Ein Cyberangriff, der im März 2022 eine Gruppenpraxis im Kanton Neuchâtel betraf, zeigt, dass systematische Angriffe durch Cyberkriminelle auch Gesundheitseinrichtungen betreffen können. Beim Angriff wurden Verschlüsselungstrojaner (Ransomware) eingesetzt. Diese können die Daten einer Arztpraxis verschlüsseln und so den Zugang zu diesen Daten verhindern. Erpresser fordern in der Folge für die Entschlüsselung der Daten Lösegeld. Im Fall der betroffenen Gruppenpraxis wurde der Angriff durch die Ransomware-Gruppierung LockBit-2.0 durchgeführt. Die Gruppierung entwickelt eigene Ransomware-Programme, die eine Vielzahl an Techniken einsetzen, und bietet diese als Dienstleistung in einem Partner-Netzwerk an. Die Angreifer hinterlassen in den betroffenen Verzeichnissen der Opfersysteme stets eine Lösegeldforderung, die Anweisungen enthält, wie die Entschlüsselungssoftware zu beschaffen ist. Auch wenn Sie über ein funktionierendes Backup verfügen und die Daten wieder zurückspielen können, sind die Systeme (elektronische Krankengeschichte) für einige Tage nicht oder nur eingeschränkt verfügbar. Zudem haben die Angreifer häufig einen Plan B für den Fall, dass die Opfer vorgesorgt haben und daher aktuelle Backup-Daten existieren, die eingespielt werden können: In der Lösegeldforderung wird auch damit gedroht, dass exfiltrierte Opferdaten auf der LockBit-Leak-Site veröffentlicht werden, und ein Lösegeld gefordert, um diese Aktionen zu verhindern. Noch problematischer wird es allerdings, wenn es die Angreifer schaffen, auch die Backups zu verschlüsseln und es keine Möglichkeit mehr gibt, die Daten wiederherzustellen [1].

Zwischenzeitlich hat die Gruppierung LockBit-3.0 lanciert und investiert so ihre Gewinne in ein Belohnungsprogramm (Bug-Bounty). Sie ruft Cyberkriminelle auf, Schwachstellen auf Websites, Fehler in der Ransomware-Verschlüsselung oder Schwachstellen in der Tor-Infrastruktur (Anonymisierungs-Netzwerk, «Darknet») zu entdecken [2]. Das Nationale Zentrum für Cybersicherheit (NCSC) stellt Empfehlungen und Checklisten bereit, die bei einem Vorfall mit Ransomware grundsätzlich zu beachten sind [3, 4]. Weitere Informationen über Schutzmassnahmen sowie über Massnahmen nach einem Vorfall finden Sie auf der Webseite der Initiative «No More Ransom».

Aktuell benutzen Cyberkriminelle wieder vermehrt gestohlene E-Mail-Konversationen, um Mitarbeitende direkt anzuschreiben. Dies mit dem Ziel, Schadsoftware zu verbreiten. Die in diesem Jahr in der Schweiz verbreitete Malware QuakBot animiert die angeschriebenen Mitarbeitenden, auf einen Link (LNK-Datei) zu klicken oder einen Anhang zu öffnen. Dahinter verbirgt sich eine Datei (oftmals eine ZIP-Datei mit Passworteingabe), die den Computer mit QuakBot infiziert. Als Folge einer Infektion werden oftmals Unternehmensdaten verschlüsselt und Unternehmen durch die Angreifer zu einer Lösegeldzahlung aufgefordert. Wie bei Ransomware gibt es bei dieser Form von Cybervorfällen Plattformen wie Emotet, die eine Reihe von Schadsoftware nachladen respektive aktivieren können. Malware verbreitet sich, indem sie Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme ausliest und versendet. Durch die Verwendung der Adressen, des Betreffs oder der Anrede wirken die versendeten E-Mails authentisch. Auch bei vermeintlich bekannten Absendern sollten Mitarbeitende in Arztpraxen bei Dateianhängen von E-Mails, insbesondere bei Office-Dokumenten und darin enthaltenen Links, vorsichtig sein. Im Zweifelsfall ist es ratsam, bei einer verdächtigen E-Mail den direkten Kontakt zum Absender zu suchen und die Glaubhaftigkeit des Inhaltes zu überprüfen.

Neben Empfehlungen im Umgang mit Malware [5] stellt das NCSC eine Webseite bereit, mit deren Hilfe verdächtige E-Mails gemeldet werden können [6]. Die FMH empfiehlt den Mitarbeitenden einer Arztpraxis auch im Zusammenhang mit E-Mails, die vermeintlich aus vertrauenswürdigen Quellen stammen, Vorsicht walten zu lassen.

Phishing ist eine Methode, bei der Cyberkriminelle vertrauliche Daten wie Zugangsdaten, Passwörter oder Kreditkartendaten zu erspähen versuchen. Das Opfer erhält eine E-Mail mit der Aufforderung, vertrauliche Daten einzugeben. Inhalte dieser E-Mails können Rechnungen sein oder die Aufforderung zur Bestätigung oder Aktualisierung eigener Benutzerkonten.  

Aktuell werden in der Schweiz E-Mails versendet, die eine Lieferung des Paketdienstes DHL vorgeben, auf eine neue Nachricht der Bank UBS oder auf eine doppelt bezahlte Rechnung der Swisscom hinweisen. In den letzten Monaten gab es auch Phishing-Versuche, bei denen kein Link versendet sondern um einen Rückruf gebeten wird. Mit dem Telefongespräch versuchen die Angreifer, Vertrauen aufzubauen. Im Anschluss an das Telefongespräch wird dann eine E-Mail versendet, diesmal mit einem Link auf eine Phishing-Webseite [7].

Phishing per SMS (Smishing) ist eine weitere Form des Betrugs, bei dem Nutzer von Smartphones SMS-Nachrichten erhalten, mit der Aufforderung, eine Webseite zu öffnen. Dabei tarnen Cyberkriminelle die Schadsoftware z. B. als eine für die Paketverfolgung angeblich notwendige App von bekannten Logistikunternehmen wie FedEx oder DHL.

(Im Anhang befindet sich eine ZIP-Datei)

Weitere Beispiele für Phishing/Smishing finden Sie unter Cybercrimepolice.

Die FMH empfiehlt Ärztinnen und Ärzten, die Empfehlungen «IT-Grundschutz» der FMH zu beachten [8]. Praxismitarbeitende müssen sowohl bei Eintritt in die Praxis als auch während der Anstellung wie auch beim Austritt regelmässig sensibilisiert werden, um die Aufmerksamkeit für das Thema Datensicherheit und Datenschutz sowie den bewussten Umgang mit Daten nachhaltig zu fördern.

Falls Sie Fragen zum Newsletter oder Verbesserungsvorschläge haben, können Sie sich gerne an [email protected] wenden.