1 35 Table of Contents 37 132

Zahnärztliche Mitteilungen Nr. 04

zm 108, Nr. 4, 16.2.2018, (261) Herr Henrici, Ransomware-Angriffe legen momentan viele Unternehmen – auch Zahnarztpraxen – lahm. Mit- hilfe dieser Erpressungstrojaner ver- schlüsseln Hacker den gesamten Datenbestand im Praxisnetzwerk und geben ihn erst gegen eine Lösegeld- zahlung wieder frei. Wie wurden Sie mit diesem Thema konfrontiert? Christian Henrici: Der hier beschriebene Fall eines Zahnarztes war der erste, der mir in diesemMaße so konkret bekannt wurde und mich dazu veranlasste, mich intensiver mit dem Thema Datenschutz und -sicherheit und der sich daraus ergebenen Kriminalisie- rung zu beschäftigen. Bislang war auch für mich „Sicherheit“ ein Thema, das ich in fach- kundigen Händen zu wissen glaubte und von dem ich dachte, mich damit nicht tieferge- hend auseinandersetzen zu müssen. Ich wur- de eines Besseren belehrt. Was ist passiert? Im vierten Quartal vergangenen Jahres er- fuhr ich von zahlreichen Fällen, in denen Zahnarzt- und Arztpraxen Opfer von Cyber- crime, Datenklau und Daten-Kidnapping wurden. So unterschiedlich die Praxen auch sein mögen – eines haben sie gemeinsam: die Scheu, über ihre Fälle zu sprechen. Scheu? Weshalb? Ausschlaggebend sind meines Erachtens zwei Gründe: erstens die Angst vor einem Revancheakt der Täter. Zweitens die Angst, öffentlich vom Opfer zum Täter gemacht zu werden, weil der Praxisinhaber für die Datenerfassung, -haltung und -sicherheit verantwortlich ist. Insbesondere dafür, dass mit diesen Daten vernünftig und sorgsam umgegangen wird und dass er alles in seiner Macht Stehende tut, um diese Daten zu schützen. Sollten dennoch Daten gekapert werden, besteht aufseiten des Praxisinhabers eine Fürsorgepflicht, die unrechtmäßige Kenntniserlangung von Daten durch Dritte unverzüglich der Aufsichtsbehörde sowie den Patienten und Kunden zu melden. Zu welchem Zeitpunkt muss der Praxisinhaber die Betroffenen denn informieren? Die Benachrichtigung muss erfolgen, sobald angemessene Maßnahmen zur Datensiche- rung ergriffen worden oder nicht unverzüg- lich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird (vgl. § 42a BDSG). „Unverzüglich“ ist zwar ein dehn- barer Begriff, verdeutlicht aber die Ernsthaf- tigkeit, die dem Thema von behördlicher Seite gewidmet wird. Vor diesem Hintergrund bin ich sehr dank- bar, dass Dr. Michael Kann, ein Zahnarzt mit ausgeprägter IT-Affinität, sich stellver- tretend für viele Kollegen bereit erklärt hat, mit mir über das Thema zu reden. Das Fazit seiner bisherigen Erfahrungen mündet in einem klaren Appell an alle Praxisinhaber: Um die Praxis-, Patienten- und auch Mitarbeiterdaten zu sichern und sich vor hohen Kosten durch Arbeitsausfälle und/oder Lösegeldzahlungen zu schützen, sollte sich jede Praxis rechtzeitig mit den notwendigen Maßnahmen des Datenschut- zes und der Datensicherheit auseinander- setzen. Das heißt im Klartext? Im Klartext heißt das: Sind zum Beispiel nach einem Krypto-Ransomware Angriff die Praxisdaten nicht mehr im Zugriff, ist die Praxis hilflos. Behördenseitig kann nur selten eine rasche Wiederherstellung erreicht wer- den, dann nämlich, wenn die Verschlüsse- lungssoftware dort bekannt ist. Die Kosten, das „Problem“ zu lösen, sprengen jede Vor- stellungskraft und dadurch, dass es weder einen Zugriff auf elektronische Terminver- waltung noch auf die Patientendaten, ge- schweige denn auf die Abrechnungsdaten gibt, ist eine Weiterführung des Behand- lungsalltags unmöglich. Dazu muss man sich nur mal vor Augen führen, wie man seine Patienten benachrichtigen will, wenn die Patientendaten gekapert sind. ? ? ? ? ? Digitale Erpressung – eine reale Gefahr für die Praxis? „Bei all meinen Beratungsmandaten habe ich nirgends eine dramatischere Bedrohung der wirtschaftlichen Existenz gesehen“. So machte uns zm-Kolumnist Christian Henrici auf reale Fälle aufmerksam, die man üblicherweise nicht in der Welt der Zahnarztpraxen vermuten würde: Erpressung via Krypto-Ransomware, die die Praxissoftware verschlüsselt und die Daten dem Zugriff entzieht. Dass es sich bei Cybercrime nicht nur um eine theoretische Gefahr handelt, soll diese Titel- geschichte deutlich machen. 36 Cybercrime

RkJQdWJsaXNoZXIy MjMxMzg=