Real Talk mit Ivano Somaini

«Hacker veröffentlichen erneut sensible Schweizer Gesundheitsdaten», «Tausende Schweizer Gesundheitsdaten landen nach Hackerangriff im Darknet», «Hacker attackieren Arztpraxis und veröffentlichen Patientendaten». Solche Schlagzeilen begegnen uns häufig. Denn Arztpraxen – auch die von Zahnärzt:innen – sind ein beliebtes Ziel von Cyberangriffen.

Höchste Zeit, sich mit dem Thema zu befassen. Wir sprachen mit Ivano Somaini, Experte für IT-Sicherheit bei Compass Security in Zürich. Er erklärt uns, welchen Risiken Praxen tatsächlich ausgesetzt sind, wie man sich am besten schützt und was es im Ernstfall zu tun gilt.

Ivano, mit welchen digitalen Risiken sind Zahnarztpraxen gemäss deiner Erfahrung am häufigsten konfrontiert?

Das grösste digitale Risiko für Zahnärzt:innen ist der Verlust der Patientendaten. Das sind sensible Daten; von Personalien über Angaben zum Arbeitgeber bis zur Nennung von Versicherungsnummern. Werden diese geklaut oder verschlüsselt, bringt das die Praxisverantwortlichen in eine heikle Lage.

Inwiefern? Was machen die Angreifer:innen mit den Daten?

Früher haben Cyberkriminelle darauf abgezielt, Daten zu verschlüsseln und für die Freigabe Lösegeld zu fordern. Heute sichern viele Praxen ihre Daten zusätzlich über ein Backup.

Deshalb exfiltrieren Cyberkriminelle die Daten – sie klauen sie sozusagen – verschlüsseln sie und drohen sie zu veröffentlichen, wenn man kein Lösegeld bezahlt. Praxen riskieren bei einer Veröffentlichung einen Image-Schaden.

Gibt es weitere digitale Gefahren?

Es kommt immer wieder vor, dass Cyberkriminelle digitale Geräte wie zum Beispiel einen Zahnscanner lahmlegen. Die Praxismitarbeitenden können dann ihre gewohnte Arbeit nicht mehr ausführen. Auch bei dieser Methode fordern die Angreifer:innen Lösegeld.

Ausserdem sperren manche Angreifer:innen den Terminkalender einer Praxis. Das ist weniger kritisch, kann aber Stress verursachen.

Wie verschaffen sich Cyberkriminelle Zugang zu den Systemen? Kannst du uns einen klassischen Vorfall beschreiben?

Die meisten Angriffe erfolgen über ein sogenanntes Phishing Mail, das den Benutzer zu einer Handlung auffordert. Ein Beispiel: Ich erhalte eine Mail mit einem Anhang, den ich versucht bin zu öffnen. Das kann beispielsweise eine Lohnabrechnung oder ein Bewerbungsschreiben sein. Sobald ich den Anhang öffne, werde ich zu einer Aktion aufgefordert. Zum Beispiel soll ich eine Blockade aufheben und muss dazu die Makros, die Funktion Abläufe zu automatisieren, aktivieren.

Was ich nicht weiss, ist, dass dieser Anhang einen Schadcode enthält. Sobald ich die Makros aktiviere, erlaube ich dem Schadcode die Ausführung auf meinem Gerät. Nach und nach werden weitere Schadcodes heruntergeladen, bis schliesslich mein ganzes Gerät infiziert ist und die Dateien verschlüsselt sind.

Bis ich merke, was mit meinem System passiert, ist es wahrscheinlich schon zu spät?

Genau, es bleibt keine Chance zu reagieren, wenn der Schadcode einmal freigeschaltet wurde. Cyberkriminelle gehen dabei sehr raffiniert vor. Zum Beispiel zeigt mir mein Computer an, dass er eine Überprüfung durchführt, um die Fehlerquelle aufzudecken. Dieser Anschein trügt aber, denn den vermeintlichen Systemcheck erstellen die Hacker:innen selbst, um sich noch mehr Zeit zu verschaffen.

In der Regel erhalte ich dann eine Meldung, dass meine Daten verschlüsselt wurden. Es folgen Instruktionen der Angreifer:innen, wie ich vorgehen muss, um meine Daten wiederzubekommen. Ich kann praktisch nichts mehr machen. Ausser ich habe ein Backup oder ich zahle das Lösegeld. Dieses fordern die Hacker:innen übrigens fast ausschliesslich in Kryptowährung, damit sie anonym bleiben.

Ist das die einzige Vorgehensweise von Cyberkriminellen?

Die wahrscheinlich häufigste, aber nicht die einzige. Viele Praxen erlauben den Zugang ins System von zu Hause aus. Ich kann mich also über eine URL einloggen und einen Usernamen sowie ein Passwort eingeben. Auch hier agieren die Angreifer:innen über Phishing Mails.

Ich erhalte eine Mail, die mich unter einem bestimmten Vorwand auf die vermeintliche Login-Seite führt und mich dazu animiert, meinen Usernamen und mein Passwort einzugeben. Die Seite wurde aber von Hacker:innen erstellt, die darauf abzielen, meine Login-Daten zu klauen. Sie können sich damit in das tatsächliche System einloggen und haben Einsicht auf jegliche Daten. Oft generieren sie dann direkt im System Schaden.

Und manche Angreifer:innen versuchen gar, meine Kontakte zu infizieren, um sich weiterzuverbreiten. Wieder andere suchen gezielt nach meinem Backup, um dieses zu verschlüsseln, bevor sie sich an meine restlichen Daten machen.

Gibt es gar nichts, das ich tun kann, wenn ich merke, dass etwas nicht stimmt?

Man kann das vermutlich befallene Gerät vom Netz nehmen. Und dann sollte man umgehend den IT-Partner kontaktieren, bei dem man nach jemandem aus der IT-Forensik oder Incident Response fragen kann. Diese versuchen, den Eintrittspunkt zu finden und den Schaden so klein wie möglich zu halten.

Können sich Zahnarztpraxen schützen?

Der wohl effektivste Schutz ist das Bewusstsein, dass jede:r gehackt werden kann. Es braucht eine gesunde Skepsis gegenüber E-Mails, die man nicht erwartet hat. Zahnärzt:innen und ihre Mitarbeitenden sollten vorsichtig damit sein, welche Anhänge sie öffnen und auf welche Links sie klicken.

Im Ernstfall ist es zentral, einen Krisenplan parat zu haben. Jede Praxis sollte damit rechnen, irgendwann Opfer einer Cyberattacke zu werden. Dann ist es viel wert, wenn man gut vorbereitet ist. Ein Backup, das Bereithalten der wichtigen Kontakte für den Notfall und das Festhalten eines konkreten Vorgehens sparen kostbare Zeit, wenn es darum geht, wieder an die eigenen Daten zu kommen.

Vor allem aber sind Cyberkriminelle sehr gute Business-Leute. Sie greifen meist nur dort an, wo sie schnell zuschlagen können. Umso schwieriger der Einstieg ins System ist, desto weniger attraktiv ist man als Ziel eines Angriffs. Antivirus-Lösungen und das regelmässige Updaten der Systeme machen es den Angreifer:innen schon einiges schwerer, sich in die Systeme zu hacken.

Gibt es etwas, das Inhaber:innen und Mitarbeitende von Praxen unbedingt vermeiden sollen?

Überall das gleiche Passwort nutzen. Das ist im digitalen Raum fahrlässig. Aber auch ausserhalb der Praxis ist Vorsicht geboten. Denn erst recht seit der Pandemie werden Privates und Berufliches oft vermischt. Viele nehmen das Arbeitsgerät mit nachhause und nutzten es privat. Der Laptop mit den Patientendaten sollte aber nicht für private Zwecke verwendet werden.

Und was wird hinsichtlich Cybersicherheit oft falsch eingeschätzt.

Wir haben immer wieder mit Personen zu tun, die glauben, dass es weniger sicher ist, Daten in der Cloud zu speichern oder cloudbasierte Lösungen zu nutzen. Dabei ist es oft sicherer, Daten in der Cloud zu speichern als auf einem eigenen Server im Keller. Gleichzeitig schicken wir täglich höchst private Daten über soziale Netzwerke wie WhatsApp hin und her. Das ist doch ziemlich paradox.