Cybercrime

Ein Autofahrer mit angelegtem Sicherheitsgurt und ein Motorradfahrer mit passendem Helm ist für uns selbstverständlich. Eine Praxis-IT mit ausreichender IT-Sicherheit und Datenschutz sollte ebenfalls selbstverständlich sein, jedoch ist die Realität oftmals eine andere. Der Vergleich mit dem Autofahrer und dem Motorradfahrer ist nicht so fremd wie es vielleicht es auf dem ersten Blick scheint. In der Gesundheitseinrichtung geht es um die Versorgung der Patienten und um die Patientendaten.

Bei einer erfolgreichen Cyberattacke droht der Verlust der Verfügbarkeit, der Integrität und der Vertraulichkeit der Patientendaten und die Gesundheit der Patienten ist zum Teil erheblich gefährdet. Zum einen, weil für die Versorgung die Behandlungsdaten, Medikation, Labordaten etc. fehlen und zum anderen durch eine Offenbarung von Patientendaten an unbefugte Dritte dem betroffenen Patienten seine Freiheiten und Rechte erheblich eingeschränkt werden und weitere psychische Belastungen oder andere Gesundheitsgefährdungen drohen. Wir sprechen auch von sogenannten Patienten-Sicherheitsbeeinträchtigungen, die eine Folge eines erfolgreichen IT-Angriffs sein könnten.

„Digitales Gold“ oder die „Kronjuwelen in der Praxis“

Das Cyberkriminalität oder auch Cybercrime genannt keinen Bogen um das ambulante Gesundheitswesen macht, ist bei vielen Verantwortlichen bereits angekommen. Grundsätzlich sind alle Branchen von einer Zunahme der IT-Vorfälle betroffen. Während die analogen Einbrüche etc. einen Rückgang verzeichnen, erleben die digitalen Straftaten einen Boom.

Laut der aktuellen Bitkom-Studie ist durch Cyberkriminalität in den letzten 12 Monaten ein Rekordschaden von 267 Milliarden Euro der deutschen Wirtschaft entstanden. 8 von 10 Unternehmen waren von Datendiebstahl, Spionage oder Sabotage betroffen.

Alle Experten sagen, das Daten das „Öl“ des 21. Jahrhunderts seien und Patientendaten sogar einen „Gold-“ bzw. Kronjuwelen-Status bei Straftätern haben, weil diese Daten sich sehr gut zu Geld machen lassen.

Der Deliktbereich „Cyberkriminalität“ bzw. „Cybercrime“ ist ein „Big Business“ und in der aktuellen polizeilichen Kriminalitätsstatistik (PKS) aus dem Jahre 2023 konnte die Polizei bundesweit u. a. folgende Zahlen präsentieren:

  • 134.000 Straftaten im Bereich der Cyberkriminalität vermelden
  • 43.000 Straftaten wurden davon aufgeklärt
  • 31.000 Tatverdächtige ermittelt

Ein sehr häufiges Schadensereignis aus dem Bereich der Cyberkriminalität ist der Verschlüsselungs- oder Erpressungstrojaner (sog. Ransomware) mit Lösegeld-Forderungen und die Opfer haben oft die Hoffnung, dass die Patientendaten nach Zahlung eines Lösegeldes wieder entschlüsselt werden bzw. sie einen Entschlüsselungscode erhalten. Laut den Polizeibehörden haben eine große Zahl an Opfern in 2023 ein Lösegeld über Bitcoin-Buchungen gezahlt und umgehend wird ein Entschlüsselungscode übermittelt. Die Täter geben sich seriös und sind sehr zuverlässig in der Lieferung. Eine Entschlüsselung wird als „Dienstleistung“ vermarktet und das kriminelle Geschäftsmodell funktioniert nur, wenn sich die „Kunden“ auf seinen Dienstleister verlassen kann.

Unser Informationsangebot für
ärztliche und psychotherapeutische Praxen

News

Bleiben Sie auf dem neuesten Stand und lesen Sie unsere Nachrichten aus dem Bereich des digitalen Gesundheitswesens.

Vorfälle & Incidents

Erfahren Sie, welche Datenpannen, Sicherheitslücken sowie technische und organisatorische Mängel in den Praxen offenkundig werden.

Interviews

Experten und Expertinnen werden über verschiedene Themen wie IT, IT-Security, Datenschutz, eHealth und Telematik interviewt.

Die Täter kehren an den Tatort zurück

Das „Big-Business“ funktioniert so gut, dass die Täter gerne wieder kommen. D. h. einige der Opfer wurden nach ein paar Monaten erneut angegriffen und die (Patienten-)Daten wiederum verschlüsselt. Nun könnte man schnell den Spruch bringen „selbst schuld“ oder „anscheinend aus dem Vorfall nichts gelernt“, aber die Sachlage ist meistens komplizierter.

Folgende Fragen müsste man stellen: Über welchem Angriffsvektor bzw. über welche Schwachstelle sind die Täter reingekommen? Konnte die Schwachstelle beim 1. Angriff zweifelsfrei festgestellt werden? Wurde die IT-Sicherheit an der Stelle verbessert? Gibt es möglicherweise Innentäter? Wurden Maßnahmen zur Steigerung der Awareness bzw. Sensibilisierungsmaßnahmen mit dem Praxis-Personal und Behandlern durchgeführt?

Von doppelter Bestrafung bis Opferhilfe

Interessant ist, dass derzeit die Juristen darüber diskutieren, ob die Lösegeldzahlungen an Kriminelle nach dem §129 StGB (Unterstützung krimineller Vereinigungen) strafbewehrt sein könnten. Wenn erpresste Gelder dazu führen, dass die Opfer sich straffällig machen, dann werden die Verantwortlichen doppelt bestraft und zum Lösegeld kommt auch noch eine mögliche Freiheitsstrafe bis zu 3 Jahren oder eine Geldstrafe hinzu. Außerdem droht eine Geldbuße bei festgestelltem unzureichendem Datenschutz/Datensicherheit durch die zuständige Landesdatenschutzbehörde.

Im Übrigen vermutet die Polizei im Deliktbereich Cyberkriminalität ein großes Dunkelfeld. Man schätzt, dass ca. 4 von 5 Straftaten in dem Bereich nicht angezeigt werden. Dennoch haben sich die Polizeibehörden mittlerweile auf diese neuen Herausforderungen eingestellt. Polizeiliche Ermittlungen haben sich verändert. Man kann sagen, dass eine Art Paradigmenwechsel stattgefunden hat. Denn die Täter sind ja immer seltener der Nachbar um die Ecke oder der Täter in derselben Stadt oder Landkreis. Die Täter bzw. kriminellen Vereinigungen sitzen in Asien, Amerika oder sonst irgendwo in der Welt. Auch wenn die Ermittlungsbehörden einen Tatverdächtigen ermitteln konnten, ist es schwierig eine Rechtshilfe oder eine Auslieferung über einen totalitären Staat zu bekommen.

Stattdessen wird der Bereich der akuten Opferhilfe immer wichtiger: Ist es möglich die Ausweitung des Angriffs noch zu stoppen? Kann eine Ausleitung der Daten noch verhindert werden? Wäre es möglich Patientendaten auf externen Server zu löschen? Weiterhin wird im Rahmen der Investigation versucht die Schadsoftware zu bestimmen, um Entschlüsselungsoptionen zu ermitteln.

Der Bereich der Gefahrenabwehr wird bei der Polizei immer wichtiger: Es geht um Präventionsmaßnahmen, Aufklärungsarbeit, technische Absicherung etc. stehen mehr und mehr im Vordergrund.

Wenn die Kripo 3x klingelt … dann steht die Investigation vor der Tür

Wenn Sie die Kriminalpolizei über einen IT-Sicherheitsvorfall wie z. B. einen erfolgreichen Cyberangriff benachrichtigt bzw. Anzeige erstattet haben, dann könnte eine Investigation vor Ort erfolgen. Bei der Landespolizei in NRW könnte auch ein polizeiliches Spezialfahrzeug vor der Haustüre erscheinen: ein sogenanntes MODAL (Mobiles Datenerfassungs- und Analyselabor). Dieser Sprinter hat verbaute Computerarbeitsplätze an Board und jede Menge Technik für die Analyse vor Ort.

Vor nicht allzu langer Zeit war es Standard gewesen, dass die Kripo die Endgeräte mit zur Wache nahmen und erst dort eine Analyse und Ermittlung der Beweise stattfand. Mit dem MODAL ist die Polizei über eine Richtfunkstrecke in der Lage die betroffenen Daten aus der Praxis-IT zu ziehen und direkt die ersten forensischen Untersuchungen im Fahrzeug zu starten. Über eine Polizei-Cloud können zusätzlich andere Spezialisten dazu geschaltet werden, sodass die Landespolizei zu deutlich schnelleren Ergebnissen kommt als noch vor einigen Jahren.

Dennoch geht die Investigation in der Praxis weiter: Wie sind die Täter reingekommen? Wo ist die Schwachstelle und welches Endgerät war als erstes davon betroffen? An der Stelle sind die Logdateien und Protokolle einer Hardware-Firewall oder Computer sehr aufschlussreich und werden ausgewertet.

Trennung tut weh? Nicht unbedingt.

Zu mindestens in NRW ist der Kripo auch die Trennung wichtig. D. h. es gibt keine Weitergabe von Daten an andere Behörden. So wird z. B. eine Datenpanne nicht durch die Polizei bei der Landesdatenschutzbehörde gemeldet. Dafür ist der Verantwortliche zuständig: Der Praxisinhaber:In.

Auch andere Zufallsfunde werden i. d. R. nicht weiterbearbeitet und dieses Vorgehen soll mit der Justiz konzertiert sein. Wo die Behörden kein Auge zudrücken, greifen wir an anderer Stelle nochmals auf.

Je nach Ergebnis der Ermittlungen hat die Praxis mehr oder weniger „Hausaufgaben“ zum einen gilt es – wenn nicht schon geschehen – die für Sie zuständige Behörde „Die Landesbeauftragte für den Datenschutz“ im Rahmen der Frist zu kontaktieren, um die Datenpanne nach Art. 33 DSGVO zu melden. Weiterhin kann es nach Art. 34 DSGVO erforderlich sein, umgehend die betroffenen Patienten zu benachrichtigen, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen gegeben ist.

Alle übrigen Maßnahmen nach einem IT-Sicherheitsvorfall werden im Bereich „Digitaler Notfallkoffer“ und „Melde- & Benachrichtigungspflicht“ aufgegriffen.

Haben Sie eine Frage?

Zögern Sie nicht, uns zu den Themen Telematik, Informationssicherheit und Cybercrime zu kontaktieren.

Wir sind gerne für Sie da und unterstützen Sie mit Rat und Tat.

Copyright 2024. daten-strom.Medical-IT-Services GmbH
Einstellungen gespeichert
Datenschutzeinstellungen

Diese Website verwendet Cookies, um Ihnen einen sicheren und komfortablen Website-Besuch zu ermöglichen. Entscheiden Sie selbst, welche Cookies Sie zulassen wollen.

Einige Cookies sind für die Funktionalität dieser Website notwendig (Erforderlich), andere Cookies dienen der Nutzung externer Medien (Extern).

Sie können der Nutzung aller Cookies zustimmen (Alle akzeptieren), technisch zwingend notwendige Cookies auswählen (Nur erforderliche Cookies erlauben) oder Ihre eigene Auswahl vornehmen und speichern (Auswahl akzeptieren).

Mehr Informationen finden Sie unter Datenschutz. Sie können die Datenschutz-Einstellungen für diese Website jederzeit nachträglich anpassen.

You are using an outdated browser. The website may not be displayed correctly. Close