Der Datenschützer-Rat: Gehackt! Verschlüsselt! Was tun?

Erklärungen zur IT-Sicherheitsrichtlinie der KZBV – Teil 5

Was ist zu tun, wenn die Computer gehackt oder die Praxisdaten verschlüsselt wurden? Eigentlich sollten Sie sich diese Frage gar nicht stellen müssen, wenn Sie die bisherigen Ratschläge der Artikelserie beherzigt haben. Kriminelle setzen jedoch immer subtilere Methoden ein, um in Rechnersysteme einzudringen. Daher ist es sinnvoll zu wissen, worauf es bei einem solchen Angriff ankommt.

Eines ist klar: Wenn der Hacker bereits im System ist oder war und die Datenbestände gestohlen oder verschlüsselt sind, sollte man sich mit Profis abstimmen und nicht Hilfe suchend durch anonyme Internetforen chatten.

Sie glauben, das gibt es nicht? Der Autor selbst hat einen Eintrag in einem Internetforum entdeckt, in dem ein IT-Verantwortlicher nach einem Angriff mit Ransomware Hilfe suchte, ohne die Geschäftsleitung oder den Datenschutzbeauftragten des Unternehmens zuvor über den Vorfall oder das Ausmaß des Vorfalls zu informieren. In Eifer des Gefechts hatte er allerdings übersehen, dass der Monitor, den er abfotografiert und als Bild ins Forum eingestellt hatte, vorderseitig mit einem Inventaraufkleber des Unternehmens versehen war.

Hier haben wir das erste Beispiel, wie man in keinem Fall agieren sollte, wenn ein datenschutzrelevanter Vorfall eingetreten ist oder um konkret zu sein, wenn ein Hackerangriff auf die Praxis erfolgreich war.

Ein erfolgreicher Hackerangriff oder die Verschlüsselung von Datenbeständen dürfte in aller Regel ein meldepflichtiger Vorfall sein. Das bedeutet, dass innerhalb von 72 Stunden nach Entdecken des Angriffs die für Datenschutz zuständige Aufsichtsbehörde informiert sein muss.

Vor einiger Zeit geisterte die Darstellung eines Arztes durch das Internet, der nach eigenem Bekunden nach einem Angriff mittels Ransomware drei Wochen lang keine Patienten behandeln konnte. Er hätte dann, so war es in einem entsprechenden Artikel zu lesen, eine horrende Summe überwiesen und von den „freundlichen“ Erpressern hiernach einen Schlüssel erhalten, mit dem er die Daten hätte wieder lesbar machen können.

Die erste Frage, die sich hier dem fachkundigen Leser stellte, war: „Wieso konnte die Praxis drei Wochen lang (sic!) nicht arbeiten?“ Innerhalb von ein bis zwei Stunden hat man in aller Regel eine Datensicherung in einer Praxis zurückgespielt, kappt aus Sicherheitsgründen erst einmal die Internetverbindung und spätestens am Folgetag des Vorfalls kann wieder der normale Praxisbetrieb aufgenommen werden. Es sei denn, man hat keine funktionierende Datensicherung …

Verzicht auf Hilfe ist gefährlich. Bei einem Verschlüsselungsangriff auf eine Klinik stellte sich die gleiche Frage. Erstaunlich ist in solchen Fällen, dass externe Hilfe von ausgewiesenen Experten teilweise recht schroff von Verantwortlichen abgelehnt wird. Wer gibt schon gerne zu, dass er keine funktionierende Datensicherung hat oder bis zu Eintreten eines Vorfalls die Auffassung vertreten hat, dass man sich das Geld für IT-Sicherheit und Datenschutz sparen könne.

Nicht immer, aber sehr häufig, liegt die Ursache für den Erfolg eines Hackerangriffs in Versäumnissen im Bereich der IT-Sicherheit. Das ist ohnehin jedem bewusst, der sich regelmäßig mit dem Thema auseinandersetzt. Daher sollte und kann man auch offen darüber reden, wenn ein Vorfall eingetreten ist.

Wenn Sie aus falschen Erwägungen heraus auf eine Erpressung eingehen, dürfte das Einzige, was sicher ist, der Umstand sein, dass Ihr Geld auch noch weg ist. Zwar können viele Arten von Verschlüsselung rückgängig gemacht werden, jedoch ist auch durchaus Malware im Umlauf, welche zumindest zum aktuellen Zeitpunkt keine Wiederherstellung der Daten ermöglicht.

Trojaner auf Tauchstation. Eine Konstellation könnte allerdings problematisch werden, selbst wenn Sie funktionsfähige Datensicherungen verfügbar haben: Während in den letzten Jahren Datenbestände sofort verschlüsselt wurden, wenn Sie die Schadsoftware angeklickt haben, welche meist als E-Mail-Anhang ins Haus kam, passiert bei neueren Trojanern erst einmal nichts, das für Sie sichtbar wäre. Der Rechner ist allerdings, zum Beispiel nach Anklicken eines entsprechenden E-Mail-Anhangs, trotzdem infiziert. Kriminelle haben in diesem Fall nun Zugriff auf Rechner und Daten und können in aller Ruhe weitere Schadsoftware installieren und den Rechner nach Belieben für kriminelle Machenschaften verwenden.

Doppelte Erpressung. Neuerdings wird häufig eine Erpressungsmethode praktiziert, die sich Double-Extortion nennt, also doppelte Erpressung. Ist der Rechner erst einmal befallen, werden alle verfügbaren Daten abgezogen/kopiert, bevor man nach ein paar Tagen oder Wochen die Dateien auf dem befallenen Rechner verschlüsselt. Sie können zwar Ihre Daten aus einer Datensicherung mitunter schnell wiederherstellen, die Kriminellen drohen dann aber damit, Daten im Internet zu verbreiten oder bekannt zu machen. Also ist es unerlässlich, nicht nur funktionierende Datensicherungen vorzuhalten (am besten offline im Tresor), sondern auch alle Maßnahmen zu ergreifen, damit Cyberangriffe auf Ihre Praxis nicht zum Erfolg führen können.

Dazu gehört die Sensibilisierung der Mitarbeiter für Belange von Datenschutz und Datensicherheit ebenso wie die Absicherung des WLAN oder des Internetzugangs. Die IT-Sicherheitsrichtlinie der KZBV dient in diesem Zusammenhang als wertvolle Orientierungshilfe.

Was aber, wenn trotz aller technischen und organisatorischen Maßnahmen und trotz aller Vorsicht ein Vorfall eintritt?

Je schneller man Maßnahmen einleitet, desto weniger Zeit bleibt Kriminellen, um Daten zu stehlen. In der Praxis hat es sich schon häufig gezeigt, dass Maßnahmen, die sofort nach Anklicken eines schädlichen E-Mail-Anhangs auf den Weg gebracht wurden, verhindern konnten, dass Praxen, Unternehmen oder Organisationen ein größerer Schaden entstanden ist. Meistens bezifferte sich in diesen Fällen der Schaden auf die Kosten des IT-Dienstleisters, der Systeme neu installieren und Datensicherungen zurückspielen musste. Monetär sind diese Aufwände eher „Peanuts“ im Vergleich zu einer Erpressung im Zusammenhang mit einem Hackerangriff.

Datenmanipulation ist Straftat. Bei der Manipulation von Daten – dazu zählt auch eine ungewollte Verschlüsselung von Datenbeständen sowie das Verschaffen des unberechtigten Zugriffs auf Ihre Systeme – handelt es sich bereits um schwerwiegende Straftaten, welche eventuell noch durch Erpressung oder Datenhehlerei ergänzt werden. Sie sollten sich keinesfalls von Kriminellen einschüchtern lassen, sondern sofort die Kriminalpolizei verständigen und den Vorfall zur Anzeige bringen. Die Polizeibehörden verfügen über die technische Ausstattung und das erforderliche Know-how, um Ihnen weiterzuhelfen.

Es kann in aller Regel hilfreich sein, kurzfristig aus den Datensicherungen wieder ein lauffähiges System herzustellen. Darüber hinaus gibt es mittlerweile einige Programme, mit denen eine Verschlüsselung, je nach verwendetem Algorithmus, rückgängig gemacht werden kann.

Das ist ein Fall für die Polizei. Neben der Einschaltung der Polizeibehörden und der Erstattung einer Strafanzeige sollten Sie beachten, dass es sich bei der Verschlüsselung von Praxisdaten i.d.R. um einen meldepflichtigen Vorfall handelt, den Sie innerhalb von 72 Stunden der für den Datenschutz zuständigen Aufsichtsbehörde melden müssen. Die Mehrzahl der Aufsichtsbehörden ermöglicht eine derartige Meldung über entsprechende Formulare auf ihrer Webseite. Die Webseiten der Aufsichtsbehörden finden Sie meistens, wenn Sie in einer Suchmaschine den Begriff „Landesdatenschutzbeauftragter“ zusammen mit dem Namen des Bundeslandes eingeben, in dem Sie Ihre Praxis betreiben.

Darüber hinaus müssen die Betroffenen (z.B. Patienten, Mitarbeiter) informiert werden, deren Daten u.U. gestohlen wurden. Üblicherweise erfolgt diese Information per Serienbrief, wobei das Anschreiben in einfacher Sprache zu erfolgen hat und neben der Beschreibung des Vorfalls mindestens die folgenden Informationen beinhalten muss (Art. 34 Abs. 2 DSGVO i.V.m. Art. 33 Abs. 3 lit. b,c,d DSGVO):

1. Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen.

2. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.

3. Eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Da dieses Anschreiben üblicherweise einen individuellen Vorfall beschreibt, kann dafür keine allgemein gültige Vorlage zur Verfügung gestellt werden. Soweit Sie einen Datenschutzbeauftragten bestellt haben, ist es ohnehin erforderlich, diesen umgehend zu informieren. Der Datenschutzbeauftragte kann Sie bei allen erforderlichen Tätigkeiten wie z.B. der Meldung an die Aufsichtsbehörde oder die Information der Betroffenen unterstützen oder die Gesamtkoordination hinsichtlich erforderlicher Maßnahmen für Sie übernehmen.

Was tun: vorher – nachher?

Präventive Maßnahmen:

  • Umsetzung technischer und organisatorischer Maßnahmen gemäß der IT-Sicherheitsrichtlinie der KZBV
  • Vorhalten möglichst aktueller Datensicherungen (offline)
  • Verfügbarkeit eines praxistauglichen Notfallkonzepts
  • Regelmäßige Schulung und Sensibilisierung der Mitarbeiter für die Belange von Datenschutz und Datensicherheit

Maßnahmen, wenn ein Hackerangriff oder eine Datenverschlüsselung erfolgreich war:

  • Sofortige Unterbrechung der Internetverbindung
  • Unverzügliche Information des Datenschutzbeauftragten und ggf. des Leiters der verantwortlichen Stelle (z.B. Instituts- oder MVZ-Leitung)
  • Anzeige/Einschaltung der Polizeibehörden (unverzüglich)
  • Weitere Maßnahmen nach Möglichkeit in Abstimmung mit den Experten der Polizeibehörden
  • Meldung an den zuständigen Landesdatenschutzbeauftragten (72-Stunden-Frist beachten)
  • Beseitigung der Malware und Entschlüsselung von Daten oder Wiederherstellung der Systeme aus den Datensicherungen (Anm.: Da ein verschlüsselter Rechner als kompromittiert anzusehen ist, empfiehlt der Autor i.d.R. die Wiederherstellung aus Datensicherungen auf anderen Geräten)
  • Information der betroffenen Personen
  • Gehen Sie transparent mit dem Vorfall um. Nur wenn alle Fakten auf dem Tisch liegen, lässt sich ein Sachverhalt gänzlich aufklären und eine Wiederholung eines Vorfalls vermeiden.

Was Sie nicht tun sollten: Versuchen Sie nicht, einen Hackerangriff oder die Verschlüsselung von Praxisdaten geheim zu halten und ohne Einschaltung der Polizei mit Erpressern/Kriminellen zu verhandeln.

Der Datenschützer der DGI hilft. Falls Sie keinen Datenschutzbeauftragten bestellt haben und dringend Hilfe benötigen, können Sie sich auch gerne über die Notfallnummer im Autorenkasten an den Datenschutzbeauftragten der DGI wenden. Für DGI-Mitglieder ist im Falle eines aktuellen datenschutzrelevanten Vorfalls das Erstgespräch mit dem Autor kostenlos.

Ausblick auf den nächsten Artikel der Serie: Als präventive Maßnahmen haben wir in diesem Artikel unter anderem das Vorhandensein eines Notfallkonzepts genannt. Da jede Praxis ein angemessenes Notfallkonzept haben sollte, die Beschreibung aber den Rahmen dieses Artikels sprengen würde, geht es in der nächsten Ausgabe der ZZI um das Thema IT-Notfallkonzept.

Dr. Thomas H. Lenhard ist ein inter­na­tio­nal anerkannter Experte für Infor­ma­­tionstechnologie und Datenschutz. Er greift auf seinen um­fangreichen Erfahrungsschatz aus drei Jahr­zehnten Datenschutz und Daten­­­sicherheit zurück und ist u.a. als Datenschutzbeauftragter sowohl für die DGZMK als auch für die DGI umfassend tätig.


(Stand: 31.08.2022)

DGI Nachrichten aktuell

In Memoriam an Karl-Ludwig Ackermann. Ein Nachruf von Prof. Dr. Günter Dhom und Gedenken an einen ganz „Großen“ der Zahnmedizin. 

zum Nachruf an Dr. Ackermann

Aktuelle Ausgabe 3/2022

Im Fokus

  • Welche Antibiotika zur Endokarditis-Prophylaxe?
  • Zygoma-Implantate bei maxillärer Atrophie
  • Risikofaktoren in der Implantologie: Alter des Patienten

FORTBILDUNGSANGEBOTE DGI

Die DGI bietet ein umfassendes und überregionales Fortbildungsangebot an. 

WERDEN SIE AUTOR

Sie haben ein spannendes Thema aus dem Bereich der Implantologie und würden gerne einen Artikel dazu in der ZZI veröffentlichen? Dann nutzen Sie unseren Editorial Manager und reichen Sie ihr Manuskript direkt bei uns ein.

Manuskript einreichen