Vom römischen Ochsenkarren hin zum Trecker mit Pflug der „reich erntet“

2.1.2024 - IT-Sicherheit umfasst alle Maßnahmen, um die IT-Systeme vor Cybercrime und weiteren Bedrohungen zu schützen. Auch in jeder Arztpraxis bzw. psychotherapeutischen Praxis müssen technische und organisatorische Maßnahmen zum Schutz der Patientendaten umgesetzt sein. In dem Zusammenhang wurden 2022 auch konkrete Maßnahmen zur IT-Sicherheitsrichtlinie (IT-SRL) aus §75b SGB V veröffentlicht. Dennoch gibt es regelmäßig Cyberangriffe und Datenschutzvorfälle in den Gesundheitseinrichtungen.

Köln – Über dieses Thema durfte ich (Thomas Klug, daten-strom.Medical-IT-Services GmbH) mit Kriminalhauptkommissar a.D. Dirk Beerhenke, ehemals Polizeipräsidium Köln, ein Interview führen. Er hat 17 Jahre lang als Ermittler im Kriminalkommissariat Cybercrime und sieben Jahre im Kriminalkommissariat Kriminalprävention / Opferschutz - Cybercrime gearbeitet.

Er berichtet über seine Arbeit und Erfahrungen aus dem Polizeialltag und wie sich die Praxen vor Cyberangriffen, wie sie täglich stattfinden, besser schützen können.

Thomas Klug: Herr Beerhenke, nach 42 Jahren Dienst, davon 24 Jahre im Bereich Cybercrime bei der Polizei haben Sie sicherlich auch einige Gesundheitseinrichtungen als Opfer gehabt. In meinen Gesprächen mit den Praxisinhaber:Innen höre ich immer wieder raus, dass sich die Praxen als zu unbedeutend und zu klein einschätzen und sich somit unattraktiv für digitale Raubüberfälle etc. empfinden. Man sieht die Risiken eher in Krankenhäusern oder ähnlichen Einrichtungen. Wie sehen Sie das aus dem Blickwinkel der Ermittlungsbehörde?

Diese Feststellungen habe ich auch gemacht, Herr Klug. Immer wieder höre ich „Bei mir gibt es doch nichts zu holen!“ Das insbesondere bei Privatpersonen, aber auch massiv aus Kleinbetrieben wie z.B. aus dem Handwerk, aus Praxen, Kanzleien pp.

Genau diese Einstellung finde ich auch bei Schülerinnen und Schülern wieder, die sie dann verinnerlicht später mit in ihr Berufsleben nehmen. Sie haben sie von ihren Vorbildern und Ausbildern übernommen. Das ist eine fatale Entwicklung und Fehleinschätzung!

Cyberkriminelle, ich nenne die Täter:innen hier mal so, machen sich genau diese Einstellung zu Nutze. Sie wissen darüber natürlich. Sie wissen viel mehr, als Sie es sich vorstellen können!

Statt viele spezielle Programme also „Werkzeuge“ für Angriffe entwickeln zu müssen, können sie plump und in nahezu gleicher Vorgehensweise „einen Trecker vor ihren Pflug spannen und dann später reich ernten“.

Ich fing 1998 als Ermittler im Bereich Cybercrime an. Womit wurden die meisten Schadprogramme in die Systeme gebracht? Per E-Mail. Nachdem ich ihnen mit diesem Ast gewunken habe, wie ist das wohl heute? …..

Mein Fazit: Was haben wir in 24 Jahren gelernt? Wie handeln wir heute? Was haben wir verbessert? Im Ergebnis und ganz vorsichtig ausgedrückt: Nicht viel!

Thomas Klug: So entnehme ich Ihrer nüchternen Bilanz die Erkenntnis, dass man auch im Gesundheitswesen wenig dazugelernt hat und die Bedrohungen nehmen auch noch eher zu?

Eindeutig: Ja. Das kann man z.B. auch aus der Polizeilichen Kriminalstatistik lesen, die öffentlich einsehbar ist. Cybercrime ist einer der wenigen Deliktsbereiche, wo die Anzahl der Straftaten gestiegen ist. Diese Zahlen zeigen nur die Spitze des Eisberges. Das Dunkelfeld ist groß. Nur wenige Praxen zeigen die Straftaten an. Die Gründe dafür sind vielfältig. Insbesondere spielt aber die Angst vor einem Reputationsverlust eine Rolle.

Doch auch die BITKOM berichtet darüber, dass ca. drei Viertel (72 Prozent) aller Unternehmen in den vergangenen zwölf Monaten von analogen und digitalen Angriffen betroffen waren. Dabei entstand ein Schaden von fast 206 Milliarden € für die Wirtschaft.

Und ja, natürlich sind auch hier die Praxen niedergelassener Ärzte ebenfalls davon betroffen.

Thomas Klug: Welche Angriffsvektoren verwenden die Täter:innen? Welche Schwachstellen nutzen die Kriminellen aus und was sind demnach die größten Bedrohungen?

Das was die Täter:innen da machen ist für die heutige Zeit schon high Level. Es sind oftmals organisierte Gruppen, deren Motivation es ist viel und leicht Geld zu verdienen und dabei nicht entdeckt zu werden. Aber auch der Anteil von Hackern, die von fremden Staaten beauftragt wurden ist groß. Das alles bietet die globale Vernetzung mit Milliarden von Rechnern.

Nutzerinnen und Nutzer lassen oftmals fahrlässig zu viele elektronischen Türe und Tore aufstehen. Das wissen die Täter:innen sehr gut und es macht ihnen ihre Arbeit einfach:

Zum Beispiel

• Ungepflegte Betriebssysteme auf
  • PCs
  • Routern
  • Fernsehern
  • Smartphones
  • Überwachungskameras pp.
• Einfache oder keine Passwörter, oder nur ein Passwort als „Generalschlüssel“
• Überalterte Geräte. Insbesondere Router aber auch Smartphones
• Ein Netz für alles. Keine Segmentierung (Netzteilung). Einfach mit dem Aktivieren des Gastnetzwerkes auf dem eigenen Router möglich
• Unverschlüsselter E-Mailverkehr; offenes Versenden sensibler Daten
• Unkontrollierter, unbedachter Einsatz von USB-Sticks. Nutzen ohne Schutz an vielen Rechnern
• Fehlende Anmeldepasswörter, also offene Rechner bei Abwesenheit
• Unbedachtes öffnen von Anhängen in E-Mails!

Die Liste ist nicht abschließend.

Straftäter:innen gelangen also leicht und unauffällig in die Systeme, in jeden einzelnen Rechner. Die intelligenten Programme sehen sich um und laden je nach Bedarf Spezialprogramme mit besonderen Fähigkeiten nach.

„Musterpäckchen mit 300 Patientendaten aus der Praxis…“

Die Beute: Das können Personendaten oder/und Zahlungsdaten sein. Also die der Kunden, der Patienten, der Klienten. Gerne auch die Bilder, die zu den persönlichen Daten abgelegt worden sind. Nachdem sie auf die Beuteserver der Cyberkriminellen irgendwo auf der Welt kopiert wurden, bietet sich für die Täter:innen die Möglichkeit erpressen zu können. Unsere Nummer 1 derzeit auf der Cybercrimehitliste. „Wir veröffentlichen wenn nicht ….“

Nachdruck verschaffen sich die Täter:innen, wenn sie die relevanten Daten auf den Praxis-Computern verschlüsseln, löschen oder ein „Musterpäckchen“ veröffentlichen. Das nennt man „doxing“. Natürlich mit Quellenangabe: „Hier 300 Patientendaten aus der Praxis…..“

Anmeldepasswörter werden aufgezeichnet zusammen mit Benutzernamen, so dass die Täter:innen auch auf andere Systeme zugreifen können. Wir haben das in der Vergangenheit mehrfach gut beobachten können.

Die Täter:innen sind/bleiben oft lange Zeit im System und ernten erst, wenn es sich lohnt. So kann man „Zuschauer“ über Monate, vielleicht Jahre „zuhause“ haben. Man ist nicht mehr alleine! Und diese Erkenntnis sollte spätestens dazu führen Cybersicherheit deutlich weiter nach oben auf die persönliche Wichtigkeitsliste zu setzen.

Thomas Klug: Apropos Cybersicherheit und Wichtigkeitsliste: Die Vernetzung des Gesundheitswesens im Zuge der Telematik (TI) etc. wird von einigen Niedergelassenen in dem Punkt des Datenschutzes und der Datensicherheit ebenfalls kritisch gesehen. Wie schätzen Sie hier die Risiken ein?

Mir sind keine Schadensfälle bekannt geworden. Hier gilt natürlich insbesondere eine gute Technik vor- und aktuell zu halten. Standard ist bei der Telematikinfrastruktur das Nutzen von VPN-Verbindungen. Damit ist der Übertragungsweg sicher. Befindet sich eine Schadsoftware auf dem Sendenden oder empfangenden Gerät, können die Daten vorher abgegriffen werden. Die Gefahr ist größer, wenn neben der Telematikinfrastruktur ein „normaler“ Internetzugang besteht, über den Angriffe erfolgen können.

Thomas Klug: Die Telematik wurde ja unter anderem in der IT-Sicherheitsrichtlinie nach § 75b SGB V geregelt und daraus ergeben sich bestimmte Sicherheitsmaßnahmen. Halten Sie diese für ausreichend?

Ich habe die Vorschrift gelesen. Sie fällt nicht in den Bereich der polizeilichen Zuständigkeit. Nach meiner Meinung sagt der Absatz 1 schon eindeutig aus, dass sichere Systeme und Datenübertragungswege genutzt werden müssen. Die Voraussetzungen dafür, auch i.V.m. § 8a Absatz 1 des BSI-Gesetzes sind sehr umfassend und sicher nicht abschließend.

IT-Sicherheit ist ein hoher Wert. Die Maßnahmen zur Herstellung von Sicherheit hinken noch zu oft hinterher, sind aber erforderlich. Die Leistungen hierfür erfordern Fachkenntnis, Zeit und geeignetes Material.  Das ist eben nicht der Hauptzweck des einer Praxis und sicher auch deshalb oft nicht priorisiert. Hier stehen die Verantwortlichen vor der Entscheidung ein bemerkenswertes Zeitkontingent für sich und diese Aufgaben zu schaffen oder sie an kompetente Stellen/Dienstleister verantwortlich zu delegieren.

Hierzu gehört auch eine wiederkehrende Beschulung aller im Gesundheitswesen Beschäftigter zur Verbesserung der Resilienz.

Thomas Klug: Wie wichtig schätzen Sie in dem Kontext eine professionelle Hilfe von externen IT-Sicherheitsexperten ein? In meinen Gesprächen höre ich immer wieder raus, dass der Arzt oder Therapeut die Maßnahmen aus der IT-Sicherheitsrichtlinie selber umsetzt oder einen Freund, Bekannten oder den Sohn damit beauftragt.

Vorhin habe ich gesagt, dass Fachleute diese Aufgabe in eigener Verantwortung für ihre Arbeit durchführen sollen. Also dem beauftragten Unternehmen diese Arbeit und die Verantwortung dafür nachweislich übertragen. Die Polizei ist zivilrechtlich nicht zuständig. Doch aus der Erfahrung weiß ich, dass im Schadenfall womöglich, mind. bei nachgewiesener grober Fahrlässigkeit, zivilrechtliche Forderung an die Ausführenden gerichtet werden könnten. Die fachgerechte Ausführung und Wartung sind also von großer Bedeutung. Beauftrage sollten entsprechend ausgewählt werden.

Thomas Klug: Gute Dienstleister mit Expertise sind nicht zum Nulltarif zu haben. Leider werden die IT-Sicherheitsmaßnahmen nicht durch Pauschalen refinanziert und mancher Praxis ist der Geldbeutel näher als die Sicherheit der Patientendaten. Ich glaube die Gefährdungen für Patienten werden genauso unterschätzt, wie die finanziellen, strafrechtlichen und haftungsrechtlichen Risiken für den Praxisinhaber*Innen. Ist das auch Ihre Erfahrung?

Tatsächlich habe ich in der Zeit schlecht gepflegte Systeme gesehen. Überalterte Router im Kabelknäul. Externe Festplatten an medizinischen Geräten, die entwendet wurden. Rechner an der Annahme, die maximal verseucht waren. Zum Glück ist es besser geworden!

Das Erheben und Vorhalten solcher Daten unterliegt Vorschriften zum Schutz dieser Daten. Tritt ein Schaden ein, sind Verstöße zu prüfen. Dessen muss man sich bewusst sein und wie schon erwähnt sollte den Sicherheitsmaßnahmen höherwertige Prioritäten zugewiesen werden. IT-Sicherheit ist Chef:innensache!

Thomas Klug: Wenn nun doch z. B. ein Verschlüsselungstrojaner in der Praxis zugeschlagen hat: Was soll die Praxis als erstes tun bzw. wie handeln?

Das liegt am Stadium. Sind noch nicht alle Daten verschlüsselt müssen sofort alle Rechner ausgeschaltet und vom Stromnetz getrennt werden. So besteht sie Möglichkeit noch Daten zu retten.

Vorher aber sollte ein Notfallplan erstellt werden:

• Wer kann mir helfen?
• Wen muss ich informieren?
• Wie sind die Adressen und Telefonnummern?
• Wann verständige ich die Polizei? Absprache Beweissicherung pp.

Das muss in aktueller und ausgedruckter Form vorliegen „Notfallordner“.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht dazu sehr gute Ausführungen. Die Suchmaschinen führen dahin, wenn Sie eingeben „IT-Notfallkarte Verhalten bei IT-Notfällen“

Ebenfalls wichtig ist natürlich vor der Tat funktionierende Backups zu erstellen, die nach der Sicherung physikalisch vom Netz getrennt werden. Dann können sie von der Schadsoftware nicht erreicht werden.

„Keine Backups – kein Mitleid!“

Ist das geschehen, muss man keiner Erpressung folgen und kann den Praxisbetrieb nach der Neuinstallation aller Rechner und dem Einspielen der Backups wieder aufnehmen. Hierzu gibt es jedoch keine Alternativen in der Vorgehensweise, wenn man wieder sicher arbeiten möchte.  Keine Backups – kein Mitleid!

Die Polizei braucht im Idealfall einen unberührten Tatort mit Verantwortlichen, die Angaben zum Netzwerk machen und Zugänge schaffen können.

Mehr können Sie in speziellen Vorträgen zu dem Thema hören. Das würde hier den Rahmen sprengen.

Thomas Klug: Es könnte ja noch schlimmer werden. Was unternimmt die Polizei, wenn Patienten mit gestohlenen Daten erpresst werden und die zuständige Praxis sich nicht bei den Behörden gemeldet hat?

Das ist sehr individuell. Hier müsste also Jemand einen solchen Sachverhalt angezeigt haben. Sollte es eine Person sein, die ihre Daten im Internet bei einer Suche gefunden hat, so kam es vor, dann setzen wir hier mit den Ermittlungen an. Im Idealfall, aus polizeilicher Sicht, führt das zum/zur Täter:in und zur Quelle – also dorthin, wo die Daten erlangt worden sind. Zu prüfen ist dann, welche Straftaten vorliegen. Wie ich vorher geschildert habe, liegen zivilrechtliche Forderungen nicht im Aufgabenbereich der Polizei.

Natürlich wird die Polizei mit Unterstützung der Staatsanwaltschaft und dem Gericht versuchen die Daten im Internet löschen zu lassen. Je nach Speicherort und -verfahren ist das jedoch schwierig.

Thomas Klug: In dem Zusammenhang muss jeder Datenschutzvorfall bzw. jede Datenpanne grundsätzlich der zuständigen Aufsichtsbehörde gemeldet werden. Wie schaut es bei der Polizei aus?

Meldungen, also Strafanzeigen müssen durch die Verantwortlichen bei IT-Vorfällen nicht erstattet werden. Ich rate jedoch dazu. Hierdurch erhält die Polizei Kenntnis von dieser Tat. Sie kann feststellen (Polizeiliche Kriminalstatistik), ob sich hier ein Brennpunkt gebildet hat und ihre Ermittlungs- und Beratungsmaßnahmen danach ausrichten. Nicht zuletzt wird zu dem Phänomen geforscht, um auch mit diesen Erkenntnissen zu evaluieren.

Thomas Klug: Wie kann die Polizei den Praxen helfen, die einen Cyberangriff erlebt haben? Gibt es erste Hilfemaßnahmen um den Praxisbetrieb wieder ans Laufen zu bekommen?

Wir dürfen keine technische Unterstützung leisten. Doch können wir Hinweise geben, mit deren Hilfe eine Praxis schneller wieder zum Alltag zurückkehren kann. „Fragen kostet nichts!“ Nehmen Sie insbesondere vor dem Blitzeinschlag Kontakt zu unseren Kriminalpolizeilichen Beratungsstellen auf. Lassen Sie sich beraten. Sprechen Sie Maßnahmen zur Schulung der Beschäftigten ab. Damit härten Sie Ihre Einrichtung. Vorher Zeit investieren könnte Schaden fernhalten oder minimieren.

Thomas Klug: Gestatten Sie noch einen Blick auf die Kriminellen: Wie wahrscheinlich ist es, den oder die Täter:innen zu ermitteln?

Hier steckt Polizei und Staatsanwaltschaft gemäß dem gesetzlichen Auftrag die Hauptenergie rein. Trotzdem werden viele Strafanzeigen eingestellt, weil Täter:innen nicht ermittelt werden können. Doch werden auch Anzeigen wieder zum Leben erweckt, wenn eine Cybercrimebande, oft sehr aufwändig, dingfest gemacht werden konnte.

Spannungsfeld zwischen Strafverfolgung und Datenschutz

Die technischen Ermittlungen sind schwierig. Ich nenne das Darknet, das geschaffen wurde um anonym zu surfen. Und ich spreche auch die anlasslose Vorratsdatenspeicherung an, die grundsätzlich untersagt ist. Würden IP-Adressen für eine ausreichend lange Zeit gespeichert, könnten Täter:innen einfacher ermittelt werden, weil die IP-Adressen in der Regel zum physikalischen Anschluss führen, von wo aus der Täter, die Täterin gehandelt hat. Dagegen steht der Schutz des Privatlebens der Nutzer. Hierzu sprach der EuGH zuletzt am 20.09.2022 ein Urteil (Urt. v. 20.09.2022, Rs. C-793/19, C-794/19 u.a.).

Es gibt jedoch weitere Spuren, die Täter:innen entlarven können. Die werden von der Polizei gesichert oder entgegengenommen und verfolgt. Aus verständlichen Gründen möchte ich das hier aber nicht weiter vertiefen, da sich Täter:innen mit den Erkenntnissen auch neu ausrichten könnten. Das würde die Strafverfolgung erschweren.

Ich bleibe dabei: Das Erstatten einer Strafanzeige bleibt sinnvoll. Es geht sogar online: Wenn Sie in eine Suchmaschine „Polizei NRW Onlineanzeige“ eingeben, kommen Sie zur Internetwache.

Thomas Klug: Zum Abschluss des Interviews wäre es schön, wenn Sie noch einen Blick in die Glaskugel werfen könnten: Die Digitalisierung schreitet weiter voran und künstliche Intelligenz (KI) und Maschinelles Lernen (ML) etc. nehmen weiter zu. Ist das im Kontext der IT-Sicherheit eher ein Vorteil oder ein Nachteil, wenn man die Cyberkriminalität betrachtet?

In der Tat ist das ein Blick in die Glaskugel. Hier kann ich nicht für die Polizei sprechen, sondern nur meine persönliche These vertreten:

Wir Menschen entwickeln uns ständig. Das bedeutet Leben und das ist sehr positiv. Stellen Sie sich Marcus Tullius Cicero, den römischen Politiker und Philosophen vor, der von, sagen wir 60 v.Chr., in unsere Zeit flutschen würde. Er hatte schon echt was drauf. Deshalb kam er mir als geeignet in den Sinn.

Angenommen er würde nicht sofort vor Angst sterben, dann müssen die Eindrücke doch gewaltig sein! Wie fände er unsere technisierte Welt? Was wurde nur aus dem Ochsenkarren? Was ist mit den Kurieren, die versiegelte, verschlüsselte Nachrichten in „Windeseile“ durch die Welt brachten? Die Armeen steuerten? Über Leben und Tod entschieden? Würde er das Ergebnis der Entwicklung bis heute faszinierend finden oder verteufeln? Dürfte ich 2000 Jahre in die Zukunft „flutschen“, gute Güte – ich würde es tun!

Was hielt damals die Waage und was tut es heute? Wie oft geriet sie damals aus dem Gleichgewicht? Und heute?

„Wir Menschen treiben sie voran und sind zugleich die Bremse…“

Die Technik ist da. Zum Glück! Sie wird besser - schnell mehr und besser. Wir Menschen treiben sie voran und sind zugleich die Bremse, weil wir sie derzeit in einigen Bereichen nicht so handhaben (können), wie wir es tun sollten. Gauner schlagen ihren Profit daraus. Auch das ist gar nicht neu! Und haben wir es bisher trotz fataler, langer Kriege und Pandemien nicht immer irgendwie hinbekommen?

Wir werden uns arrangieren, einpendeln. Und wir werden Technik einsetzen, um Technik zu pflegen und leichter zu beherrschen. Wir, Sie Herr Klug und ich, sind jetzt dran für IT-Sicherheit zu stehen. Zum Glück nicht alleine! ;-) Und ich glaube wir Menschen sind in der Lage uns weiterhin tolle Erlebnisse und Komfort zu schaffen. ….. Dachten Sie, dass wir mal ein Telefon „streicheln“ werden? Steve Jobs hat uns das iPhone 2007 gebracht!

Thomas Klug: Lieber Herr Beerhenke, mit diesem großen Bogen von der römischen Antike hin zu unserem 21. Jahrhundert und Ihrem Ausblick in unsere digitale Zukunft entnehme ich eine gewisse Hoffnung und Zuversicht, dass wir nicht nur von der IT beherrscht, sondern wir auch davon profitieren werden. Neue Technologien sollten vor allem unserer Werte schützen und nicht Cyberkriminellen nützen. Aber auch hier gehört der Mensch als wichtiger Faktor dazu, um Sicherheitstechnologien und -Maßnahmen effektiv und sinnvoll einzusetzen.

In dem Kontext Faktor „Mensch“ möchte ich auf Ihr Lebenswerk bei der Kripo Köln zurückblicken und mich stellvertretend für alle Opfer die Sie betreut haben, für die wertschätzende, kriminalistische Aufklärungsarbeit bei Ihnen bedanken. Ihr Engagement Gefahren abzuwehren, Straftaten aufzudecken, Opferschutz zu leisten und parallel noch die Kriminalprävention zu stemmen, verdient großen Respekt und einen angemessenen Ruhestand. Sie werden nicht nur der Polizei fehlen, sondern auch den Bürger:innen, die Sie z. B. auf den Präventionsveranstaltungen mit Ihrem messerscharfen Verstand und der Art, den Menschen Ihre erlebten Kriminalfälle hautnah vermittelt und somit für ein großes Bewusstsein der herrschenden Gefahren gesorgt haben.

Ich sage auch „Danke“ für das Interview und zu Ihrem wohlverdienten Ruhestand wünsche ich Ihnen alles Gute und bleiben Sie gesund.