Zahnärztliche Mitteilungen Nr. 03

zm 109, Nr. 3, 1.2.2019, (211) len zu werden, erreichen die Behörde nach eigenen Angaben wöchentlich Meldungen über derartige Vorfälle: Schadsoftware breitet sich automatisiert aus und greift jedes System an, das nicht ausreichend geschützt ist. Der Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet wenig Anlass zur Entwarnung: „Es gibt nach wie vor eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen, was hohe Aufmerksam- keit und Flexibilität zur Gewährleistung der Informationssicherheit erfordert.“ Insbesondere Verschlüsselungstrojaner und die entsprechenden Maßnahmen zur Präven- tion stehen im Fokus der bayrischen Daten- schützer. Diese sogenannte Ransomware verwehrt den Zugriff auf einen Rechner oder schränkt ihn ein. In einer Textnachricht wird dem Opfer versprochen, bei Zahlung eines Lösegelds (Ransom = Lösegeld) die Ressourcen wieder freizugeben. Ist ein Rechner infiziert, kann sich die Schadsoftware zudem leicht im gesamten Netzwerk ausbreiten. Betroffen sind oft Ärzte und kleinere Betriebe, die sich der Gefährdungslage nicht bewusst sind oder über nur unzureichende Sicherheits- maßnahmen verfügen. Eigene Schwachstellen identifizieren Abgesehen von der erhöhten Brisanz der Daten im Gesundheitssektor ist der wirtschaft- liche Aspekt zu beachten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) taxiert den Schaden durch Ransomware auf weltweit mehr als 8 Milliarden Dollar für das Jahr 2017. In der deutschen Wirtschaft hat allein das Programm „Petya“ beziehungsweise „NotPetya“ im selben Zeitraum Schäden in Millionenhöhe angerichtet. Was dabei zu Buche schlägt, sind gar nicht so sehr die Lösegeld- summen. Betroffenen wird in der Regel ohne- hin von einer Zahlung abgeraten, da keine Garantie für die tatsächliche Freigabe der Daten besteht. Nur in wenigen Fällen kann eine Wiederherstellung der Daten mühelos erfolgen, meist müssen teure Entschlüsselungs- Tools und -Spezialisten genutzt werden. Infizierte Unternehmen haben in der Regel große Probleme, wieder zu einem geregelten Arbeitsalltag zurückzukehren. Zudem gehört eine Verschlüsselung von Daten durch einen Trojaner zu den meldepflichtigen Vorfällen, die damit eine Praxis ohne Not ins Blickfeld der Aufsichtsbehörden rücken. Das BayLDA überprüft derzeit stichprobenartig in Bayern, wie gut Praxen gegen solche Kryptotrojaner aufgestellt sind. Dabei gibt es grundsätzlich zwei Blickwinkel auf die Problematik: zum einen die Frage, wie sehr sich der mögliche Schaden für den Fall begrenzen lässt, dass das eigene System infiziert wird. Zum anderen ist natürlich zuerst darauf zu schauen, wie man sich von vornherein wappnen kann. Da Nutzer häufig die größte Schwachstelle bei etwaigen Angriffen sind, sind Sensibili- sierungs- und Schulungsmaßnahmen der Mitarbeiter wichtig. Wenn sich Nutzer der bestehenden Gefahren bewusst sind, kann vieles verhindert werden. Ein großes Risiko besteht beispielsweise beim Klicken auf Links in einer E-Mail oder beim Öffnen von Datei- anhängen, wenn die Herkunft der E-Mail nicht hundertprozentig vertrauenswürdig ist. Der Schutz von Systemen durch Virenscanner ist mittlerweile weithin etabliert. Bei der Aus- wahl ist es jedoch entscheidend, eine für den jeweiligen Zweck geeignete Software in einer aktuellen Version einzusetzen. Nur wenn die Datenbank des Virenscanners aktuell gehalten wird, besteht der bestmögliche Schutz vor bekannter Schadsoftware. Die Schwachstellen eines Systems sind stets seine Verbindungen zur Außenwelt. Sobald ein Praxisverwaltungs- system an das Internet angeschlossen ist, wird es anfällig für Angriffe. Daher sollte es so iso- liert wie möglich im Netzwerk eingebunden werden. Wenn die Netzlaufwerke mit Rech- nern verbunden sind, die ans Internet ange- schlossen sind, erhöht sich die Gefahr, dass auch die Daten auf diesen Netzlaufwerken verschlüsselt werden. Eine strikte Trennung auf Netzwerkebene von (Recherche-)Rechnern und Praxisverwaltungssystem verringert daher das Risiko, dass auch Patientendaten durch Ransomware verschlüsselt werden. Vorbereitet sein auf den Ernstfall Gänzlich auszuschließen ist das Risiko jedoch nie. Deshalb sollte jede Praxis darauf vorbe- reitet sein, dass Daten allen Vorkehrungen zum Trotz durch Ransomware verschlüsselt werden. Das Naheliegende ist, sich gar nicht erst erpressbar zu machen – indem man über das, was durch eine Lösegeldzahlung zurück- gekauft werden soll, weiterhin verfügt. Daher sind regelmäßige Back-ups essenziell, um die ständige Verfügbarkeit von Patienten- daten sicherzustellen. Im Fall der Verschlüsse- lung durch Schadsoftware können die Daten so schnell wiederhergestellt und somit die Beeinträchtigungen für Betroffene erheblich reduziert werden. Mithilfe eine geeigneten Software kann man die Erstellung von Back- ups erleichtern und automatisieren. Zudem hilft diese im Fall eines Datenverlusts bei der Wiederherstellung der Daten. Wichtig bei der Auswahl der Speichermedien ist, dass die erstellten Back-ups getrennt von den entsprechenden Rechnern liegen. Nur dann ist sichergestellt, dass nicht auch die Sicherungsdateien verschlüsselt und somit unbrauchbar werden. Überdies muss durch ein regelmäßiges Testen der Back-ups sicher- gestellt werden, dass im Fall eines Daten- verlusts auch alle Daten wiederhergestellt werden können. So werden Fehler bei der Erstellung der Back-ups schnell erkannt und können sofort behoben werden. Aber auch Updates für Betriebssysteme und Anwen- dungen sollten regelmäßig und zeitnah ein- gespielt werden. Markus Hüntelmann Jurist, Datenschutzbeauftragter und Consultant aus Köln \ Die Fragen des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) zum Daten- schutz finden Sie unter: https://www.lda . bayern.de/media/pruefungen/201810_ ransomware_fragebogen.pdf \ Weitere Hinweise zum Thema liefert der Datenschutzleitfaden von Bundeszahnärzte- kammer und Kassenzahnärztlicher Bundes- vereinigung: https://www.bzaek.de/file admin/PDFs/za/datenschutzleitfaden.pdf oder: file:///C:/Users/SFB13~1.GRA/App- Data/Local/Temp/datenschutzleitfaden_ bzaek_kzbv_2018.pdf Tipps zum Datenschutz 85