Protokoll eines Hackerangriffs auf eine Arztpraxis

Eine beliebte Arztpraxis wurde von einem Computervirus lahmgelegt. Große Cyberangriffe wie WannaCry waren dazu gar nicht nötig. Oftmals reicht eine gezielte Attacke, um ein Unternehmen in eine existenzbedrohende Lage zu bringen. Lesen Sie das Protokoll des Hackerangriffs auf eine Arztpraxis.

 

Es sollte kein guter Tag werden. Das war bereits am Morgen klar, als die Arzthelferin die Münchener Praxis von Dr. Matthias K. aufschloss.

Der Allgemeinmediziner ist seit über 20 Jahren niedergelassener Arzt mit einem 10-köpfigem Praxis-Team. Moderne Behandlungsmethoden und modernste Technik sind wichtige Erfolgsfaktoren für den Arzt und entscheiden im Gesundheitswesen.

Dr. K. erinnert sich noch genau, als die Arzthelferin aufgeregt ins Behandlungszimmerzimmer kam und sagte: „Keine Datei lässt sich mehr öffnen.“ In diesem Moment schwante ihm nicht Gutes. Erst kürzlich hatte er von einem ähnlichen Hackerangriff auf eine befreundete Arztpraxis erfahren.

Die böse Vorahnung bestätigte sich. Nach wenigen Klicks war klar: Die Arztpraxis wurde gehackt. Es legte sich ein Sperrbildschirm über den Monitor, der aus dem Englischen ins Deutsche übersetzt, besagte: „Ihre Daten sind verschlüsselt!“ „Ihre Systeme sind gehackt!“

Risikofaktoren für Praxisärzte sind vor allem private USB-Sticks, E-Mail Anhänge und das unvorsichtige Surfverhalten von Mitarbeitern am Arbeitsplatz. Aber auch veraltete Betriebssysteme und fehlende Sicherheitsupdates sind Einfallstore für Hacker.

Die Erpresser fordern Bitcoins als Lösegeld!

Schnell wurde Dr. Matthias K. klar, dass er erpresst wurde. Gegen eine „kleine Spende“ in Höhe von fünf Bitcoins (Anm.d.Red.: Zu dem Zeitpunkt rund 15.000 Euro) werden Ihre wichtigen EDV-Systeme und Patientendatenbanken wieder freigeschaltet.

Der Arzt hatte bis zu diesem Zeitpunkt nur aus den Medien über die digitale Onlinewährung Bitcoin erfahren. Er hatte gelesen, dass die Internetwährung Bitcoin gewisse Vorteile für anonyme Geldtransfers bietet.

Arztpraxis vermeintlich gut vorbereitet

Der Forderung wollte K. zunächst nicht nachkommen. Schließlich sah er sich für diesen Fall gerüstet. Binnen 45 Minuten war der IT-Dienstleister der Arztpraxis mit zwei IT-Experten vor Ort. Die Fachleute leiteten unverzüglich erste Gegenmaßnahmen ein, um den Hackerangriff abzuwehren. Der IT-Dienstleister baute den kompletten Server aus, implementierte ein Notfallsystem und versuchte den virtuellen Cyberangriff auf die Arztpraxis abzuwehren. Ohne zählbarem Erfolg! Der eingesetzte Virus war eine sehr moderne Version des Typen Krypto-Trojaner. Krypto-Trojaner sind in der Lage Dateien zu verschlüsseln und damit die EDV als Geiseln zu nehmen. Die Situation, keinerlei Daten mehr zur Verfügung zu haben, wurde für den Mediziner zu einem unlösbaren Problem. Der Entschluss, nun die Polizei einzuschalten und Strafanzeige zu erstatten, fiel dem Arzt in seiner Notsituation nicht schwer. Konkrete Soforthilfe konnte Dr. Matthias K. von den Ermittlungsbehörden aber nicht erwarten. Auch die polizeiliche Empfehlung, die Lösegeldforderung nicht zu bezahlen, half dem Arzt nicht. Um an die dringend benötigten Daten zu gelangen, ahnte er bereits, dass er auf die Forderung des Erpressers eingehen musste.

 Die Erpresser sind „hilfreich“ bei der Lösegeld-Übergabe!

Die Situation war absolut existenzbedrohend. Die gesamte Praxis-EDV, wie Patientendaten, Röntgenbilder, Ultraschallaufnahmen, sensible Arztbefunde, die Finanzbuchhaltung und Email-Server waren von dem Cyberangriff auf die Arztpraxis betroffen und funktionierten, wenn überhaupt, extrem verlangsamt.

Bereits am nächsten Tag nach dem Hackerangriff auf die Arztpraxis, nachdem die Polizei informiert, Strafanzeige erstellt und mehrere Telefonate mit seinem Anwalt erfolgten, entschloss sich der erpresste Arzt, das Lösegeld zu bezahlen. Die Erpresser standen ihm hilfreich zur Seite, um ein eigenes Bitcoin-Konto zu eröffnen und das geforderte Lösegeld zu bezahlen.

Nachdem die Transaktion mit den geforderten Bitcoins abgeschlossen war, erhielt der Arzt einen Sicherheitscode und konnte mit diesem seine gekidnappte Praxis-IT wiederbekommen. „Diese Ungewissheit, ob es nach der Lösegeldzahlung wirklich beendet ist, oder ob dieser Horror weiter geht, war unerträglich? Ich wusste es nicht“, sagt er rückblickend. Die Wiederherstellung der Daten war in der Tat nicht das Ende dieses Protokolls.

 

Chronologie des Hackerangriffs

  • bei der Praxiseröffnung am Morgen, stellen die Mitarbeiter sofort fest, dass sich Daten und Programme nicht mehr starten bzw. öffnen lassen
  • unmittelbar nach Feststellung des Cyberangriffs, erfolgte die Lösegeldforderung
  • IT-Dienstleister kann die Situation nicht erfolgreich abwehren und beenden
  • es folgte die Strafanzeige bei der örtlichen Polizei, aber ohne eine sofortige Hilfe oder Aktivitäten der Ermittlungsbehörden
  • Matthias K. erstellt sich mit Hilfe der Erpresser ein Bitcoin-Konto und bezahlt das Lösegeld für seine gestohlenen, sensiblen Praxisdaten
  • ein Sicherheitscode „befreit“ die gestohlenen Daten

 

Aber damit war der Horror noch nicht vorbei

„Es fühlte sich so schlimm an. Wir fühlten uns einfach unsicher, mit den wieder freigeschalteten Systemen zu arbeiten. Deswegen hatte ich mich dazu entschlossen, die gesamte Praxis-IT-Infrastruktur umzubauen und in die Sicherheit der EDV zu investieren, um die Existenz meiner Mitarbeiter, meines Betriebes und meiner Familie nicht noch einmal aufs Spiel zu setzen.“

Denn eines war sicher, die bestehenden IT-Systeme waren für einen Hackerangriff – trotz vermeintlicher Vorbereitung – nicht gerüstet. Die Arztpraxis hatte die Gefahren eines virtuellen Hackerangriffs aus dem Internet, schlicht unterschätzt.

Die Folgen der Cyberattacke oder Hackerangriffs sind auch nach fast einem Jahr noch zu spüren. Trotzdem gibt sich Dr. Matthias K. vorsichtig optimistisch, in Zukunft besser auf solche Hackerangriffe vorbereitet zu sein.

Dr. Matthias K. ergriff gemeinsam mit einem neuen, spezialisierten Servicepartner für Cybersicherheit und IT-Infrastruktur zahlreiche Veränderungen, um die IT-Sicherheit und die Schutzmechanismen bei Cyberangriffen und Hackerattacken in seiner Arztpraxis sicherzustellen.

Alle Mitarbeiter der Arztpraxis, K. eingeschlossen, mussten zudem intensive Sicherheitsschulungen absolvieren, um die Gefahren von Cyberangriffen kennenzulernen und sich entsprechend zu verhalten. Dazu gehören regelmäßige, verpflichtende Online-Seminare und Tests, die den richtigen Umgang mit Emails und elektronischen Patientendaten aufzeigen sollen. Das richtige Nutzerverhalten im Internet ist ein wichtiges Element, das alle Mitarbeiter präventiv davor schützen soll, überhaupt in eine solche extreme Notsituation, wie ein Hackerangriff, zu kommen.

Als Arzt, Unternehmer und Verantwortlicher für seine Mitarbeiter zieht Dr. Matthias K. folgendes Resümee: „Am Ende hat mir dieser Hackerangriff auf meine Arztpraxis gezeigt, wie wichtig in diesen digitalen Zeiten der Schutz vor Cyberangriffen und Hackern ist und wie existenzbedrohend dieser Hackerangriff für meine Arztpraxis gewesen war.