Wie Sie Ihre IT sicher machen

Momentan gibt es fast täglich Meldungen zu Hackerangriffen, die große Schäden in den betroffenen Unternehmen anrichten. Dabei sind die Meldungen nur die Spitze des Eisbergs und skizzieren kein umfassendes Bild vom tatsächlichen Ausmaß.

Oftmals wird die IT-Sicherheit mit dem Argument vernachlässigt, dass sie nur zusätzliche Kosten verursache und keine positiven Auswirkungen auf die betriebswirtschaftlichen Ergebnisse habe. Eine solche Schlussfolgerung ist aber insbesondere auch für Apotheken sehr gefährlich, denn sie können durch einen Hackerangriff vor gravierende finanzielle, organisatorische und rechtliche Probleme gestellt werden. Und selbst wenn in den Medien zumeist von Attacken auf große Unternehmen berichtet wird: Kleine und mittlere Betriebe stehen sehr wohl im Fokus von Angreifern, gerade weil sie oft unzureichende Vorkehrungen getroffen haben, um ihre IT-Systeme abzusichern.

Damit Sie die Risiken einer Cyberattacke für Ihre Apotheke besser bewerten können, sollten Sie sich zunächst mit der Frage auseinandersetzen, wie abhängig Ihr Tagesgeschäft von der IT ist:

• Welche Folgen hätte es, wenn Ihr Warenwirtschafts- oder Ihr Online-Shop-System ausfallen würde?
• Was wäre, wenn Ihr Rezeptscanner nicht mehr funktionieren würde?
• Und was, wenn Sie nicht mehr auf die Daten der letzten Arbeitswoche zugreifen könnten?

Apotheken müssen sich außerdem fragen, ob die Vertraulichkeit der Patientendaten immer gewährleistet ist, zählen diese doch zu den besonders schutzwürdigen personenbezogenen Daten gemäß Art. 37 Datenschutz-Grundverordnung (DS-GVO). Hinzu kommt: Die Verarbeitung von Gesundheitsdaten in Form von Rezepten ist durch §203 Strafgesetzbuch ("Verletzung von Privatgeheimnissen") geschützt. Insofern hätte ein Datenverlust durch einen Hackerangriff auch rechtliche Konsequenzen (vgl. zudem den Exkurs im Kasten).

Zusammengefasst lassen sich die Folgen von Cyberattacken meistens einer oder mehreren der nachfolgenden Kategorien zuordnen:

• Verlust des Zugangs zu den eigenen Informationen und Systemen,
• Betriebsunterbrechung und Notbetrieb über mehrere Tage,
• Bußgeldzahlungen als Folge von Verstößen gegen die DS-GVO,
• hoher Imageschaden und Vertrauensverlust bei den Kunden sowie
• eine permanente Unsicherheit und das Gefühl der eigenen Verwundbarkeit.

Der genaue wirtschaftliche Schaden lässt sich erst beziffern, wenn man selbst betroffen ist. Aber vermutlich wird keiner von Ihnen die Gefahr eines mehrtägigen Betriebsausfalls als geringes Risiko einstufen.

Um sich gezielt gegen Hackerangriffe abzusichern, sollten Sie diejenigen IT-Sicherheitsrisiken kennen, die für Apotheken erfahrungsgemäß am relevantesten sind. Wir stellen sie Ihnen nachfolgend mitsamt Gegenmaßnahmen vor:

Unsichere Passwörter

Ursache für die meisten Sicherheitsvorfälle sind nach wie vor schwache Passwörter, die sich leicht ausspähen bzw. hacken lassen. Legen Sie daher Mindestanforderungen an Passwörter verbindlich in einer Richtlinie fest. Häufig verwendete Passwörter wie "123456", "Passwort", "Praxis" oder der Apothekenname stellen Angreifer vor keine großen Herausforderungen.

Fehlende Sensibilisierung der Mitarbeiter

Bereits durch einen einzigen Klick auf einen schädlichen Mailanhang oder einen Fake-Link können die kompletten IT-Systeme einer Apotheke mit Schadsoftware infiziert werden. Seit einigen Jahren wird hierbei besonders häufig sogenannte Ransomware eingesetzt – Trojaner, die Ihre Festplatten verschlüsseln. Dafür, dass sie Ihnen die Kontrolle über Ihre Daten zurückgeben, fordern die verantwortlichen Hacker eine mindestens fünfstellige Lösegeldsumme. Allein schon deshalb sollten Sie Ihre Mitarbeiter und alle Systemnutzer unbedingt mit regelmäßigen Schulungen für diese Gefahren sensibilisieren.

Unregelmäßige Datensicherungen

Datensicherungen können im Fall der Fälle Ihre "Lebensversicherung" sein – vorausgesetzt, Sie führen sie regelmäßig durch. Legen Sie daher das Zeitintervall für einen tolerierbaren Datenverlust fest, und sichern Sie die Daten Ihrer Systeme zu den entsprechenden Zeitpunkten immer vollständig. Bewahren Sie die gesicherten Daten zudem so auf, dass sie vor einem Verlust oder Schäden durch Viren geschützt sind. Leider führen viele Apotheken ihre Datensicherungen nur in unregelmäßigen Abständen durch, sodass im Schadensfall nicht alle Daten zurückgeholt werden können.

Je älter die Softwareversionen Ihrer Betriebssysteme und Anwendungen sind, desto anfälliger sind sie gegenüber Angriffen. Deswegen ist es unerlässlich, regelmäßig die neuesten Updates der Hersteller auf die Systeme in Ihrer Apotheke zu spielen.

Da Hackerangriffe natürlich nicht zu Ihren vorrangigen Aufgaben zählen, ist es umso wichtiger, dass Sie sich gut vorbereiten, um im Ernstfall handlungsfähig zu sein. Dokumentieren Sie daher Abläufe und Verantwortlichkeiten in einem Notfallplan, der dem ganzen Team – am besten in gedruckter Form – zugänglich sein sollte. In diesem Plan lässt sich auch festlegen, innerhalb welcher Zeit ein professioneller Dienstleister reagieren muss, der Sie eventuell bei IT-Sicherheitsfragen unterstützt.

Wenn Sie sich mit diesen Risiken erst nach einem Sicherheitsvorfall auseinandersetzen, ist in den meisten Fällen bereits ein großer Schaden entstanden. Deswegen ist es entscheidend, präventiv tätig zu werden und über den Notfallplan hinaus ein allgemeines IT-Sicherheitskonzept zu erstellen, das auf Ihre Apotheke abgestimmt ist. Viele Risikofaktoren lassen sich so bereits ohne große IT-Kenntnisse reduzieren. Helfen können Ihnen unsere zehn Prüffragen (unten).

Wie jedes andere Unternehmen kann auch Ihre Apotheke zum Ziel von Hackerangriffen werden. Weil große Teile Ihres Geschäftsbetriebs von der IT und der Verarbeitung hochsensibler Patientendaten abhängen, bestehen hohe betriebswirtschaftliche und rechtliche Risiken. Werden Sie also tätig, bevor es überhaupt erst zum Ernstfall kommt, und erhöhen Sie Ihre IT-Sicherheit mit einem passgenauen Konzept für Ihre Apotheke.

1. Sind Sie auf einen Ausfall Ihrer IT-Systeme vorbereitet?
2. Schulen Sie Ihr Personal regelmäßig zur IT-Sicherheit?
3. Haben Sie aktuelle Schutzmaßnahmen für den Umgang mit Gesundheitsdaten etabliert?
4. Existieren Regelungen für Ihr Personal zu den Themen Internetnutzung, Passwortsicherheit, Nutzung privater Endgeräte sowie gegebenenfalls Homeoffice?
5. Sind Ihre IT-Systeme technisch abgesichert, z.B. durch Firewalls, Virenschutz, Webfilter und regelmäßige Updates?
6. Haben Sie Prozesse zur regelmäßigen Datensicherung etabliert?
7. Haben alle Nutzer eigene Zugangskennungen und individuelle Passwörter?
8. Können Sie bei einem Ausfall des Kommissionierers per Hand auf die Waren zugreifen?
9. Existiert eine Krisenstrategie für den Ernstfall, die allen Beschäftigten bekannt ist?
10. Gibt es Fachpersonal oder externe Dienstleister, die im Krisenfall unterstützen können?

Dr. Marian Corbe, Geschäftsführender Gesellschafter, RST Informationssicherheit GmbH, 45128 Essen, E-Mail: mcorbe@rst-beratung.de