Schutz vor Cyberangriffen

Wer gezielt die Medien durchforstet, erkennt schnell: Cyberangriffe gehören inzwischen zum Alltag. War ein Angriff erfolgreich, kann der wirtschaftliche Schaden nach einem schwerwiegenden Ausfall der Betriebssysteme für das betroffene und mit ihm verknüpfte Unternehmen erheblich sein. Produktionsprozesse können existenzgefährdend bedroht sein.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert in seinem »Bericht zur Lage der IT-Sicherheit in Deutschland 2021«, dass die Bedrohungslage »angespannt bis kritisch« ist. Eine erfolgreiche Digitalisierung sei aufgrund der zunehmenden Vernetzung, vieler gravierender Schwachstellen in Produkten sowie der Weiterentwicklung und Professionalisierung von Angriffsmethoden zunehmend gefährdet.

Ein Beispiel für die Gefahr aus der Cyberwelt ist der Ransomware-Angriff: Kriminelle verschlüsseln Dateien in einem Netzwerk mit einem Schadprogramm und machen das Netzwerk dadurch unbenutzbar. Anschließend erpressen sie ein Lösegeld (englisch: ransom). Inzwischen drohen die Kriminellen auch häufiger damit, zuvor gestohlene Daten zu veröffentlichen. Mit dieser Schweigegelderpressung erhöhen sie den Druck auf die Betroffenen. Auch DDoS-(Distributed Denial of Service) Angriffe haben zugenommen. Mit diesen erpressen die Cyberkriminellen digital Schutzgeld.

Als Konsequenz aus dieser Bedrohungslage fordert das BSI, mehr für die Informationssicherheit zu tun. Die IT-Sicherheit muss quasi als Voraussetzung der Digitalisierung begriffen werden und die gesamte Lieferkette umfassen.

Der Branchenreport »Cyberrisiken bei Ärzten und Apotheken« des GDV (Gesamtverband der Deutschen Versicherungswirtschaft) aus dem Jahr 2018 verweist auf Berichte der lokalen Presse, wonach einzelne Apotheken nach Cyberangriffen zeitweise schließen mussten. Der GDV selbst hatte für den Report eine repräsentative Befragung beauftragt. Dabei wurden unter anderem die für die Internetsicherheit zuständigen Mitarbeiter von 100 Apotheken im Sommer 2018 befragt.

Ein zentrales Ergebnis dieser Befragung war, dass »so gut wie jede Apotheke in Deutschland ihre Arbeit nach einem erfolgreichen Cyberangriff einstellen oder stark einschränken« müsste. Zwar glaubten nur wenige Apotheker, sie könnten nach einem IT-Ausfall ohne Einschränkungen einfach weiterarbeiten. Fast die Hälfte der Befragten meinte, das allgemeine Risiko von Apotheken sei eher hoch beziehungsweise sehr hoch, Opfer eines Cyberangriffs zu werden. Allerdings sorgten sich die Befragten nur wenig, selbst Opfer von Cyberkriminalität zu werden.

Sebastian Labinski ist Leiter Cyber Defense Center der Gematik in Berlin. Ursprünglich wurde die Gesellschaft für Telematikanwendungen der Gesundheitskarte, kurz Gematik, 2005 von den Spitzenorganisationen des deutschen Gesundheitswesens gegründet. Die Gematik entwickelt und betreibt im gesetzlichen Auftrag die Telematikinfrastruktur (TI) sowie die damit verbundenen Dienste und Anwendungen, darunter zum Beispiel die elektronische Gesundheitskarte und das E-Rezept.

Gegenüber PTA-Forum sagt der IT-Sicherheitsexperte, dass eine einzelne Apotheke für Cyberkriminelle finanziell vermutlich nicht so attraktiv sei wie etwa eine große Elektronikwarenkette. Dennoch sei mit zunehmender Digitalisierung des Apothekenalltags auch für die Apotheken die »Lage angespannt«. Je stärker Prozesse mit externen Partnern digitalisiert werden, desto größer sei die Gefahr.

Einfallstore für Angriffe sind laut Labinski schlecht abgesicherte Internetzugänge. Sie ermöglichen einen leichten Angriff auf lokale Netzwerke. Auch digitale Verbindungen, über die die Apotheke mit anderen Dienstleistern, etwa IT-Dienstleistern oder das Warenwirtschaftssystem (MSV3-Schnittstelle) kommunizieren, seien potenziell gefährdet.

Kriminelle gehen seiner Erfahrung nach schrittweise vor. Für sie zähle minimaler Aufwand für maximale Beute, und sie greifen also dort an, wo sie ein leichtes Spiel haben. Labinski zieht als Vergleich das analoge Leben heran, wo der Einbrecher eher durch eine angekippte Terrassentür steige, anstatt in ein Haus mit Alarmanlage und geschlossenen Fenstern einzubrechen.

Der beste Schutz vor einem Cyberangriff sei, sich zunächst das Problem bewusst zu machen und dann entsprechend vorzubeugen. Dazu gehören verschiedene Maßnahmen, die von einem nach § 75B Absatz 5 SGB V Informationssicherheit/IT-Security zertifizierten Dienstleister durchgeführt werden können. Aber auch die Apothekenmitarbeiter können aktiv mitwirken. Das Wichtigste ist dabei die stete, konsequente Umsetzung.

Eine simple, aber effektive Maßnahme, die in der Offizin eigenständig durchgeführt werden kann, ist der Aufbau einer transparenten und vertrauensvollen Fehlerkultur im Team. Hierdurch lässt sich wichtige Präventionsarbeit leisten und potenzieller Schaden begrenzen. Es ist daher wichtig, dass Fehler wie etwa versehentliche und unbedachte Klicks auf E-Mails sofort eingestanden werden, damit sich etwa ein Schadprogramm nicht weiterverbreiten kann.

Das Risikobewusstsein beim Apothekenteam kann durch Aufklärung und Schulungen geschärft werden. Während einer solchen Schulung lernt die PTA Sicherheitsvorkehrungen und mögliche Bedrohungsszenarien samt einer angemessenen Reaktion darauf kennen. Dadurch kann das Apothekenteam im Ernstfall den Angriff möglichst souverän abwehren beziehungsweise den Schaden nach einem Angriff möglichst klein halten.

Im Apothekenalltag gilt es, die gelernten Maßnahmen und die von einem IT-Fachmann implementierte Technik konsequent umzusetzen und anzuwenden und auf dem aktuellen Stand der Technik zu halten. Die PTA kann etwa mit darauf achten, dass der relevante Virenschutz immer up to date ist und für Browser und Betriebssysteme bereitgestellte Sicherheits-Updates auch zeitnah eingespielt werden. Das reduziert Softwareschwachstellen und die Wahrscheinlichkeit eines Vireneinfalls.

Wichtig ist auch eine regelmäßige Datensicherung (Back-up). Sie sollte mindestens vom Vortag sein, ein automatisierter Zeitplan kann helfen. Nur so kann der Apothekenbetrieb nach einem erfolgreichen Angriff schnell wieder vom IT-Dienstleister hergestellt werden. Dabei gilt zu beachten, dass das System zur Datensicherung offline gehalten wird, also nicht permanent am Netzwerk angeschlossen sein darf. Dies ist wichtig, damit im Falle eines Angriffs mit einem Verschlüsselungstrojaner nicht auch das Back-up verschlüsselt wird.

Möglichkeiten für eine solche Sicherung sind USB-Stick, externe Festplatte, gebrannte DVD, eine Bandsicherung oder eine Cloud (bei letzterer sollte man sich allerdings beraten lassen, um den gesetzlichen Anforderungen gerecht zu werden). Kritische Daten sollten auf mindestens zwei unterschiedlichen Speichermedien liegen, von denen sich eines außerhalb der Offizin befindet. Wichtig: Die Datensicherung muss verschlüsselt sein, damit Dritte im Falle eines Diebstahles oder beim Verlust des USB-Sticks keinen Zugriff auf sensible Daten haben.

Im Umgang mit Kunden und möglichen Dienstleistern rät Labinski zu einem »kunden- und serviceorientierten Verhalten, kombiniert mit einer Portion gesunden Misstrauens und einer Wachsamkeit für virale Betrugsfälle«. Konkret bedeutet das, etwa nicht vorbehaltlos auf E-Mails samt Anhängen und Links zu klicken, sondern sich zunächst zu fragen: Kann es richtig sein oder klingt die Anfrage nicht plausibel?

Beim Phishing versucht der Kriminelle, sich über gefälschte Websiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben. Betrugsziel kann sein, an persönliche Daten des Internetbenutzers zu gelangen oder ihn zur Ausführung einer für ihn schädlichen Aktion zu bewegen. Tappt der Nutzer in die Falle, begeht der Kriminelle etwa eine Kontoplünderung, einen Identitätsdiebstahl oder installiert eine Schadsoftware. Kennzeichnend ist, dass dabei die Gutgläubigkeit und Hilfsbereitschaft des Opfers ausgenutzt werden.

Für Phishing-Mails sind meist drei Merkmale charakteristisch: eine falsche E-Mail-Adresse, Zeitdruck und Aufforderung zur kurzfristigen Handlung. Etwa: »Dies ist die dritte Mahnung. Sie müssen schnell reagieren, sonst passiert etwas.« Solche E-Mails sollten nicht geöffnet, sondern direkt gelöscht werden.

»In die Prävention zu investieren, ist grundsätzlich billiger, als möglicherweise später den Schaden nach einem erfolgreichen Angriff beseitigen zu müssen«, weiß Labinski. Jeder müsse sich bewusst machen, dass wir erst am Anfang der Digitalisierung stünden. Die Gefahr von Cyberattacken nehme zu, nicht ab.

Es gibt auch Stimmen aus dem Apothekenumfeld, die die Digitalisierung sehr kritisch sehen. Einen Weg zurück sieht Labinski jedoch nicht. Dafür seien die Apotheken schon zu lange Teil der digitalisierten Welt, bezögen etwa Updates ihrer Betriebssysteme über das Internet und kommunizierten mit Partnern aus dem Gesundheitswesen über das Internet. Die digitale Welt sei effizienter als die analoge.

»Auch die Apotheke muss sich wohl an die Gefahr eines Cyberangriffes gewöhnen und Gegenmaßnahmen ergreifen. So wie sie Medikamente in einem abgeschlossenen Schrank sicher bewahrt, braucht sie für die IT-Sicherheit statt physischer Barrieren digitale«, sagt der Experte. Mit den richtigen Sicherheitsmaßnahmen könne man das Risiko aber stark minimieren. Das BSI etwa stellt Unternehmen Checklisten zum IT-Grundschutz auf seiner Website zur Verfügung.

»Zur Prävention gehört auch, sich Gedanken über den Notfall zu machen«, sagt Labinski. Das bedeute etwa, Krisenreaktionspläne zu erstellen und zu üben, damit klar ist, welche Maßnahmen im Ernstfall sofort umgesetzt werden müssen. Das BSI bietet eine IT-Notfallkarte zum Verhalten bei IT-Notfällen. Sie kann in der Offizin aufgehängt werden. Auf der Internetseite des BSI gibt es zudem einen Maßnahmenkatalog zum Notfallmanagement mit Fokus auf IT-Notfälle sowie Top-12-Maßnahmen bei Cyberangriffen.

»Wer Opfer eines Cyberangriffes geworden ist, sollte auf keinen Fall allein agieren und nicht allein mit den Erpressern in Kontakt treten«, mahnt Labinski. Anstatt das Betriebssystem wie versprochen wieder zu entschlüsseln, nachdem das Opfer das Lösegeld bezahlt habe, nähmen sich die Kriminellen teilweise das Geld per Bitcoin und verschwänden. Anlaufstellen für Opfer sind das Landes- oder Bundeskriminalamt oder spezialisierte IT-Dienstleister.