1 91 Table of Contents 93 132

Zahnärztliche Mitteilungen Nr. 10

zm 109, Nr. 10, 16.5.2019, (1154) \ Angriff Die (Zahn-)Arztpraxis erhält per Mail einen Erpresserbrief. Die Kriminellen behaupten, im Besitz aller Patientendaten zu sein. Als Beleg senden sie kompromittierende Daten über fünf Patienten, die tatsächlich in der betroffenen Praxis in Behandlung waren. Sie drohen damit, die Daten zu veröffentlichen, wenn der Arzt nicht bereit ist, ein hohes Lösegeld zu zahlen. \ Informationen an Patienten und Behörden Nach Rücksprache mit Polizei und Staats- anwaltschaft zahlt der Arzt kein Lösegeld. Er muss aber die Datenschutzbehörden und seine Patienten über den Verlust der sensiblen Daten informieren. Um sicher zu gehen, dass er seinen Pflichten in vollem Umfang nachkommt, holt er sich Hilfe bei einem Rechtsanwalt. Die Patienten sind nach der Information verunsichert und haben intensiven Gesprächsbedarf. Das deckt eine Cyber-Versicherung: Der GDV rechnet hier mit Informationskosten von 4.000 Euro und Anwaltskosten von 2.000 Euro. \ Security-Initiative IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zugriff zu den Daten erlaubte. Zwei Musterszenarien zeigen So teuer ist eine Cyberattacke! Den meisten niedergelassenen Ärzte und Apotheker wissen, dass funktionierende Computersysteme für ihre Arbeit wichtig sind. Doch das Risiko, selbst Opfer eines Cyberangriffs zu werden, blenden viele aus – zum Glück trifft es immer nur die anderen. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat in zwei Musterszenarien dargestellt, wie eine Cyberattacke verlaufen kann – und welche Summe eine Cyber-Versicherung decken würde. Musterszenario Datenklau: Hacker attackieren die IT-Sys- teme einer (Zahn-)Arztpraxis. Sie kopieren die Patienten- daten und versprechen, gegen die Zahlung von Lösegeld auf eine Veröffentlichung der Daten zu verzichten. 1. Passwörter/Zugänge \ sehr einfach zu erratende Passwörter (Be- handlung, Praxis, Name des Arztes) \ Mehrere Benutzer teilen sich dieselbe Zugangskennung. \ Alle Benutzer haben Administratoren- rechte. \ Es wird nicht geprüft, ob alte Administra- torenrechte noch bestehen. 2. Arglose Mitarbeiter \ Mitarbeiter klicken auf den in der E-Mail enthaltenen Link und laden das anhängende Word-Dokument herunter. \ Im schlimmsten Fall wird sogar das Schadprogramm ausgeführt. 3. Nicht ausreichende Datensicherungen \ Viele Praxen erstellen mindestens wöchentlich eine Datensicherung, ver- schlüsseln diese aber nicht. \ Wenige Praxen testen, ob sich die Daten auch wiederherstellen lassen. 4. Fehlende Sicherheits-Updates \ Viele Praxen haben keine aktuellen Sicherheits-Updates ihrer IT-Systeme. 5. Keine Vorbereitung auf den Notfall \ Die wenigsten Praxen verfügen über ein schriftliches Notfallkonzept für den Fall eines IT-Ausfalls, viele verlassen sich auf ihren IT-Dienstleister; nur wenige haben allerdings einen entsprechenden Vertrag mit einem Dritten. Quelle: GDW Die fünf größten Risikofaktoren Foto: AdobeStock - pinkeyes 1. 92 Praxis

RkJQdWJsaXNoZXIy MjMxMzg=