Ein Urteil voller Missverständnisse

Von Joachim Jakobs

Früher standen die Patientendaten zentnerschwer im Schrank. Heute passen diese Daten auf einen Daumennagel-großen Chip. Die Frage ist: Wie läßt sich sicherstellen, dass niemals Unbefugte an die Daten herankommen, die Ärztin und ihre Mitarbeiter aber jederzeit?
Wie leicht man an dieser Aufgabe scheitern kann, hat im Frühjahr 2013 eine Arztpraxis im Landkreis Weilheim Schongau erlebt: Bei einem Einbruch im vergangenen März soll – so der Polizeibericht – auch ein Laptop geklaut worden sein. Ob sich darauf Patientendaten befunden haben, wurde nicht mitgeteilt.

Effektiver und weniger riskant als Einbruchdiebstahl ist es, dem Arzt den Zugriff auf seine Daten zu verbauen – etwa durch das Verschlüsseln der Patientendaten. Diese Erfahrung hat im vergangenen Sommer ein Chirurg im mittleren Osten der USA gemacht. Die Masche macht weltweit Schule: Im Australischen Queensland wurde zur Jahreswende von einer Lösegeldforderung in Höhe von umgerechnet über 3.000 Euro berichtet. Die Zahlung ist einem Pressebericht zu Folge verweigert worden – die Mitarbeiter seien jetzt dabei, die Patientendaten der letzten sieben Jahren erneut von Hand zu erfassen. Bei ihrem Angriff sollen die Täter von schwachen Passwörtern profitiert haben. In einem anderen Fall hingen an so einem schwachen Passwort 780.000 Patientendaten. Wobei der Anwender einigen Aufwand für ein starkes Passwort treiben muß. Schließlich dauert es maximal sechs Stunden, um ein beliebiges 8-stelliges Passwort mit Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen durch maschinelles Ausprobieren zu knacken. Das Erpressungsgeschäft scheint in Queensland jedenfalls gut zu laufen – 2012 sollen 11 Praxen betroffen gewesen sein.

Nun könnte Mancher auf die Idee kommen: „Ich speichere meine Daten nicht auf einem Computer mit Internet-Anschluß; also kann mir nichts passieren!“ Das aber wäre voreilig: Im letzten Jahr wurden mehrere verseuchte USB-Speicher auf den Parkplätzen des Holländischen Chemieunternehmens DSM gefunden. Glücklicherweise wurde einer dieser Datenspeicher frühzeitig enttarnt und die Mitarbeiter konnten gewarnt werden. In einem anderen Fall konnten die Mitarbeiter ihrer Neugier nicht widerstehen und wollten gucken, wem das Teil gehört. Ergebnis: 1400 Anwenderrechner und Server wurden infiziert.

Sicherheitsexperten fürchten die Kombination von sorglosen und neugierigen Mitarbeitern einerseits, den Standardeinstellungen des Betriebssystems Windows andererseits und drittens technisch brilliante Schadsoftware. Allein das Anschließen eines derart verseuchten USB-Speichers an einen Standard-Windows-Computer reicht, um die Schadsoftware zu aktivieren – der „Autorun“- Funktion von Windows sei Dank. Und selbst wenn Autorun unterdrückt ist: Manche Schadsoftware ist so aggressiv, dass das bloße Betrachten des Ordners mit dem „Windows Explorer“ ausreichen soll, um den Ärger zu verursachen. Sicherheitsberater sehen im USB-Anschluß daher eine „Universal Security Backdoor“
(„allgegenwärtige Sicherheitshintertür“); sie verlangen deshalb, die Verwendung von USB-Geräten in sicherheitskritischen Bereichen zu verbieten und die entsprechenden Anschlüsse zu blockieren. Der Grund für die drastische Forderung: Wer übers Netz angreift, muß erstmal Firewall und Antivirensoftware überwinden. Wenn ein argloser Mitarbeiter einen unbekannten Datenspeicher am Arbeitsplatz „ausprobiert“, tut er das mit allen Rechten, die er auf diesem Rechner hat. Der Mitarbeiter wird so zum ahnungslosen Komplizen der Angreifer.

Ein Bonmot aus Sicherheitskrisen sagt: ‘Du kannst einen Computer so sicher machen wie Du willst – ein Angreifer wird immer einen Dummen finden, der diesen Computer wieder kompromittiert.’

“Ärzte im Belagerungszustand” vollständig lesen