Titelgeschichte




        überprüfen, ob ihre Zugangsdaten im Netz  Der Arzt muss Polizei, Staatsanwaltschaft und  >  Krisenkommunikation: 1 000 Euro
        stehen. Auf der Seite „haveibeenpwned.com“  Datenschutzbehörde über den Vorfall informie-  Sobald die lokale Presse über den Vorfall berich-
          erfahren Nutzer zum Beispiel, ob ihre  ren. Hinzu kommen alle Patienten, deren Daten  tet, leidet der Ruf der Praxis, und Patienten wen-
        E-Mail-Adresse in Kombination mit einem  veröffentlicht werden könnten.  den sich von der Praxis ab. Der Arzt benötigt
        Passwort im Darknet verfügbar ist. Cysmo fand  >  Anwaltskosten: 2 000 Euro  Kommunikationsberatung, um dem entgegenzu-
        bei seiner Untersuchung die E-Mail-Pass-  >  IT-Forensik: 5 000 Euro   steuern.
        wort-Kombination von 9 Prozent der unter-  Spezialisten müssen die IT-Systeme desinfizieren  >  Bußgeld: Falls der Praxis ein Fehlverhalten
        suchten Praxen im Darknet.         und härten.                         nachzuweisen ist, wird die Datenschutzbehörde
                                           >  Betriebsunterbrechung: 5 000 Euro  ein Bußgeld verhängen.
        Was kostet ein Cyberangriff?       Selbst wenn funktionsfähige Sicherungskopien
        Nach einem erfolgreichen Phishing-Angriff  vorliegen, ist der Praxisbetrieb für mindestens   Fazit
        verschlüsselt ein Hacker die Praxisdaten und  zwei Tage lahmgelegt.    Inhaber von Arztpraxen müssen sich in Zu-
        fordert ein Lösegeld für deren Entschlüsselung.  >  Datenmissbrauch:   kunft noch stärker mit dem Thema IT-Sicher-
        Unabhängig davon muss der Praxisinhaber  Falls der Hacker einige der Patientendaten ver-  heit auseinandersetzen und wohl auch in ihre
        damit rechnen, dass Patientendaten abfließen  öffentlicht, können die Betroffenen vom Arzt eine  Sicherheit investieren. Wer nicht nachweisen
        und im Internet veröffentlicht werden. Der GdV  Löschung der Daten aus dem Internet sowie  kann, dass er alle erforderlichen Maßnahmen
        hat in seinem Report die Kosten geschätzt, die  Schadensersatz verlangen. Zusätzlich zu den  ergriffen hat, um seine Praxis nach dem Stand
        bei einem erfolgreichen Cyberangriff auf eine  Spezialisten, die der Arzt mit der Datenlöschung  der Technik abzusichern, riskiert im Falle eines
        Arztpraxis zukommen können:        beauftragt, muss er einen Schadensersatz be-  erfolgreichen Cyberangriffs viel, im schlimms-
        >  Informationskosten: 4 000 Euro  zahlen: 20 000 Euro nach Art. 82 DSGVO.  ten Fall seine Existenz.<     $ DR. MICHAEL LANG

        INFO    ALLGEMEINE IRRTÜMER ÜBER DIE IT-SICHERHEIT

          Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die    Dies trifft nur zu, wenn das E-Mail-Programm die Nachricht als reinen Text
          häufigsten Irrtümer im Bereich der IT-Sicherheit zusammengestellt.     anzeigt. Viele E-Mails werden heute jedoch im HTML-Format verschickt und
          Eine Auswahl:                                       auch im Mail-Programm so angezeigt. Im Quellcode einer HTML-formatier-
                                                              ten E-Mail kann sich ein Schadcode verstecken, der bereits beim Öffnen der
          1. Meine PC-Firewall schützt mich vor allen Angriffen aus dem Internet.  Mail ausgeführt wird. Das BSI rät, die Anzeige von E-Mails im HTML-Format
          Eine „Personal Firewall“ schützt nur dann, wenn sie richtig konfiguriert   zu deaktivieren und sich E-Mails im reinen Textformat anzeigen zu lassen,
          wurde.                                              was in der Praxis jedoch kaum machbar ist.

          2. Wenn ich ein aktuelles Virenschutzprogramm habe, muss ich Updates für    6. Das Antworten auf Spam-Mails birgt keine Gefahr, man kann auch den Links
          andere Software nicht sofort installieren.          zum Löschen aus dem Verteiler folgen.
          Ein fataler Irrtum: Schadsoftware nutzt Sicherheitslücken in Software aus,   Sie sollten Spam-Mails sofort löschen und auf keinen Fall antworten.
          bevor diese geschlossen werden. Üblicherweise schließen die Softwareher-  Sobald der Nutzer reagiert und sich aus dem Verteiler abmelden möchte,
          steller bekannt gewordene Lecks mit einem Sicherheitsupdate, und erst da-  weiß der Spam-Versender, dass die E-Mail-Adresse gültig ist und genutzt
          nach können die Antivirenhersteller reagieren. Daher ist es unverzichtbar,   wird. Der Betroffene erhält künftig noch mehr Spam-Mails.
          bei allen Programmen die Softwareupdates durchzuführen.
                                                              7. Eine E-Mail kommt immer von der Adresse, die im Absenderfeld steht.
          3. Ich surfe nur auf vertrauenswürdigen Seiten, darum muss ich mich nicht vor   Falsch: Die Absenderadressen von E-Mails lassen sich leicht fälschen. Einen
          Cyberangriffen schützen.                            ersten Anhaltspunkt erhält der Benutzer, indem er mit der Maus über den
          Falsch: Schadsoftware kann sich auch in Werbebannern von vertrauenswür-  angezeigten Namen fährt. Es wird dann die angeblich verwendete
          digen Seiten verstecken und sich bereits beim Besuch der Seite auf dem PC   E-Mail-Adresse angezeigt. Um die Echtheit des Absenders zu ermitteln,
          installieren. Einen gewissen Schutz bieten die Einstellungen in Virenschutz-  kann die Nachricht im Quelltext betrachtet werden. Im sogenannten
          programmen und Firewalls sowie regelmäßige Sicherheitsupdates.   E-Mail-Header steht unter „Received from“ die E-Mail-Adresse des Absen-
                                                              ders. Allerdings sind Angreifer auch in der Lage, diese Angabe zu manipu-
          4. Wenn ich einen Virus oder ein anderes Schadprogramm auf dem Computer   lieren. Benutzer sollten daher im Zweifelsfall die Nachricht löschen.
          habe, macht sich dieser auch bemerkbar.
          Das ist nicht korrekt. Programme, die den Nutzer ausspähen, arbeiten meist   8. Wenn ich alle Daten von meinem Gerät lösche und anschließend den Papier-
          im Verborgenen. Sogenannte Keylogger zum Beispiel protokollieren jede   korb leere, sind die Daten ein für alle Mal weg.
          Eingabe an der Tastatur und senden so vertrauliche Informationen wie zum   Das ist unzutreffend: Durch das Löschen des Papierkorbs werden nur die Ver-
          Beispiel Kontozugangsdaten unbemerkt an den Hacker. Andere Programme   weise auf das Inhaltsverzeichnis gelöscht und der entsprechende Speicherbe-
          wiederum ermöglichen die Fernsteuerung des Computers über das Inter-  reich zum Überschreiben freigegeben. Erst wenn die gelöschten Daten über-
          net, zum Beispiel für Angriffe auf andere Computer.   schrieben wurden, sind sie nicht mehr ohne Weiteres wiederherzustellen.
                                                              Um sicherzustellen, dass die Daten tatsächlich gelöscht sind, sollte man ein
          5. Wenn ich eine E-Mail nur anschaue, aber keinen Anhang öffne, kann nichts   Spezialprogramm verwenden, welches die gelöschten Speicherbereiche
          passieren.                                          überschreibt.<



    14   x.press 20.2