Wie sie sich vor Cyber-Kriminalität schützen

Manipulationen der IT und Datenklau-Angriffe können auch in Apotheken für verheerende organisatorische, finanzielle und rechtliche Probleme sorgen. Im schlimmsten Fall hat das Leck in der IT-Sicherheit existenzbedrohende Folgen. Im Apothekenumfeld gibt es bereits zahlreiche Beispiele für massive Probleme bei der IT-Sicherheit.

Apotheken sind regelhaft einfache und somit ideale Ziele für Cyberkriminelle, denn oftmals steht die IT-Sicherheit erst weit unten auf der Prioritätenliste von Apothekenleitern. Diese bemerken häufig erst, welche Relevanz das Thema hat, nachdem ein Hacker in ihr System eingedrungen und ein Schaden entstanden ist.

Wie IT-Schäden ins Haus kommen, lässt sich in den seltensten Fällen vorhersagen. Möglich sind etwa die folgenden Ursachen:

• Ein Virus dringt bei einem Download in die Systeme ein.
• Per "Phishing" werden brisante Datensätze (wie z.B. Kontodaten) ausgespäht und für einen Diebstahl genutzt.
• Ein Mitarbeiter wurde in Sachen IT-Sicherheit nicht richtig eingewiesen und löscht versehentlich Datenbanken oder klickt auf einen Schadlink.
• Und auch eine Drohung bzw. Erpressung kann dazu führen, dass Daten digital übermittelt werden, die nicht nach außen dringen sollen.

Speziell Apotheken bieten Hackern und Co. eine große Angriffsfläche, die mit der stetig fortschreitenden Digitalisierung der Arbeitsprozesse weiter zunimmt: Je mehr internetbasierte Prozesse den Apothekenalltag bestimmen, umso größer sind die Risikopotenziale – und umso mehr Schwachstellen müssen beachtet werden. Ein Blick auf die "Gerätelandschaft" in der Apotheke gibt Aufschluss über mögliche Schwachstellen:

• Werbedisplays,
• Kommissionierautomaten,
• Warenwirtschaft mit Point-of-Sale (POS)-System,
• Medium-Speed-Version-3 (MSV3)-Schnittstellen,
• Rezeptscanner,
• Vorbestell-Apps,
• "smarte" Kühlschränke oder auch die
• digitale Sichtwahl.

Die Folgen der IT-Schäden für Apotheken sind ebenso vielfältig. Hier wäre beispielsweise zu denken an:

• einen vollständigen bzw. partiellen Betriebsausfall,
• einen Datenverlust (z.B. von Kundendaten) mitsamt rechtlichen Konsequenzen und
• Imageschäden.

Ihr Stichwort in Sachen IT-Sicherheit sollte "Vorsorge" sein. Denn nur, wenn noch nichts geschehen ist, lassen sich Schäden verhindern. Bereits geringfügige Anpassungen können für einen besseren Schutz der IT-Systeme sorgen und Ihnen dadurch viel Ärger ersparen.

Wohl am wichtigsten ist es dabei, die einzelnen Netzwerkkomponenten aktuell zu halten. Denn häufig sind fehlende Sicherheitsupdates eines der Hauptprobleme.

Weiterhin sollten Sie ein auf die Apotheke abgestimmtes Backup-Konzept erstellen. Denn oftmals werden Backups selten vorgenommen und können damit keinen ausreichenden Schutz gewährleisten. Wenn sich eine Apotheke z.B. einen Verschlüsselungs-Trojaner einfängt (also eine Schadsoftware, die ganze Systeme oder einzelne Daten so verschlüsselt, dass sie nur mit einem bestimmten Code wieder zugänglich gemacht werden können), wird es ohne Backup-Konzept so gut wie unmöglich sein, alle Daten "zurückzuholen".

Ein professionelles Backup-Konzept bedeutet: Mindestens eine Backup-Version täglich, bei der ältere Backups allerdings nicht überschrieben, sondern ergänzt werden. Sie sollten die Wiederherstellung einer Backup-Version gelegentlich simulieren, sodass im Ernstfall alles reibungslos ablaufen kann. Darüber hinaus sollten Sie dafür sorgen, dass Sie für den Notfall immer auch auf eine Kopie der aktuellen Sicherung zurückgreifen können, die auf einem externen Server gespeichert wird.

Wichtig ist auch, dass Sie eine Firewall haben. Damit können Sie Ihr Rechnernetz oder auch einzelne Computer vor fremden Netzwerkzugriffen schützen. Auf dem Markt werden verschiedene Pakete angeboten, die die Grundsicherung mit zusätzlichen Sicherheitsfaktoren wie "Anti-Phishing" oder "Anti-Tracking" ergänzen. Sie sollten Ihre Firewall ebenfalls regelmäßig aktualisieren. Denn wenn sich der Schutz durch die Firewall auch gegen aktuelle Bedrohungen richtet, ist er naturgemäß effektiver.

Eine Firewall kann das Netzwerk auch von innen nach außen schützen: Indem Sie Ihren Mitarbeitern hierdurch den Zugriff auf gewisse Webseiten untersagen, lässt sich in manch einem Fall Unwissenheit als Schadensursache ausschließen.

Nicht zuletzt gehört darüber hinaus ein aktueller Virenscanner zur Standardsicherheitsausrüstung in Sachen IT. Der Scanner untersucht Computer mithilfe sogenannter "Signaturen" regelmäßig auf Viren, Trojaner und andere Schadsoftware. Auf dem Markt werden Virenscanner übrigens häufig als Kombipakete mit Firewalls angeboten.

Sie sollten nicht nur darauf achten, dass Sie über diese technischen Möglichkeiten für die IT-Sicherheit verfügen, sondern auch darauf, dass Sie intern gut auf den Ernstfall vorbereitet sind. Wichtig ist, dass es bei einem plötzlichen Systemausfall jederzeit einen Mitarbeiter oder externen Dienstleister gibt, der die dann erforderlichen Maßnahmen unmittelbar einleiten kann, sodass sich der Betrieb schnellstmöglich wieder aufnehmen lässt. Der zuständigen Person sollte dabei in jedem Fall auch bekannt sein, welche gesetzlichen Erfordernisse nötig sind, beispielsweise in Sachen Datenschutz bei Gesundheitsdaten. Die Wiederherstellung des Systems kann sich je nach Sicherheitsproblem und Expertise von wenigen Stunden bis über mehrere Tagen hinziehen.

Für den Ernstfall sollte es eine ausformulierte, allen Mitarbeitern bekannte Krisenstrategie geben, die fehlerträchtiges Handeln verhindern kann. Sinnvoll ist es auch, für neue Mitarbeiter einen IT-Schulungsplan zu erstellen, um Fehlbedienungen zu vermeiden. Mitarbeiter sollten z.B. von Beginn an darauf geschult sein, Zugangsdaten so zu verwahren, dass Dritte keinen Zugriff haben.

Zudem sollten Sie eine Strategie für den Fall bereithalten, dass der Kommissionierer ausfällt. Dann nämlich ist es wichtig, dass Sie auf Ihren Warenbestand auch "per Hand" zugreifen können.

Überdies können Sie darüber nachdenken, eine Cyberrisk-Versicherung abzuschließen. Achten Sie dann darauf, dass die Deckungssumme ausreichend hoch ist, damit Sie im Schadensfall eine ausreichende "Entschädigung" erhalten. Die Versicherungsbranche stellt sich immer mehr auf Cyber-Attacken auch in Apotheken ein und bietet inzwischen umfassende Pakete an, die neben der Wiederherstellung und Reparatur der IT-Systeme auch die Beauftragung von sogenannten "Computer-Forensikern" und spezialisierten Anwälten, den Einsatz einer professionellen Krisen-PR sowie einen finanziellen Ausgleich für den Betriebsausfall einschließen können.

Zahlreiche Beispiele zeigen, dass das alltägliche Apotheken-Geschäft infolge der Digitalisierung immer stärker von einer funktionierenden und sicheren IT-Infrastruktur abhängt. Wie ein Angriff erfolgt und welche Auswirkungen er haben wird, lässt sich nur selten vorhersagen. Umso bedeutender ist ein Sicherheitskonzept, das sowohl Hardware als auch Software einschließt und einen Cyber-Angriff verhindern kann. Auch wenn es keine hundertprozentige Sicherheit gibt, tragen aktuelle Netzwerkkomponenten, regelmäßige Backups, eine Firewall und ein adäquater Virenschutz zu einem soliden Grundschutz für die IT-Systeme der Apotheke bei: "Vorsorge" sollte stets Ihr Stichwort sein.

Patric Schranner, Technischer Leiter, 180° IT GmbH, 40549 Düsseldorf, E-Mail: kontakt@180-it.de