Praxis-Drucker war per Wireless-LAN öffentlich zugänglich gewesen
Ein leichter Frühlingsnebel lag über Köln, als der Hausarzt Dr. Müller (Name geändert), wie jeden Morgen als erstes seine Praxis öffnete. Er war überrascht, als er bemerkte, dass das Multifunktionsgerät an der Anmeldung seltsame Ausdrucke produzierte. Auf dem Papier waren Zahlen, Tabellen und einige Namen zu sehen, die ihm bekannt vorkamen - sie gehörten zur örtlichen Bank, die direkt gegenüber der Straße lag.
Verwirrt über die unerklärlichen Ausdrucke, beschloss Dr. Müller, im Laufe des Vormittags die Bank zu besuchen und nachzufragen, ob es sich um einen Irrtum handelte. Als er die Bank betrat, wurde er von der geschäftigen Atmosphäre des Morgens begrüßt. Er sprach mit einem Bankberater und zeigte ihm die Ausdrucke. Der Berater war ebenso überrascht und sie beschlossen, das Phänomen genauer zu untersuchen. Die IT-Abteilung der Bank wurde benachrichtigt und anhand der ausgedruckten Unterlagen wurde versucht den Verantwortlichen für den Ausdruck zu finden.
In der Zwischenzeit wurde der örtliche IT-Dienstleister der Praxis benachrichtigt, welcher im Laufe des Vormittags in der Praxis eintraf. Während sie das Multifunktionsgerät genauer inspizierten, entdeckten sie, dass es mit dem WLAN der Bank verbunden war. Es stellte sich heraus, dass die Bank vor Kurzem ihre WLAN-Verbindung aktualisiert hatte, und das Multifunktionsgerät der Praxis hatte sich damit verbunden.
Nachdem das IT-Helpdesk der Bank den Fehler bzw. die Sicherheitslücke behoben hatten, entschuldigte sich der Manager der Bank bei Dr. Müller. Dr. Müller akzeptierte dankbar und kehrte in seine Praxis zurück, erleichtert darüber, dass es sich nur um ein harmloses Missverständnis handelte. Der Manager sagte zu, dass er den Datenschutzvorfall bei der Landesdatenschutzbehörde melden wird.
Durch diesen IT-Sicherheitsvorfall wurde auch eine Schwachstelle im Netzwerk des Herrn Dr. Müller offenkundig. Der Hausarzt Dr. Müller ist erleichtert, dass „nur“ durch ein Versehen die Sicherheitslücke ausgenutzt worden ist und nicht durch Cyberkriminelle.
„Dieser Vorfall ist ein Wink mit dem Zaunpfahl! Wir müssen dringend unsere IT sicherer machen, sodass wir solche Schwachstellen identifizieren und schließen. Leider ist dies im Alltag so nicht umsetzbar und wir werden externe Hilfe in Anspruch nehmen müssen“, konstatierte Dr. Müller.
Ab dem Vorfall an war das Multifunktionsgerät an der Anmeldung der Praxis besser gesichert und weitere IT-Sicherheitsmaßnahmen werden in Angriff genommen. Somit wird in Kürze eine weitere Praxis in Köln besser vor Cyberangriffen geschützt sein.
Risikobewertung
Endgeräte – wie z. B. Drucker die über Wireless-LAN erreichbar sind – können über diese Schnittstelle zum Sicherheitsrisiko werden. Ein Zugriff von Dritten auf das Praxis-Netzwerk und weitere Ressourcen ist möglich. Schadsoftware kann eingeschleust werden und Kriminelle könnten versuchen den Drucker unter Ihrer Kontrolle zu bringen und von dort aus weiteren Angriffen auf die Praxis-Infrastruktur starten.
Reaktion und Vorfallbearbeitung
- Der zuständige IT-Dienstleister wurde benachrichtigt und auf die Sicherheitslücke des Multifunktionsdruckers hingewiesen.
- Umgehend deaktivierte er alle Netzwerk-Schnittstellen die nicht benötigt werden. Einzig die LAN-Schnittstelle wird für das Praxis-Netzwerk benötigt und der Drucker ist darüber von Praxis-Endgeräten erreichbar.
- Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).
Tipps zur Prävention
Multifunktionsgeräte bieten standardmäßig eine Vielzahl von Schnittstellen. Nicht benötigte Netzwerkschnittstellen wie WLAN und Bluetooth müssen restriktiv konfiguriert oder deaktiviert werden, um die Anzahl der potenziellen Schwachstellen zu minimieren. Es ist wichtig zu wissen, dass ungeschützte Drucker und Multifunktionsgeräte als vollwertige Computer betrachtet werden müssen, die anfällig für Angriffe durch Schadsoftware oder Cyberkriminelle sind. Daher ist es entscheidend, die Firmware und Software der Geräte regelmäßig zu aktualisieren und die Standard-Zugangsdaten für den Managementzugriff durch sichere Zugangsdaten zu ersetzen. Schwache Passwörter sollten unbedingt durch komplexe ersetzt werden.
Einige Druckermodelle ermöglichen das Drucken von überall aus, indem Druckaufträge über das Internet an den Drucker gesendet werden. Diese praktische Funktion birgt jedoch Datenschutzrisiken, da die Druckaufträge möglicherweise im öffentlichen Internet einsehbar sind und Missbrauch durch Angreifer wahrscheinlich ist.
In vielen Arzt- und Psychotherapiepraxen sind die Sicherheitsvorkehrungen für solche Geräte unzureichend und erhalten wenig Aufmerksamkeit in technischen und organisatorischen Maßnahmen. Gemäß § 390 des SGB V besteht jedoch die Verpflichtung für niedergelassene Ärzte und Psychotherapeuten, Netzkomponenten effektiv auf der Ebene des Managementzugriffs abzusichern.
Haben Sie eine Frage?
Zögern Sie nicht, uns zu den Themen Telematik, Informationssicherheit und Cybercrime zu kontaktieren.
Wir sind gerne für Sie da und unterstützen Sie mit Rat und Tat.