Cyber-Angriffe kommen stets unerwartet

Bild Ransomware Alarm

Es geschah über Nacht

Eine Praxis wird unvermittelt Opfer eines Hackerangriffs. Es sind alle Geräte betroffen. Es lassen sich weder Patientendaten, Röntgenbilder, Arztbefunde, das Abrechnungssystem oder die Terminverwaltung öffnen. Selbst der E-Mail-Verkehr ist nicht mehr möglich. Auch die gesamte Telefonie ist betroffen.

Die Praxis geht in einen Notbetrieb über und es werden nur noch akute Behandlungen durchgeführt.

Trojaner in der Praxis

Der eilig herbeigerufene IT-Dienstleister diagnostiziert schnell einen Angriff durch einen Verschlüsselungstrojaner sog. Ransomware. Auf allen Bildschirmen ist eine genaue Anleitung zu sehen, wie ein Lösegeld in Höhe von 2,5 Bitcoin an die Erpresser zu zahlen ist, um wieder in den Besitz der eigenen Daten zu kommen. Dies entspricht einer Summe von ca. 19.000,00 Euro.

Der IT-Dienstleister ist mit der Situation nicht vertraut und kann den Angriff nicht unter Kontrolle bringen, sodass weitere Spezialisten hinzugezogen werden.

Trügerische Sicherheit

Eine Wiederherstellung der Daten und der Systeme scheitert daran, dass eine Datensicherung auch verschlüsselt wurde und eine zweite sich als unbrauchbar erweist, da bereits seit Jahren keine relevanten Daten mehr gesichert wurden.

Ausgelöst wurde dieses Horrorszenario durch eine einzige E-Mail, deren Anhang den Trojaner in das Praxis-System einschleuste.


Maßnahmen der Spezialisten

  • Innerhalb der gesetzlichen Frist von 72 Stunden wird die zuständige Aufsichtsbehörde informiert.
  • Als letzter Strohhalm und gegen den ausdrücklichen Rat der eingeschalteten Polizei wird durch die riskante Zahlung des Lösegeldes tatsächlich ein Großteil der Daten wiederhergestellt. Diese müssen, um einen möglichem Neubefall vorzubeugen, Ordner für Ordner mit mehreren Scannern aufwendig überprüft werden.
  • Da Indizien vorliegen, dass (wie beim Angriff auf den Bundestag) ein Trojaner verwendet wurde, der selbst einen Festplattenwechsel überlebt, werden Teile des Praxis-Servers und alle PC und Laptops ausgetauscht.
  • Koordiniert mit den betreuenden Firmen werden die Röntgen- und Diagnosegeräte nach und nach wieder in die neu installierte Betriebsumgebung integriert.
  • Erste Patienten können nach zwei Wochen wieder eingeschränkt behandelt werden. Nach 6 Wochen ist der ursprüngliche Zustand annähernd wiederhergestellt.

Ende gut alles gut? Keineswegs!

Da das Lösegeld gezahlt wurde, ist ein erneuter und gezielter Angriff zu befürchten!

Vorbeugen für die Zukunft

  • Neben neuen und wesentlich erhöhten Sicherheitsmaßnahmen wird ein Notfallplan erstellt und alle Daten und Systeme mehrfach gesichert.
  • Zusätzlich werden alle Mitarbeiter regelmäßig durch Schulungen auf die aktuelle Bedrohungslage vorbereitet.
  • Dies wird auch der Aufsichtsbehörde mitgeteilt.
  • Zudem werden alle Patienten angeschrieben und um Entschuldigung gebeten.

Der Gesamtschaden beläuft sich im 6-stelligen Bereich. Hinzu kommen die Kosten für die neue Hardware und die Neueinrichtung der Systeme sowie die erhöhten Sicherheitsmaßnahmen.

Zurück bleibt ein unsicheres Gefühl und die Angst, dass die Praxis erneut angegriffen werden könnte.

Fall-Szenario Experte CompiPower