- Von Redaktion
- 06.08.2021 um 15:56
Geht es um Cyber-Angriffe, winken viele Apotheker und Ärztinnen ab. „Wer will schon meine kleine Apotheke hacken?“ Oder: „Was können Hacker von meiner Praxis wollen?“, lauten weitverbreitete Fragen, die meist auch umstandslos mit „niemand“ und „nichts“ beantwortet werden. Und ja, diese Sicht ist nicht ganz falsch. Fast kein IT-Krimineller will gezielt in eine ganz bestimmte Apotheke oder Arztpraxis virtuell „einsteigen“. Und doch führt diese Sichtweise Apotheken und Praxen direkt in die Cyber-Hölle.
Dass Praxen oder Apotheken aus dem Internet gezielt attackiert werden, ist die Ausnahme. Eine davon ereignete sich im September 2016, als eine Apotheke in der Münchner Innenstadt während der Wiesn-Zeit gehackt wurde. Der Täter manipulierte Monitore im Schaufensterbereich derart, dass sie einen pornografischen Film zeigten. Was vermutlich als Spaß gemeint war und auch etliche Passanten amüsierte, führte unter anderem zu Schäden an der IT-Infrastruktur der Apotheke. Die übrigens durch den Angriff bundesweit bekannt wurde – als „Porno-Apotheke“. Eine Art von PR, auf die die meisten Apotheker wohl verzichten können.
So geht wirksamer Einbruchschutz für Apotheken und Arztpraxen
Unzureichende Absicherung als Türöffner-Themen nutzen
Wie die Kammerversorgung zum besten Akquise-Argument wird
Doch das sind, wie bereits erwähnt, Ausnahmefälle. Die seit Jahren stetig wachsende Gefahr für Gesundheitsdienstleister sieht anders aus. Sie geht vor allem von „Supply-Chain-Angriffen“ aus und verursacht brandgefährliche Domino-Effekte. Worum geht es? Kurz gesagt: Kriminelle machen sich eine einzige Schwachstelle zunutze, um tausende, wenn nicht hunderttausende von Computern weltweit zu infiltrieren. Angriffe werden beispielsweise gezielt auf Software-Anbieter und andere IT-Dienstleister oder eben auch auf Datensammelstellen wie Ärztliche Abrechnungsstellen, Apotheken-Rezeptabrechner oder auch Krankenkassen ausgeführt, um deren Kunden zu infizieren.
Damit dringen Hacker sozusagen über die „Hintertür“ in die Apothekensoftware oder Praxisverwaltungsprogramme ein und kommen von dort an die begehrten Gesundheitsdaten. Denn damit lässt sich im Darknet oder als Angebot an Produktanbieter sehr viel Geld machen. Besonders begehrt sind deshalb Daten schwer Erkrankter, die dann zum Beispiel mit dubiosen Heilungsversprechen um das Ersparte gebracht werden sollen. Oder körper- und leistungsbewusste Menschen, die tendenziell affin sind für Nahrungsergänzungsangebote und ähnliche „Wundermittel“.
Zur Orientierung: Experten gehen davon aus, dass ein einziger Datensatz eines Krebspatienten im Darknet rund 800 Dollar (= 0,0208 Bitcoins) und eine „Body-Adresse“ immerhin knapp die Hälfte davon wert ist.
Die Gefahr hat einen Namen: Der Domino-Hack
Das Dramatsisch der aufziehenden Cyber-Gefahr für Gesundheitsdienstleister ist eben nicht die Tatsache, dass sie mit vielen sensiblen Daten arbeiten, sondern dass so gut wie alle Praxen und Apotheken diese Daten in immer gleicher Form mit externen Dienstleistern teilen. Und das nicht nur für den Abrechnungsprozess, sondern auch zur Preisermittlung in Apotheken, mit medizinischen Laboren, Sanitätsfachhäusern oder radiologischen und sonstigen spezialisierten Dienstleistern.
Dadurch – und das ist die Haupt-Gefahr, die Vermittler adressieren sollten – ist jeder Gesundheitsdienstleister fest in einer Datenverarbeitungskette eingebunden, die einen Hack nach Domino-Manier wie die Kaseya-Attacke (siehe nächste Seite für weitere Informationen) auch auf Gesundheitsdaten zum wahrscheinlichsten Szenario werden lässt, was diese Gegenüberstellung verdeutlicht (Quelle: Die ApothekerHelfer).
Das Ergebnis eines solchen Hacks ist dann jedoch ein realer Datenverlust an der Datenbasis, eben bei den Praxen und Apotheken. Den diese sind für die Datensicherheit ihren Patienten oder Kunden verantwortlich. Wirklich groß ist also die Gefahr, als Opfer eines Domino-Hacks gegen die Datenschutz-Grundverordnung verstoßen zu haben. Und das kann seit Einführung der DSGVO schlimmstenfalls als Straftat bewertet werden. Dazu später mehr.
0 Kommentare
- anmelden
- registrieren
kommentieren