In einer Welt, in der die Digitalisierung zunehmend unser Leben beeinflusst, sollte man sich mit den Herausforderungen der Cybergefahren auseinandersetzen. Mit diesem Satz startete Nikolaus Stapels, CyCo Cyber Competence Center GmbH, seinen Vortrag bei einem Webinar der A.S.I. Wirtschaftsberatung. Zu 100 Prozent ausschließen kann man eine Cyberattacke nicht.
Aber man kann zum einen durch bestimmte Sicherheitsmaßnahmen die Wahrscheinlichkeit eines Angriffs senken und zum anderen die Folgen abmildern. Dass es großen Beratungsbedarf gibt, deckte eine kleine Umfrage in 25 Praxen auf. 22 davon nutzten sehr einfach zu erratende Passwörter (z.B. Behandlung, Praxis oder Name des Arztes) oder gar keine. In ebenfalls 22 Praxen war es üblich, dass sich mehrere Benutzer dieselbe Zugangskennung teilten. In 20 Praxen hatten alle Benutzer Administratorenrechte und keine Praxis prüfte, ob alte Adminrechte noch bestehen.
Beliebtestes Passwort: 123456, zweiter Platz geht an 12345
Das Thema “Passwörter” ist extrem wichtig, so Stapels, wird aber in Deutschland immer noch sträflich vernachlässigt. Auf Platz 1 der beliebtesten Passwörter stand 2023 in Deutschland 123456, gefolgt von 12345 und 123456789. Auch hallo, passwort und master erfreuten sich großer Beliebtheit.
Um ein achtstelliges Passwort mit Ziffern und Sonderzeichen zu knacken, braucht ein Spezialrechner gerade mal eine Sekunde. Je länger ein Passwort ist und je differenzierter (Klein- und Großschreibung, Ziffern, Sonderzeichen), desto sicherer. Passwortmanager können helfen, aber auch die könnten gehackt werden und erzeugen häufig sehr komplizierte Passwörter, die man sich nicht merken kann.
Ein Tipp von Stapels: “Verwenden Sie die Anfangsbuchstaben eines Satzes, den Sie sich gut merken können als Basispasswort und verändern Sie jeweils Anfang oder Schluss für verschiedene Seiten.” Niemals ein Passwort für Alles! Außerdem empfahl er dringend, grundsätzlich die Standardpasswörter zu ändern, z.B. beim WLAN-Router, und immer die Zwei-Faktor-Authentifizierung zu nutzen. Passwörter sollte man zudem nie im Browser speichern.
Täglich 200 Millionen Cyberangriffe in Deutschland
Einen kleinen Einblick in den Markt gehackter Daten jagte vermutlich dem ein oder anderen Zuhörer kalte Schauer über den Rücken. Hier standen z.B. Log-ins für Amazon-, Spotify-, Snapchat-, Instagram- oder Tinder-Accounts zum Verkauf, neben Zugängen zu Krankenkassen, Kliniken und Universitäten.
Etwa 200 Millionen Cyberangriffe innerhalb von 24 Stunden gibt es in Deutschland. Verabschieden Sie sich von dem Bild des langhaarigen Hackers, der in Muttis Keller sitzt und gezielt versucht, in Ihre Praxis einzudringen, so Stapels. Cyberangriffe sind in aller Regel Zufallstreffer. Zudem gibt es immer mehr Banden, die ihre Taten und Beute live veröffentlichen, teilweise in internen Chats, teils aber auch öffentlich.
Wenn Sie wissen möchten, ob Sie bereits gehackt wurden, ohne dass es Ihnen aufgefallen wäre, geben Sie einfach auf der Seite https://haveibeenpwned.com Ihre E-Mail-Adresse ein. Dann sehen Sie genau, auf welchen Internetseiten welche Ihrer persönlichen Daten (E-Mailadressen, Passwörter, Profile etc.) geklaut wurden. Im Darknet gibt es derzeit ca. 25,6 Milliarden Passwörter zu kaufen, für vergleichsweise wenig Geld. Für 1,1 Millionen Zugangsdaten – ungeprüft und nicht verifiziert – zahlt man heutzutage gerade mal 3 Dollar.
Diese Fragen sollten Sie in Ihrer Praxis klären:
- Ist sichergestellt, dass Patientendaten nur auf autorisierter Hardware genutzt werden können?
- Gibt es ausschließlich autorisierte Verfahren für die Verarbeitung von Patientendaten?
- Sind sämtliche mit dem Netzwerk verbundenen Geräte ausreichend geschützt (Firewall, Antivirensoftware, aktuelle Patches)?
- Werden regelmäßige verschlüsselte Datensicherungen angefertigt und auch extern gelagert?
- Existiert ein Notfallkonzept für den Fall eines Sicherheitsvorfalls?
- Wird eine Software eingesetzt, die Patientendaten verschlüsselt?
- Haben Sie Prozesse integriert, die eine DSGVO-konforme Löschung von Patientendaten ermöglichen?
- Haben Sie eine Sicherheitsrichtlinie erstellt und die Mitarbeitenden unterwiesen?
- Haben Sie in der Praxis die private Nutzung des Internets durch Ihre Mitarbeitenden geregelt?
Eine der besten Möglichkeiten für Hacker, Zugang zu Ihren Netzwerken zu erhalten, ist das Versenden von E-Mails, erklärte Stapels. Über KI lassen sich heutzutage richtig gut gemachte Mails erzeugen. Beim sogenannten Spoofing werden Mails von einer vorgetäuschten, dem Adressaten vermutlich vertrauten Mailadresse versendet. Hören Sie auf Ihr Bauchgefühl, mahnte Stapels. Wenn eine Mail reinkommt, die irgendwie seltsam klingt, sollten Sie sie im Zweifel löschen und nicht noch an Mitarbeitende zur Beurteilung weiterschicken, bis irgendjemand dann doch auf den Anhang klickt.
Immer mehr Betroffene fordern Schmerzensgeld
Ist es dann doch passiert, sind die Folgen häufig gravierend: Sind Patientendaten betroffen, können die Betroffenen inzwischen nicht nur entstandene finanzielle Schäden, sondern seit 2018 auch Schmerzensgeld einklagen, also auch immaterielle Schäden. Dazu gehört laut DSGVO der Verlust der Kontrolle über die eigenen Daten. Was die Schmerzensgeldforderungen angeht, haben wir im letzten Jahr eine Steigerung von 2.000 Prozent gehabt, so Stapels.
Im Fall des Falles könnte man sich glücklich schätzen, wenn man eine Cyberversicherung habe, hieß es beim Webinar.
Manio M. Petschmann, Fachberater für Cybersicherheit bei A.S.I., wies darauf hin, dass Cyberrisiken das Brandrisiko unserer Zeit seien. Bei einem Cyberangriff kämen mit rechtlicher Betreuung, IT-Kosten, Informationen aller Betroffener, Betriebsunterbrechung, Forderungen Dritter etc. leicht Summen in Millionenhöhe zustande. Bußgelder wegen DSGVO-Verstoß seien nicht versicherbar, fielen aber geringer aus, wenn man eine Versicherung vorweisen könne. Enthalten in einer solchen Versicherung ist auch eine 24/7-Hotline zum IT-Forensiker, der dann sofort zur Verfügung steht, sowie Mitarbeiterschulungen.