1 45 Table of Contents 47 132

Zahnärztliche Mitteilungen Nr. 04

zm 108, Nr. 4, 16.2.2018, (271) dezentral gelagerte, physische Back-ups sind noch immer die sicherste Variante. Ur- sprünglich dienten die physischen Back-ups auf Kassette dem „BDÜ“-Schutz – der Absi- cherung gegenüber Brand, Diebstahl und Überschwemmung. Dazu empfehlen sich tägliche Sicherungen auf unterschiedlichen Datenträgern – für jeden Arbeitstag einen. In der heutigen Zeit ist der Faktor Cyber nicht länger außer Acht zu lassen und sollte als vierter Bestandteil ergänzt werden. regelmäßige Sicherheits- und Programm- updates Aktuelle Betriebssysteme sind die zwingende Voraussetzung sicheren Arbeitens. Darüber hinaus muss jede Software regelmäßig aktualisiert werden. Programme, die Sicher- heitslücken aufweisen oder nicht zwangs- weise benötigt werden, sollten deinstalliert werden. Schulung der Mitarbeiter (Awareness) Das Bewusstsein der Mitarbeiter für die heikle Thematik personenbezogener Daten ist von immenser Bedeutung. Immer wieder kommt es durch Unwissenheit zu Verstößen. Datenschutzbeauftragte sind in Deutsch- land gemäß Art. 37 DSGVO i.V.m. § 38 BDSG (neu) zwar erst ab einer Mitarbeiter- anzahl von zehn Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, vorgesehen, aber auch für kleinere Praxen sehr sinnvoll. Lassen es die eigenen Kapazitäten nicht zu, sich intensiv Seit ungefähr 2,5 Jahren ist Krypto-Erpres- sung in Deutschland ein Thema – nicht nur für große Firmen, sondern auch für kleine- re Unternehmen wie Zahnarztpraxen. Das liegt auch daran, dass all unsere Geräte – Smartphones, Kreditkarten, MRT – mittler- weile miteinander vernetzt sind. Diese kriminelle Szene tut nichts anderes, als mit gekaperten Daten Geld zu erpres- sen. Das BKA verzeichnet eine kontinuierli- che Steigerung im Bereich Cybercrime. Die Dunkelziffer ist hoch, aber Experten gehen davon aus, dass der weltweite Um- satz in diesem Markt höher ist als im Dro- genhandel. Ungefähr 70 Prozent der Schadsoftware – Stand Mitte 2017 – dient der Datenverschlüsselung. Daten, das sind Unternehmensdaten, Patientendaten, aber auch Urlaubsfotos. Dabei wird nicht wie früher ein Gebiet abgegrast, sondern flächendeckend attackiert. Das Raffinierteste derzeit? Zielgerichtete Bewerbungen. Dabei suchen die Hacker bei der Arbeitsagentur nach offenen Jobs und schicken der Firma daraufhin eine Bewerbung auf die real ausgeschriebene Stelle. Im Anhang befinden sich Zeugnisse in einer Excel-Datei, die im Hintergrund schadhafte Makros enthält. Im schlimmsten Fall wird der Rechner der Personalabteilung verschlüsselt. Die Frage, wer welche Anhän- ge öffnen darf, sollte daher auch in der Zahnarztpraxis beantwortet werden. Viele Attacken laufen über extern erreich- bare Dienste wie zum Beispiel den VPN- Tunnel, der in der Zahnarztpraxis klassi- scherweise für externe Abrechnungskräfte eingerichtet wird. Ist ein VPN-Zugang nicht über Zertifikate oder andere Metho- den, sondern lediglich durch Be- nutzernamen oder Kennwort gesichert, dann sind diese Zu- gänge gefährdet. In den häufigsten Fällen finden die Verbrecher das Kennwort über automatische Scans heraus, die ihnen den Weg zu einem offenen VPN- Zugang weisen. Diese sogenannten Brut- Force-Angriffe verschicken tausende An- fragen mit zig Benutzername-Passwort- Kombinationen. Wer keine automatische Sperre nach dreimaliger Falscheingabe eingerichtet hat, eröffnet dem Angreifer somit unendlich viele Möglichkeiten, so lange herumzuprobieren, bis er das Sys- tem geknackt hat. Man muss sich den Vor- gang als automatisierten Prozess vorstel- len: Wie ein Wörterbuch geht das Pro- gramm eine Liste mit Millionen von Kom- binationen durch. Das heißt, es handelt sich nicht um zielgerichtete Attacken, son- dern umMassenangriffe. In 95 Prozent der Fälle ist auch die Zahnarztpraxis Opfer eines solchen Massenangriffs. Zielgerichtete Attacken – Datenspionage – richten sich indessen eher gegen große Unternehmen oder politische Strukturen wie den Bundestag. Hacking ist heute ein Service: Im Regelfall bieten Hacker im Dar- knet die Schadsoftware plus gestohlene E-Mail-Adressen im Paket an. Der Angrei- fer muss also gar kein spezielles Know-how mehr haben. Erfahrungsgemäß wird man mit einem Pop-up-Fenster darauf hingewiesen, dass man angegriffen wurde („Wir haben Ihre Daten verschlüsselt. Überweisen Sie xx Bit- coins auf folgendes Bitcoin-Konto!“). Die alten Karteikarten sind hin- terher oft der einzige Weg, um auch ohne Zugriffsmöglich- keit auf die digitalen Daten der Informationspflicht nachzu- kommen und Patienten und betroffene Dritte über den Dieb- stahl zu benachrichtigen. Doch wie kann der Praxischef präventiv tätig werden? Hier sollte der Fokus immer auf dem Betriebssystem beziehungsweise dem Rechner liegen. Die Zahnarztsoftware läuft ja nur auf einem Computer. Sie ist ein Programm. Da die meisten flächendecken- den Angriffe sich aber nicht direkt gegen die PVS wenden, sondern – wie etwa bei Kryptotrojanern – darauf abzielen, alles zu verschlüsseln, sollte man in erster Linie das Betriebssystem selbst schützen – über Up- dates, der Trennung vom Internet, einem Installations- und Ausführungsverbot bestimmter Programme (Wird Office – denken Sie an die Makros! – in der Praxis wirklich auf jedem Computer benötigt?) und Dokumente. Ein zweiter Faktor – wie ein Zahlencode oder ein Zertifikat – erhöht zudem im Ver- gleich zur einfachen Authentifizierung mit Benutzername und Kennwort die Sicher- heit und schützt doppelt vor einem Angriff auf einen VPN-Dienst. Am Ende sollten Sie sich immer vor Augen führen: Verantwortlich für die Absicherung des IT-Systems und damit haftbar ist der Betreiber, also der Praxisbesitzer– und das sind Sie! Tobias Thiede IT-Sicherheitsbeauftragter bei der BFS health finance in Dortmund Hacking as a service IT-Sicherheitsbeauftragter Tobias Thiede Foto: privat 46 Cybercrime

RkJQdWJsaXNoZXIy MjMxMzg=