Cyberattacke: Wie aus Opfern Schuldige werden

Der Hackerangriff Anfang November richtete sich – so der aktuelle Stand – gegen Medatixx und nicht gegen deren Kunden. Das sind: Arztpraxen, Medizinische Versorgungszentren oder Ambulanzen. Die Funktionalität dieser Anwender-Systeme soll nicht betroffen sein. Bei der Cyberattacke wurden interne Bereiche der Unternehmens-IT von Medatixx verschlüsselt und waren somit nicht erreichbar.

Möglicherweise größte Cyberattacke auf das deutsche Gesundheitssystem

Unklar ist aber nach wie vor, ob bei dem Angriff nicht möglichweise für die Fernwartung erforderliche Zugangsdaten, also auch Passwörter entwendet wurden. Betroffen sein könnten Passwörter der Praxissoftware, der Windows-Anmeldung und der TI-Konnektoren“, sagt Simon Rehwald, IT-Experte bei mediorbis. „Sollten Daten gestohlen worden sein, wäre es der bisher größte Cyberangriff auf das deutsche Gesundheitssystem.“

Medatixx reagierte nach Bekanntwerden des Cyberangriffs umgehend und warnte seine Kunden. Dringlicher Appell: Passwörter ändern. Anleitung, wie‘s geht, gab’s gleich dazu.

Wichtige Regeln konsequent beachten

Ein Angriff, der zeigt, wie verletzlich IT-Systeme sein können. Doch einen solchen Vorfall als Vorwand nutzen, um sich modernen Praxis-Systemen zu verschließen, hält Experte Rehberg für wenig sinnvoll: „Die Chancen der Digitalisierung überwiegen definitiv.“ Seine Empfehlung daher: „Nicht abschrecken lassen, stattdessen wichtige Regeln konsequent beachten.“

Dazu gehören regelmäßige Betriebssystem-Updates, Sicherheitssoftware und ein automatisiertes Backup der Daten, so dass diese im Falle eines Zugriffsverlusts durch einen Hack weiterhin verfügbar sind. „Am besten die Sicherung an einem anderen Ort ablegen als auf einem Server, der in der Praxis selbst steht – zum Beispiel bei einem IT-Dienstleister. So ist auch bei einem Einbruch, Brand oder Ähnlichem nicht alles weg“, rät Rehwald.

Besser 2-Faktor-Authentifizierung als schwache Passwörter

Alle Mitarbeiter auffordern, in regelmäßigen Abständen ihre Passwörter zu ändern, davon hält Rehwald nicht viel: „Erfahrungsgemäß denken sich die meisten dann ein Standardpasswort aus, vielleicht mit dem aktuellen Jahr am Ende, bei dem sie lediglich die hinteren Ziffern nach oben zählen. Hacker wissen das, und probieren das natürlich aus.“

Wesentlich sinnvoller ist – vorausgesetzt die eingesetzte Praxissoftware erlaubt das –  eine 2-Faktor-Authentifizierung zu installieren: Also eine Legitimierung nicht nur über ein Passwort, sondern zusätzlich über eine TAN, die per SMS gesendet wird. Wenn die Passwortdaten gestohlen wurden, sind sie trotzdem wertlos.

Ein verpasstes Update kann schon reichen

Patientendaten in den falschen Händen werfen zwangsläufig immer auch rechtliche Fragen auf. Die wichtigste: wer muss haften? „Haftbar ist man immer dann, wenn einem Eigenverschulden nachgewiesen werden kann“, sagt Christian Wagner, Fachanwalt für Medizinrecht beim Ärzteportal mediorbis. Ein verpasstes Update der Firewall oder wie im Fall von Medatixx, wenn trotz Warnung des Software-Herstellers das Passwort nicht geändert wurde, kann schon reichen.

„Ein Passwort trotz Hinweisen des Herstellers nach einem Hackerangriff nicht zu ändern, ist wie ein seit Jahren nicht gewarteter Feuerlöscher im Brandfall“, verdeutlicht Jurist Wagner.

Die Cyberversicherung springt ein

Werden Dritte geschädigt, kann das hohe Schadenssummen verursachen und zusätzlich Bußgelder nach sich ziehen. Daher empfiehlt Wagner auf jeden Fall eine Cyberversicherung, die gegenüber den Ansprüchen Dritter haftet und im Optimalfall auch Datenwiederherstellung, Sachschäden oder Praxisausfall absichert.

Wagner weiter: „Die Veränderungen der Digitalisierung bringen für den Arztberuf viele neue Möglichkeiten. Es geht nicht darum, sich dem Fortschritt zu verweigern, sondern frühzeitig Sicherungen zu schaffen, dass IT- und dadurch Rechts-Probleme gar nicht erst entstehen können.“

Bild 1: ©iStock / anyaberkut , Bild 2: ©iStock / Kameleon007