Hacker führen Cyberangriffe mit Zahnbürsten aus
Hacker nutzen Zahnbürsten für Cyberangriffe?
Angeblich sei es Hackern gelungen, auf 3 Millionen elektrischen Zahnbürsten – also Gegenstände, die man durchaus auch in Arzt, Zahnarzt oder Physio Praxen finden könnte – eine Schadsoftware aufzuspielen, um sie für einen DDoS-Angriff zu nutzen. Hinter der Meldung verbirgt sich zwar ein Hoax, was aber wie ein B-Movie-Titel klingt, könnte auch in einer Praxis, sei es eine Arztpraxis, Zahnarzt oder Physio Praxis tatsächlich Realität werden. Wer Datenschutzbeaufter oder Datenschutzkoordinator einer Praxis ist, sollte jetzt aufpassen. Von Angriffen mittels elektrischer Zahnbürsten hatte unter anderem die schweizerische online Ausgabe der Netzwoche berichtet, welche sich ihrerseits auf einen Bericht der Firma Fortinet bezog.
Die im Datenschutz bereits versierten unter Ihnen wissen: DDoS steht für Distributed Denial of Service; eine Angriffsmethode, die Hacker Nutzen, um Server oder bestimmte Dienste wie Webseiten lahmzulegen. Es gibt unterschiedliche Arten von DDoS Attacken. Das Prinzip ist aber immer dasselbe: 
Ein System oder ein Dienst wird durch massenhafte Anfragen überlastet und hört dadurch auf, ordnungsgemäß zu funktionieren, bzw. ist dann für legitime Anfragen nicht mehr erreichbar. DDoS-Angriffe sind oftmals Mittel von Hackern, um Unternehmen gezielt zu schaden und gegebenenfalls Lösegeld zu erpressen. Eine Beschreibung der DDoS-Attacken findet sich auch auf der Seite des BSI.
Die Gefahren des IOT für den Datenschutz auch in Praxen
Aber wie kommen nun die Zahnbürsten und der Datenschutz ins Spiel? Beim DDoS Angriff kapern Hacker zunächst unzählige Computer und andere Geräte mit Hilfe von Schadsoftware (Viren, o.ä.). Diese gekaperten Computer und Geräte bezeichnet man dann auch als Botnet. Zum Starten des Angriffs sendet der Hacker an alle Computer und Geräte aus seinem Botnet die Anweisung, auf eine bestimmte Website, E-Mail-Server oder sonstigem vom Internet aus erreichbaren Dienst zuzugreifen. Die entstehende plötzliche Flut an Anfragen und Traffic bringt dann – so das Kalkül der Hacker – das betroffene System an seine Grenzen und es fällt aus.
IOT unbedingt zum Thema im Datenschutz-Konzept der Praxis machen
Die Bedrohungen aus dem Cyberraum wachsen täglich. Um so wichtiger ist es, alle möglichen Sicherheitslücken in einer Praxis zu schließen. Eine besondere Gefahr besteht darin, dass heute mehr und mehr Geräte des täglichen Lebens ans Internet angeschlossen werden – zumeist über WLAN. Während die meisten medizinischen Geräte einer Praxis, die einen Anschluss an das Internet benötigen, gut abgesichert sind, gilt dies für Geräte des täglichen Lebens oft nicht. Viele Geräte wie smarte Kühlschränke oder smarte Waschmaschinen, aber auch smarte Glühbirnen oder smarte Lichtschalter oder eben: Smarte Zahnbürsten, lassen sich ohne Anschluss an das Internet nicht mehr betreiben. Es ist dann auch vom Internet der Dinge also dem internet of things, dem IOT die Rede.
Diese smarten Lösungen für alltägliche Probleme können aber schnell zur Gefahr werden. Teilweise wird vermutet, dass auf besonders günstigen Geräten z.B. aus China, die Sodftware für das Botnet oder der Cryptominer gleich mitgeliefert wird. Jedenfalls dürften die wenigsten die firmware, also das Betriebssystem, ihrer smarten Lichtschalter regelmäßig updaten, wenn dies überhaupt möglich ist…
IOT in Datenschutz-Richtlinie der Praxis aufnehmen
Es empfiehlt sich, den Einsatz von Geräten des IOT in einer Arztpraxis, Physiotherapiepraxis oder Zahnarztpraxis grundsätzlich zu untersagen. Sollten Mitarbeiter dennoch auf die Verwendung von Geräten des IOT nicht verzichten wollen oder Geräte der Praxis online sein müssen, bedarf es eines Sicherheitskonzeptes. Eine – nicht immer verfügbare – Möglichkeit besteht in dem Einsatz von mTLS, einer Methode zur Verschlüsselung des Datenverkehrs mit dem Gerät bei gleichzeitiger gegenseitiger Authentifizierung. Sehr sinnvoll kann auch die Nutzung von DNS-Filterung sein, um zu verhindern, dass über Geräte des IOT schädliche Seiten aufgerufen werden. Das hat nebenbei den positiven Effekt, einen gewissen allgemeinen Schutz vor Malware und Phishing zu bieten. Eine andere gegebenenfalls sinnvolle Maßnahme kann es sein, die IOT-Geräte in einen Gastzugang des WLANs zu sperren, um sie vom eigentlichen Netzwerk der Praxis auszuschließen.
Kein Datenschutzbeauftragter: Häufiger Datenschutzverstoß laut EDSA!
Fehlender Datenschutzbeauftragter häufigster Datenschutzverstoß
Datenschutzbeauftragter, als Institution im Datenschutz gibt es ihn nicht erst seit 2018, also dem Jahr der DSGVO. Zwar erschien es bis 2018 vielen Praxen fremd, einen Datenschutzbeauftragten zu benennen und tatsächlich hatte vor der DSGVO kaum eine Arztpraxis, Zahnarztpraxis oder Physiotherapie-Praxis einen Datenschutzbeauftragten. Kaum etwas aus der DSGVO hat damals, 2018, die Gemüter so bewegt und war gleichzeitig so falsch verstanden, wie der Datenschutzbeauftragte. Es wurde Zeter und Mordio geschriehen: Bürokratie, Bürokratie und wer soll das bezahlen? Der damalige Bundeswirtschaftsminister Peter Altmaier sah den Zusammenbruch des Mittelstandes nahen und forderte eine Anhebung der Grenze zur Bennung eines Datenschutzbeauftragten bis 50 Personen (was dann aber nicht kam.)
Datenschutzbeauftragter in einer Praxis, alter Wein in neuen Schläuchen?
Dabei ist der Datenschutzbeauftragte keine Erfindung der DSGVO. Bereits seit 2006 waren Unternehmen in Deutschland – unter gewissen Voraussetzungen – nach dem alten Bundesdatenschutzgesetz zu benennen und auch schon damals galt eine 20 Personen-Grenze…. nur daran gehalten haben sich damals wenige.
Viele Praxen, ob Physiotherapiepraxis, Arztpraxis oder Zahnarztpraxis haben inzwischen Datenschutzbeauftragte benannt. Aber viele auch noch nicht, obwohl sie gut daran täten.
Europäische Datenschutzaufsichtsbehörde EDSA kritisiert fehlende Datenschutzbeauftragte und zu wenige Ressourcen
Das European Data Protection Board – so etwas wie die europäische Datenschutzaufsicht – kritisiert in seinem Bericht vom 16. Januer 2024, dass insgesamt immer noch
- Zu wenige Datenschutzbeauftragte benannt werden,
- Die Datenschutzbeauftragten zu wenige Ressourcen für Ihre Arbeit zur Verfügung gestellt bekommen,
- Viele Datenschutzbeauftragte nicht genügende Expertise aufweisen.
Pflicht zur Benennung eines Datenschuztbeauftragten
Die DSGVO brachte in Bezug auf die Pflicht zur Benennung eines Datenschutzbeauftragten recht wenig Neues. Schwammig – wie bei europäischen “Gesetzen” so eigen – heisst es sinngemäß: Ein Datenschutzbeauftragter ist zu benennen, wenn die Kerntätigkeit des Unternehmens entweder umfangreiche regelmäßige und systematische Überwachung vorsieht oder Daten besonderer Kategorien (wie beispielsweise Patientendaten) umfangreich verarbeitet werden. Wann das der Fall ist, lässt die DSGVO in europäischer Weisheit offen. Lediglich für den Arzt, der in einer Einzelpraxis arbeitet, sollte keine Pflicht zur Benennung gelten. Dann aber im Umkehrschluss für alle anderen?
Nach dem neuen Bundesdatenschutzgesetz ist eine Praxis jedenfalls dann verpflichtet einen Datenschutzbeauftragten zu benennen, wenn mindestens 20 Personen in ihr tätig sind. Die Grenze wurde 2019 von 10 Personen auf 20 Personen angehoben. Begründet wurde dieser Schritt mit einer Entlastung des Mittelstandes. Kompletter Unsinn, wie sich bei nährer Betrachtung herausstellt. Auf dem Altar einer populistischen Symbolpolitik wurde der Datenschutzbeauftragte als (Un-)Kostenfaktor dargestellt, der er gar nicht ist.
Die Benennung eines Datenschutzbeauftragten erweist sich nämlich auch bei kleinen Praxis, egal ob Physiotherapie oder Arztpraxis als absolut sinnvoll. Jede Praxis – vollkommen unabhängig von ihrer Größe – muss nämlich den Datenschutz, wie es sich aus der DSGVO ergibt, vollständig umsetzen. Der Datenschutzbeauftragte ist lediglich ein internes Kontrollorgan, bei dem der Datenschutz zusammenläuft. Der Datenschutzbeauftragte ist ein Gewinn für jede Praxis und keine Belastung… vorausgesetzt er weist ausreichende Fachkenntnisse auf und verfügt über entsprechende Ressourcen…
Datenschutzbeauftragte brauche Expertise und Ressourcen
Kaum eine Branche profitiert im höheren Maße von einem Datenschutzbeauftragten als der Gesundheitssektor. Die ärztliche Schweigepflicht gilt nicht zu Unrecht als eine der ältesten Rechtsinstitute, die wir haben. Der Schutz von Patientendaten ist kompliziert und erfordert auf Seiten des Datenschutzbeauftragten besonder Fachkenntnisse im Datenschutz, Recht und dem Gesundheitswesen.
Ein gewiefter Datenschutzbeauftragter unterstützt die Praxis darin, den Datenschutz entspannt umzusetzen und hilft, das Vertrauen der Patienten in die Praxis zu fördern.
Zahl der Hackerangriffe auf Einrichtungen im Gesundheitswesen steigt 2024 dramatisch
Cyberkriminalität: Bedrohungslage bleibt für Praxen auch 2024 angespannt
Der traurige Trend hält an: Cyberkriminalität gehört auch 2024 zu eines einem der wichtigsten Themen überhaupt. Wie die Tagesschau berichtete, steigt die Anzahl von Hackerangriffen auf Kliniken und Pflegeeinrichtungen stetig. Inzwischen rücken auch kleinere Arztpraxen, Physiotherapiepraxen, Ergotherapiepraxen oder Logopädiepraxen ins Visier der Hackerbanden.
Interessant ist zu sehen, dass nach neuesten Forschungen, die hinter den Angriffen stehenden Hacker-Bande eher als lose Zusammenschlüsse von Kriminellen zu sehen sind, die sich untereinander häufig überhaupt nicht persönlich kennen.
Cyberangriffe auf Praxen besonders interessant
Cyberkriminelle ist eigentlich immer gleich: nach einem erfolgreichen Angriff auf ein Computersystem, werden Daten verschlüsselt, d.h. für die Verwender erst einmal unbrauchbar, um dann den Schlüssel für die Daten gegen eine Lösegeldforderung wieder vermeintlich freizugeben.
Erfolgreicher Angriff auf eine Praxis für Physiotherapie, Ergotherapie oder Logopädie ist ähnlich interessant für die Hacker wie ein erfolgreicher Angriff auf einer Arztpraxis oder Zahnarztpraxen. Daten sind nämlich nicht nur für den Betrieb der Praxis erforderlich. Ein erfolgreicher Angriff stellt in der Regel nämlich auch eine Datenschutzverletzung dar. Praxen könnten daher eher als andere Unternehmen geneigt sein, Lösegelder zu zahlen.
Das Bundeskriminalamt grundsätzlich die Empfehlung aus, auf Lösegeldforderungen nicht einzugehen, da sonst weitere Hacker ermutigt werden. Allgemeine Empfehlung durfte auch für betroffene Arztpraxen, Zahnarztpraxen oder für Physiotherapiepraxen gelten.
Bei Cyberkriminalität gilt auch für Praxen: Vorsicht ist besser als Nachsicht.
Für Praxen gilt zwar, dass die Umsetzung der Richtlinie für Anforderungen zu Gewährleistung der IT Sicherheit beachtet umgesetzt sein sollte. Verlautbarungen der kassenärztlichen Bundesvereinigung gelten zwar formal nur für Vertragsarztpraxen. Der Richtlinie sollte allerdings ein allgemeiner Charakter beigemessen werden, weshalb auch in Physiotherapie Praxen, Ergotherapiepraxen oder Zahnarztpraxen eine Umsetzung angestrebt werden sollte. Nur so lässt sich der Angemessenheitsnachweis gemäß Art. 32, 5 Abs. 2 DSGVO sicher führen.
Da die Richtlinie jedoch im wesentlichen nur die technische Seite betrifft, sollte die Umsetzung unbedingt durch ein umfassendes Sensibilisierungs und Schulungskonzept Personen sein. Jede Praxis für Physiotherapie oder Ergotherapie aber auch ihre Arztpraxis oder Zahnarztpraxis sollte zwingend ihre Mitarbeiter in der IT Sicherheit ausreichend Schulen. Mit unseren e-learnings bieten wir hierfür eine sehr gute und kostengünstige Möglichkeit.
Hacker führen Cyberangriffe mit Zahnbürsten aus
Hacker nutzen Zahnbürsten für Cyberangriffe? Angeblich sei es Hackern gelungen, auf 3 Millionen elektrischen Zahnbürsten - also Gegenstände, die man durchaus auch in Arzt, Zahnarzt oder [...]
Kein Datenschutzbeauftragter: Häufiger Datenschutzverstoß laut EDSA!
Fehlender Datenschutzbeauftragter häufigster Datenschutzverstoß Datenschutzbeauftragter, als Institution im Datenschutz gibt es ihn nicht erst seit 2018, also dem Jahr der DSGVO. Zwar erschien es bis 2018 vielen [...]
Zahl der Hackerangriffe auf Einrichtungen im Gesundheitswesen steigt 2024 dramatisch
Cyberkriminalität: Bedrohungslage bleibt für Praxen auch 2024 angespannt Der traurige Trend hält an: Cyberkriminalität gehört auch 2024 zu eines einem der wichtigsten Themen überhaupt. Wie die Tagesschau [...]
