9/2023 9/2023

Checkliste: Schutz vor Ransomware

Wie sich Praxen gegen Angriffe wappnen und wie sie im Ernstfall reagieren sollten

Erst kürzlich hat BKA-Chef Holger Münch explizit vor Cyberangriffen auf Arztpraxen gewarnt – Cyberkriminelle nehmen vermehrt diejenigen Opfer in ihr Fadenkreuz, welche auf Grund geringer technischer Schutzmaßnahmen und potenziell hoher Schäden ein lohnendes Ziel darstellen.

Dabei wird zumeist sogenannte Ransomware – also eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme durch eine Verschlüsselung einschränkt oder unterbindet – eingesetzt. Wenn nun die Praxis auf die Systeme wieder zugreifen will, so verlangen die Erpresser (engl. „ransom“ = Erpressung) ein hohes Lösegeld (meistens in „virtueller“ und nicht nachverfolgbarer Währung wie Bitcoins) oder drohen bei Nichtzahlung damit, die Daten endgültig zu löschen oder zu veröffentlichen.

Das Problem betrifft alle Branchen von Finanzinstitutionen über Landratsämter bis hin zu Krankenhäusern, MVZs und Arztpraxen. Eine Infektion mit Ransomware erfolgt zumeist über präparierte E-Mails, als „Schmierinfektion“ beim Besuch von Webseiten oder gelegentlich auch über andere Wege wie infizierte USB-Sticks. Wenn dieses Schadprogramm einmal auf einem Rechner im Netzwerk aktiv ist, dann kann es sich auch auf andere PCs, Mobilgeräte wie Smartphones oder Netzlaufwerke verbreiten und diese ebenfalls infizieren. Ransomware wird mittlerweile wie eine marktreife Software entwickelt: Sie wird häufig angepasst, um alle Aktualisierungen zu berücksichtigen, die Anwender an der Systemsicherheit vornehmen.

Nachfolgend wollen wir Ihnen Hinweise dafür geben, nicht zu einem Opfer dieser Kriminellen zu werden oder den Schaden so gering wie möglich zu halten.

VORSORGE

  • Schaffen Sie ein ausreichendes Problembewusstsein bei Ihren Mitarbeitenden. Schulen Sie Ihr Team im sicheren Surfen und weisen Sie es an, keine unbekannten Anhänge oder verdächtig aussehende E-Mails zu öffnen. Unbekannte Anhänge von E-Mails sollten nicht geöffnet werden. Gegebenenfalls sollte beim Absender nachgefragt werden – Ransomware kann auch von bekannten Absendern versendet werden. Nicht-freigegebene Software sollte nicht heruntergeladen oder installiert werden. Vorsicht sollte auch beim Surfen im Internet gewaltet werden – selbst seriöse Internetseiten können z.B. durch Werbebanner von Drittseiten infektiös sein. Dabei sollte auch eine ausreichende Fehlerkultur etabliert werden, denn nur wenn etwaige Angriffe frühzeitig und ohne Angst vor Konsequenzen gemeldet werden, kann der entstandene Schaden reduziert werden.

  • Halten Sie Ihre Systeme stets aktuell. Installieren Sie möglichst zeitnah die angebotenen Aktualisierungen für Betriebssysteme, Praxisinformationssysteme, E-Mail-Programme, Webbrowser etc. Auch für die eingesetzte Hardware wie z.B. Netzwerkfestplatten oder Router sollte die Firmware immer auf dem neuesten Stand sein. Die Aktivierung der automatischen Installation von Updates ist empfehlenswert.

  • Sorgen Sie für eine sichere Konfiguration Ihrer Systeme – dabei geben Organisationen wie das Bundesamt für Sicherheit in der Informationstechnik im Internet Hilfestellungen. Dazu gehört auch, dass Mitarbeitende nicht mit Administratorrechten die Systeme nutzen. Auch sollten keine USB-Sticks an die Systeme angeschlossen werden können.

  • Nutzen Sie eine Firewall und einen umfassenden Virenschutz, welcher insbesondere E-Mails, den Webbrowser und auch Dateien auf Netzlaufwerken abdeckt.

  • Sichern Sie regelmäßig (mindestens täglich) und automatisch Ihre Daten auf verschiedenen Medien und lagern Sie diese gesondert und ohne Verbindung zu Ihrem Netzwerk. Prüfen Sie auch, ob Sie die Sicherungen wieder zurückspielen können. Backups können einen Angriff nicht verhindern, aber sie können Ihnen dabei helfen, sich schneller von einem Angriff zu erholen. Dabei gilt es jedoch auch zu berücksichtigen, dass Ransomware auch zeitversetzt – also quasi nach einer Inkubationszeit – aktiv werden kann und so auch schon in einem Backup „stecken“ kann.

  • Setzen Sie die Maßnahmen der (gesetzlich verpflichtenden) Richtlinie zur Datensicherheit der Praxis-IT nach § 75b SGB V der KBV um: https://hub.kbv.de/site/its

  • Wenn Sie die vorgenannten Maßnahmen nicht selbst umsetzen können, sollten Sie einen vertrauenswürdigen IT-Dienstleister – im besten Fall mit umfassenden Kenntnissen über die IT im Gesundheitssektor – beauftragen und diese Leistungen vertraglich vereinbaren.

  • Ein Abschluss einer sog. „Cyberversicherung“ kann im jeweiligen Einzelfall sinnvoll sein. Dabei sollten auch die angebotenen Leistungen der Versicherung und die Voraussetzungen für einen Versicherungsfall kritisch geprüft werden.

  • Halten Sie sich über aktuelle Entwicklungen und Bedrohungen auf dem Laufenden und setzen Sie die Hinweise der Hersteller und Behörden zur Vermeidung und Reduktion dieser Risiken um.

IM AKTUFALL

  • Beim ersten Anzeichen eines Angriffs sollte das betroffene Gerät isoliert werden, um zu verhindern, dass der infizierte Computer weitere Malware verbreitet. Trennen Sie es vom Netz und entfernen Sie alle angeschlossenen Laufwerke.

  • Informieren Sie Ihren IT-Dienstleister (und ggf. Ihre Versicherung) oder beauftragen Sie ein auf die Reaktion auf Sicherheitsvorfälle spezialisiertes Unternehmen.

  • Suchen Sie im Netzwerk nach anderen Geräten, die sich verdächtig verhalten, und isolieren Sie diese ebenfalls.

  • Schalten Sie die drahtlosen Verbindungen (WLAN, Bluetooth) aus.

  • Suchen Sie im Netzwerk nach verschlüsselten Dateien, welche sich nicht öffnen lassen oder verdächtige Namen oder Dateiendungen haben.

  • Prüfen Sie weiterhin, ob Ihr Antivirenprogramm Warnmeldungen ausgegeben hat. Befragen Sie dann Ihr Team zu seinen Internetaktivitäten. Hat jemand in letzter Zeit eine seltsame E-Mail geöffnet? Oder auf ein Pop-up geklickt, das keinen Sinn ergab?

  • Sobald Sie die Quelle kennen, können fachkundige Dienstleister den Ransomware-Typ mit Hilfe von Angeboten der Behörden und Unternehmen im Internet identifizieren und gegebenenfalls entsprechende Abhilfemaßnahmen wie Entschlüsselungsprogramme umsetzen.

  • Verschaffen Sie sich einen Überblick über den entstandenen Schaden: Welche Daten von welchen Patienten und Patientinnen sind betroffen? Sind Daten abgeflossen? Etc.

  • Prüfen Sie auch, ob im Zeitraum zwischen Infektion und Angriff E-Mails mit infizierten Anhängen von Ihren E-Mail-Adressen versendet wurden und informieren Sie die Empfänger.

NACHSORGE

  • Informieren Sie die Polizei und erstatten Sie Anzeige. Sie sollten kein Lösegeld zahlen, da dies gegebenenfalls selbst eine Straftat darstellen kann und zugleich die Erpresser weiter animiert.

  • Ein Ransomwareangriff stellt zumeist auch einen meldepflichtigen Verstoß gegen die Datenschutz-Grundverordnung dar, und dieser ist bei der zuständigen Datenschutzaufsicht zu melden – möglicherweise sind auch die Patientinnen und Patienten zu informieren.

  • Auch Backups (d.h. die Sicherungsdaten) müssen anschließend auf die Ransomware mit Hilfe von Virenscannern und gegebenenfalls Programmen der Hersteller und Dienstleister geprüft werden; sollten die Backups frei von Ransomware sein, können sie zurückgespielt werden und so die Systeme wiederhergestellt werden (zumindest mit dem Stand der letzten Sicherung).

MARCUS SCHWERTZ
ist IT-Sicherheitsexperte und Datenschutzbeauftragter der KV Hamburg