Hacker nutzen Zahnbürsten für Cyberangriffe?
Angeblich sei es Hackern gelungen, auf 3 Millionen elektrischen Zahnbürsten – also Gegenstände, die man durchaus auch in Arzt, Zahnarzt oder Physio Praxen finden könnte – eine Schadsoftware aufzuspielen, um sie für einen DDoS-Angriff zu nutzen. Hinter der Meldung verbirgt sich zwar ein Hoax, was aber wie ein B-Movie-Titel klingt, könnte auch in einer Praxis, sei es eine Arztpraxis, Zahnarzt oder Physio Praxis tatsächlich Realität werden. Wer Datenschutzbeaufter oder Datenschutzkoordinator einer Praxis ist, sollte jetzt aufpassen. Von Angriffen mittels elektrischer Zahnbürsten hatte unter anderem die schweizerische online Ausgabe der Netzwoche berichtet, welche sich ihrerseits auf einen Bericht der Firma Fortinet bezog.
Die im Datenschutz bereits versierten unter Ihnen wissen: DDoS steht für Distributed Denial of Service; eine Angriffsmethode, die Hacker Nutzen, um Server oder bestimmte Dienste wie Webseiten lahmzulegen. Es gibt unterschiedliche Arten von DDoS Attacken. Das Prinzip ist aber immer dasselbe: Ein System oder ein Dienst wird durch massenhafte Anfragen überlastet und hört dadurch auf, ordnungsgemäß zu funktionieren, bzw. ist dann für legitime Anfragen nicht mehr erreichbar. DDoS-Angriffe sind oftmals Mittel von Hackern, um Unternehmen gezielt zu schaden und gegebenenfalls Lösegeld zu erpressen. Eine Beschreibung der DDoS-Attacken findet sich auch auf der Seite des BSI.
Die Gefahren des IOT für den Datenschutz auch in Praxen
Aber wie kommen nun die Zahnbürsten und der Datenschutz ins Spiel? Beim DDoS Angriff kapern Hacker zunächst unzählige Computer und andere Geräte mit Hilfe von Schadsoftware (Viren, o.ä.). Diese gekaperten Computer und Geräte bezeichnet man dann auch als Botnet. Zum Starten des Angriffs sendet der Hacker an alle Computer und Geräte aus seinem Botnet die Anweisung, auf eine bestimmte Website, E-Mail-Server oder sonstigem vom Internet aus erreichbaren Dienst zuzugreifen. Die entstehende plötzliche Flut an Anfragen und Traffic bringt dann – so das Kalkül der Hacker – das betroffene System an seine Grenzen und es fällt aus.
IOT unbedingt zum Thema im Datenschutz-Konzept der Praxis machen
Die Bedrohungen aus dem Cyberraum wachsen täglich. Um so wichtiger ist es, alle möglichen Sicherheitslücken in einer Praxis zu schließen. Eine besondere Gefahr besteht darin, dass heute mehr und mehr Geräte des täglichen Lebens ans Internet angeschlossen werden – zumeist über WLAN. Während die meisten medizinischen Geräte einer Praxis, die einen Anschluss an das Internet benötigen, gut abgesichert sind, gilt dies für Geräte des täglichen Lebens oft nicht. Viele Geräte wie smarte Kühlschränke oder smarte Waschmaschinen, aber auch smarte Glühbirnen oder smarte Lichtschalter oder eben: Smarte Zahnbürsten, lassen sich ohne Anschluss an das Internet nicht mehr betreiben. Es ist dann auch vom Internet der Dinge also dem internet of things, dem IOT die Rede.
Diese smarten Lösungen für alltägliche Probleme können aber schnell zur Gefahr werden. Teilweise wird vermutet, dass auf besonders günstigen Geräten z.B. aus China, die Sodftware für das Botnet oder der Cryptominer gleich mitgeliefert wird. Jedenfalls dürften die wenigsten die firmware, also das Betriebssystem, ihrer smarten Lichtschalter regelmäßig updaten, wenn dies überhaupt möglich ist…
IOT in Datenschutz-Richtlinie der Praxis aufnehmen
Es empfiehlt sich, den Einsatz von Geräten des IOT in einer Arztpraxis, Physiotherapiepraxis oder Zahnarztpraxis grundsätzlich zu untersagen. Sollten Mitarbeiter dennoch auf die Verwendung von Geräten des IOT nicht verzichten wollen oder Geräte der Praxis online sein müssen, bedarf es eines Sicherheitskonzeptes. Eine – nicht immer verfügbare – Möglichkeit besteht in dem Einsatz von mTLS, einer Methode zur Verschlüsselung des Datenverkehrs mit dem Gerät bei gleichzeitiger gegenseitiger Authentifizierung. Sehr sinnvoll kann auch die Nutzung von DNS-Filterung sein, um zu verhindern, dass über Geräte des IOT schädliche Seiten aufgerufen werden. Das hat nebenbei den positiven Effekt, einen gewissen allgemeinen Schutz vor Malware und Phishing zu bieten. Eine andere gegebenenfalls sinnvolle Maßnahme kann es sein, die IOT-Geräte in einen Gastzugang des WLANs zu sperren, um sie vom eigentlichen Netzwerk der Praxis auszuschließen.