Der Faktor Mensch ist das größte Sicherheitsrisiko

Ohne Internet kommt heutzutage keine Apotheke mehr aus. Warenwirtschaftssysteme, die telematische Infrastruktur, E-Rezepte etc. setzen Ihre Offizin durch eine ständige Onlinepräsenz permanent vielen Cyber-Risiken aus. Angesichts immer raffinierterer Angriffsmöglichkeiten aus dem World Wide Web und der in den letzten Jahren deutlich gestiegenen Zahl an Cyber-Attacken durch professionelle Hacker sollten Sie sich als Apothekeninhaber/-leiter in diesem Kontext folgende Fragen stellen:

Heutzutage werden nicht mehr nur die großen Unternehmen, sondern auch mittelständische und kleine Betriebe von Hackern attackiert. Der Spruch "Es trifft ja eh nur die Großen" ist längst Makulatur geworden. Aktuelle Beispiele für die Vielseitigkeit der Angriffe sind eine Pfarrei aus Mecklenburg-Vorpommern, ein Onlinebuchhändler, ein Klinikverbund am Bodensee sowie das Internationale Rote Kreuz.

Die Auswirkungen auf Unternehmen sind dramatisch und können neben dem Datenverlust den gesamten Tagesablauf in Produktion, Vertrieb und Verkauf lahmlegen, wenn Systeme plötzlich nicht mehr funktionieren. Dies führt zum Verlust von Einnahmen und kann der Marke bzw. dem Unternehmen am Ende erheblichen Schaden zufügen.

Im Gesundheitswesen wurden im vergangenen Jahr knapp 88% der Organisationen mindestens einmal Opfer eines Cyber-Angriffs, knapp die Hälfte sogar mehrfach. Dass Vor-Ort-Apotheken in punkto Cyber-Risiken keineswegs auf einer Insel der Seligen leben, hat der Hackerangriff auf das Software-Haus CGM (Compugroup Medical) Ende 2021 deutlich aufgezeigt: Damals hatten sich viele Apotheker wahrscheinlich zum ersten Mal die Frage gestellt: Was ist ein Ransomware-Angriff (Details s.u.), und was können die Konsequenzen für meine Offizin sein? Die Folgen des Cyber-Angriffs waren gravierend und hatten massive Auswirkungen auf das Softwarehaus und dessen Kunden.

Phishing oder auch Spam-Mailing ist eine der aktuell populärsten Methoden. Diese auf Social Engineering basierte Angriffsform setzt auf die Gutgläubigkeit der Opfer und baut auf der Nachahmung von vertrauenswürdigen Internetseiten oder namhaften Institutionen wie Banken auf. Über diese gefälschten Webseiten, E-Mails oder Kurznachrichten wird schließlich versucht, an sensible Nutzerdaten zu gelangen.

Phishing-Nachrichten werden oft massenhaft verschickt in der Hoffnung, einige ahnungslose Leute zur Preisgabe ihrer Daten zu verleiten. Oft sind es nur Kleinigkeiten, wie vertauschte Buchstaben oder Zahlen, die eine Fälschung vom Original unterscheiden.

Marcus Lenczyk: "Ich bin auch ein Hacker, aber ich gehöre zu den Guten."

Es gibt aber auch gezielte, perfekt angepasste Angriffe auf Unternehmen oder Personen in wichtigen Positionen. Diese Unterart wird dann als "Spear-Phishing" und "Whaling" bezeichnet. Selbst Sprachnachrichten (Voice-Phishing oder auch Vishing) können heutzutage gefälscht werden.

Um sich bestmöglich vor Phishing-Angriffen zu schützen sollten dreierlei Punkte beachtet werden:

• Erstens ist es wichtig, die Mitarbeiter in Sachen Cyber-Sicherheit zu sensibilisieren und schulen zu lassen, damit sie stets auf dem neuesten Stand sind.
• Zweitens sollte unbedingt eine wirksame E-Mail-Sicherheitslösung beispielsweise in Form eines Anti-Spam-Programms auf den PCs und ggf. Servern installiert sein. Einige der bekannten Anbieter filtern Phishing- bzw. Spam-Mails bereits automatisiert heraus.
• Drittens empfiehlt sich ein Programm zur Web-Adressen-Filterung. Hierbei werden die Mitarbeiter insofern entlastet, als dass nur bekannte und geprüfte – also sichere – Internetseiten aufgerufen werden können.

"72% der Datenschutzverletzungen im Gesundheitsbereich führen zum Verlust sensibler medizinischer Daten – insbesondere von Patientendaten sowie Patientenakten in Kliniken, Praxen und Apotheken."

Ein weiteres, ebenfalls sehr großes Sicherheitsproblem ist Ransomware. Dabei werden die eigenen Daten auf dem Rechner durch Schadprogramme – auch "Trojaner" genannt – verschlüsselt und der Zugriff darauf verhindert. Der Angriff wird intensiv vorbereitet und die Opfer unter anderem über Social Media ausgespäht, um mögliche Sicherheitslücken in der Firma zu finden. Teilweise gibt es auch Programme, sogenannte "Schläfer-Zellen", die erst nach längerer Wartezeit auf dem Endgerät oder nach Aktivierung von außen aktiv werden. Ransomware-Angriffe laufen stets darauf hinaus, dass die Daten in Geiselhaft genommen werden, bis ein Lösegeld bezahlt wird.

Die wirksamste Schutzmaßnahme sind regelmäßige Datensicherungen (Backups). Alle Laufwerke auf den Rechnern und Servern sollten verschlüsselt werden. Für Windows-Nutzer ist die einfachste Methode der Bitlocker. Um im Falle des Falles möglichst schnell reagieren zu können, sollte ein schneller Reaktionsweg geschaffen werden, um größere Schäden zu verhindern.

Sich als Apothekeninhaber selbst um die IT-Sicherheit seiner Offizin zu kümmern, ist angesichts der Komplexität des Themas und Ihrer ohnehin sehr raren Zeit nicht ratsam. Vielmehr empfiehlt es sich – zumal wenn Sie keinen hauseigenen IT-Support haben – einen externen IT-Dienstleister einzubinden. Neben dem Kosten-Nutzen-Verhältnis sollten auch die Erfahrungen und Referenzen geprüft werden. Schließlich muss am Ende des Tages ein gesundes Vertrauensverhältnis aufgebaut werden, damit es zu einer fairen, vertrauensvollen Zusammenarbeit kommen kann. Ist ein solcher Dienstleister gefunden, können Sie zusammen mit diesem ein modernes, auf Ihre Apotheke angepasstes IT-Security-Konzept entwickeln und umsetzen.

Eines sollte bei allen technischen Überlegungen rund um die IT-Sicherheit nicht übersehen werden: Die größte Schwachstelle in Firmen und Organisationen ist und bleibt der Faktor Mensch. Haben Sie als Apothekeninhaber alle sinnvollen Sicherheitsvorkehrungen getroffen, dann bleiben als einzig wirklich erfolgversprechendes Einfallstor für Cyber-Angriffe nur Ihre Mitarbeiter.

Das wissen professionelle Hacker nur zu gut und haben deshalb in punkto Kreativität in den letzten Jahren stark aufgerüstet. So hat beispielsweise eine Bürokauffrau zu ihrem Geburtstag einen mit Swarovski-Steinen besetzten USB-Stick zugeschickt bekommen, auf dem sich ein individuell für sie gestalteter musikalischer Geburtstagsgruß befand. Aber eben nicht nur dieser, sondern auch eine Schadsoftware, mit der die IT-Infrastruktur nach Einführen des Sticks in kürzester Zeit infiziert wurde.

Wie ein IT-Security-Konzept aussehen könnte, haben wir in diesem Infokasten holzschnittartig für Sie zusammengefasst. Auf jeden Fall beinhalten sollte ein solches Konzept:

• ein Virenschutzkonzept mit aktuellen "Pattern" (Virendefinitionen),
• einen Notfallplan/Wiederanlaufplan inklusive Dokumentation, welche Systeme im Notfall die wichtigsten sind, die sofort wieder hergestellt werden müssen,
• Benutzerrichtlinien (inklusive Passwörter etc.),
• ein Backup-Konzept zur Sicherung der wichtigsten Daten mit externer Lagerung,
• regelmäßige Security Awareness Trainings – Mitarbeiter sensibilisieren für aktuelle Cyberrisiken,
• eine Webadressenfilterung (WAF), die dafür sorgt, dass Webseiten mit schädlichem Inhalt präventiv ausgefiltert werden,
• ein E-Mail-Filtersystem, um SPAM- sowie Phishing-Angriffe effektiv abzuwehren.

Marcus Lenczyk, Geschäftsführer & Senior IT Consultant, Peppermind Systems e.K., 84539 Ampfing, E-Mail: marcus.lenczyk@peppermind-systems.com