschen Sprachraum
Cyber-Gangster verschlüsselten ebenfalls Patientendaten des Neusser ­Lukaskrankenhauses bei Düsseldorf. Dasselbe ereignete sich im Klinikum Arnsberg bei Dortmund. Hier erschienen Lösegeld­forderungen auf den Bildschirmen, als die Server gehackt wurden. Auch kleine Arztpraxen rücken ins Visier der Hacker, wie der Fall eines Arztes aus Freiburg im Breisgau 2015 zeigte. In der Schweiz gab es vereinzelte Fälle, wie die FMH auf Anfrage bekannt gab. Details sind jedoch nicht bekannt.

Swiss Vulnerability Report
«Es gibt kein Allheilmittel gegen Cyberangriffe, genauso wie es kein Allheilmittel dagegen gibt, zu Hause ausgeraubt zu werden.» erklärt Pascal Mittner, Chef von First Security. Auch in vielen andere Branchen sind Firmen, die sorglos mit vernetzten Speichersystemen umgehen. Dies zeigte der alljährliche Swiss Vulnerability Report. In der Untersuchung wurden mehrere Tausend NAS-Geräte entdeckt, die schutzlos im Internet erreichbar waren. Unter ihnen befinden sich auch die Datenspeicher von Anwälten und Treuhändern.

Vorbeugende Massnahmen zwingend nötig

Der Experte hält fest, dass Ärzte zu sensiblen Berufsgruppen gehörten, die es besonders nötig hätten, ihr Sicherheitsbewusstsein zu IT-Infrastruktur und Netzwerk zu überprüfen. Das Unternehmen empfiehlt stets aktuelle Daten-Backups an einem sicheren Ort zu führen. Dies kann beispielsweise im internen Netzwerk, einer separaten und geschützten Netzwerkzone für Backups oder bei einer auf Backups spezialisierten Firma erfolgen. Mindestens so wichtig ist die Kontrolle der Firewall-Einstellungen: «Eigentlich sollten die Ärzte ihre IT-Systeme regelmässig überprüfen, um überhaupt zu wissen, wo es Löcher gibt.» Das ist vergleichbar mit dem regelmässigen Gesundheitscheck, der Auskunft über den aktuellen Zustand gibt und auf künftige Probleme hinweisen kann. Auch Unternehmen ausserhalb der Gesundheitsbranche sind gefährdet und sollten regelmässige Sicherheitsüberprüfungen durchführen.

Lehnen Sie sich zurück! Wir betreuen ihre IT-Infrastruktur

Mit dem Managed Service von InfoSoft Systems ist ihre IT in guten Händen. Fokussieren Sie sich auf Ihre Kernaufgaben. Automatisierte Backups schützen Sie im Notfall. Unsere renommierten Überwachungstools melden kritische Situationen, damit wir rechtzeitig reagieren können. Kontaktieren Sie uns!

Methodik und Quelle
Der Tagesanzeiger hat Ende Mai eine Umfrage bei 256 Ärzten durchgeführt. 110  Empfänger haben das Interesse an einer IT-Sicherheitsüberprüfung signalisiert. Die Firma First Security Technology AG führte die Analyse durch. Die Testergebnisse von sieben Arztpraxen konnten für die Auswertung verwendet werden.
http://www.tagesanzeiger.ch (28.05.2016)

 

Beitrag teilen: