Krankenhäuser, Verwaltungen oder Firmen zahlen und schweigen. Wenn Computerhacker die IT von Industrie und Verwaltung infiltrieren, entstehen zum Teil offenbar enorme Schäden, weil die Angreifer ihre Opfer erpressen. Auch Arztpraxen sind betroffen, sagt Cedric Fischer, der als „friendly hacker“ der IT in Arztpraxen einem Stresstest aussetzt. Aber Fischer sagt auch: Man kann sich absichern. Wie das funktioniert, erklärt er im Gespräch mit Medscape.
Cedric Fischer
Medscape: Herr Fischer, im Oktober 2019 haben Sie veröffentlicht, dass der Windows-Server einer Arztpraxis im Niedersächsischen Celle quasi völlig offen im Internet stand. Zehntausende von Patientendaten waren frei zugänglich. Man darf vermuten, dass dies kein Einzelfall war. Wie gefährdet sind Arztpraxen heute?
Fischer: Darüber gibt es leider keine gesicherten Zahlen. Aber wir sehen viele Praxen, die sehr gefährdet sind, digital angegriffen zu werden.
Medscape: Warum ist das so?
Fischer: Das Problem ist, dass die Praxischefs in der Regel alte IT-Strukturen in der Praxis haben und sie nach Bedarf immer weiter ausgebaut haben, ohne sich um die grundlegende Sicherheit der Praxis-IT zu kümmern. Man hat sozusagen immer weitergebastelt.
Da stehen die Server zum Beispiel unter der Behandlungsliege, oder unterm Anmeldetresen finden sich offen mehrere so genannte Switche, mit denen man eine Reihe von PCs und andere Netzwerkgeräte verbinden kann. Oder es fehlen Firewalls. Oder die PCs werden bei Nichtgebrauch nicht gesperrt und sind offen zugänglich.
Erst seit Ende 2019 gilt die Richtlinie zur IT-Sicherheit in Arztpraxen in § 75b SGB V. Bis dahin waren die Praxisinhaber auch nicht zu besonderer Sicherheit verpflichtet.
Jeder offene Port potenziell angreifbar
Medscape: Wie dringen Hacker in die Praxis-IT ein?
Fischer: Jeder offene Port oder PC sowie der Praxisserver ist potenziell angreifbar. Patienten könnten sich ganz unverdächtig mit ihrem Laptop ins Wartezimmer setzen und zum Beispiel über ungesicherte WLAN-Netze in das Praxisverwaltungssystem (PVS) eindringen oder gar über eine vergessene Netzwerkdose in der Wand. Ärzte und medizinische Fachangestellte (MFA) werden glauben, da lädt lediglich jemand seinen Computer auf.
Nach meiner Erfahrung sind besonders die Drucker eine Schwachstelle. Das ist auch ein Verschulden der Hersteller. Sie haben Schnittstellen geschaffen, über die die Drucker von extern gewartet werden können und über die man lokal vom Handy drucken kann. Und dahinter stehen Dienste, die oft nicht abgesichert sind. Über sie können Hacker das PVS infiltrieren und IT-Adressen einsehen oder alle Faxnummern, die in der Praxis je gewählt wurden.
Wenn die Drucker aufgestellt wurden, ohne konfiguriert zu werden – und das ist meistens der Fall – dann bleiben die Drucker offen, und damit werden sie eine sehr große und bisher unterschätze Gefahr.
Oft kommt es auch vor, dass die Patienten im Behandlungszimmer noch ein paar Minuten auf die Ärztin oder den Arzt warten müssen. Der PC im Raum ist dann in meistens offen, also nicht gesperrt, und der Patient könnte sich frei an den Daten bedienen.
Aber auch Angriffe von außen stellen eine Gefahr dar. Mancher Praxischef will zum Beispiel von zuhause aus seine Abrechnungen machen. Da wäre ein VPN-Dienst sinnvoll, er stellt sicher, dass nur authentifizierte Benutzer Zugriff haben (VPN: virtuelles privates Netzwerk).
Stattdessen stellen manche Dienstleister oder der Praxisinhaber selbst gleich den ganzen Server ins Netz, als sogenannten „Remote-Desktop“. Er ist zwar durch Passwörter geschützt. Aber es gibt Suchmaschinen, die zum einen diese „Remote-Desktops“ scannen und anzeigen und zum anderen Nacht für Nacht Millionen von Standartpasswörtern durchforsten, bis sie einen Treffer landen. So gelangen die Hacker in die Praxis-IT und das, ohne je vor Ort gewesen zu sein.
Medscape: Und dann? Erpressen sie die Ärztinnen und Ärzte?
Fischer: Ja, Praxen werden erpresst. Zum Beispiel, nachdem Hacker über einen in der Praxis deponierten und unvorsichtigerweise in den Praxis-PC gesteckten USB-Stick ins PVS gelangt sind und dort eine Schadsoftware installiert haben. Oder über einen Trojaner, der in der Mail an die Praxis noch aussah wie eine Werbung oder eine Bewerbung und erst, nachdem er angeklickt wurde, die Schadsoftware auf den Rechner lädt.
Medscape: Wissen Sie, wie oft solche Erpressungen stattfinden?
Fischer: Nein. Es gibt auch keine offiziellen Zahlen oder Statistiken. In der Regel geht niemand damit an die Öffentlichkeit.
Als „friendly hacker“ die Schwachstellen aufdecken
Medscape: Wie können Praxen sich schützen?
Fischer: Einen Schutz, der 100% wirkt, kann man leider nicht schaffen! Aber man kann sich absichern, indem bei der Praxis-IT ausschließlich aktuelle und für den Business-Bereich gemachte Sicherheitslösungen und Virenschutz verwendet werden. Das darf auch ein paar Euro mehr kosten. Außerdem brauchen sie eine aktuelle Hardware-Firewall, aktuelle Betriebssysteme, die regelmäßig mit Updates versorgt werden.
Und es sollten der Server, die IT und die Telematikinfrastruktur (TI) in einem extra dafür ausgelegten Raum untergebracht werden, der zugriffsgeschützt ist. Zudem braucht es gut ausgebildete Mitarbeiterinnen, die den Bildschirm wegdrehen, die die PCs bei Bedarf sperren, die nichts herumliegen lassen.
Schließlich helfen ein paar kleine Maßnahmen, zum Beispiel USB-Ports und andere abdecken oder abkleben. Allgemein sind für das Thema IT-Sicherheit sensibilisierte Mitarbeiter ein großer Schutz, denn der Faktor Mensch spielt bei Angriffen direkt und indirekt eine sehr große Rolle.
Medscape: Sie bieten Praxen an, den „Bösen Buben“ zu spielen und in ihr PVS einzudringen, um als „friendly hacker“ die Schwachstellen aufzudecken. Ist Ihnen je in Ihrer Arbeit eine wirklich gut geschützte Praxis untergekommen?
Fischer: Eine Praxis, die zu 100% dem entspricht, wie es notwendig und vorgeschrieben ist, haben wir bisher nur selten gesehen. Aber der Grat zwischen einer Praxis, die sich um die IT-Sicherheit bemüht und an der ein oder anderen Stelle noch Verbesserungspotenzial hat, und einer Praxis, bei der es an allem fehlt und wo eine gesamte Umstrukturierung erfolgen müsste, ist sehr groß. Letzteres trifft meiner Meinung nach leider am ehesten zu.
Fanden Sie unsere Informationen interessant? Dann melden Sie sich doch für einen Newsletter aus unserer Redaktion Medscape Deutschland an, damit Sie keine Nachrichten, Meinungen und andere spannende Wissensformate aus der Medizin verpassen. Hier ist der Link zu unseren kostenlosen Angeboten.
Credits:
Photographer: © Pop Nukoonrat
Lead Image: Dreamstime
Medscape Nachrichten © 2022 WebMD, LLC
Diesen Artikel so zitieren: „Praxen werden erpresst“: IT-Experte gibt Tipps, wie Sie Ihre Praxis vor Hackerangriffen schützen – Drucker sind Schwachstellen - Medscape - 20. Jul 2022.
Kommentar