Cyberkriminalität zählt zu den größten Bedrohungen in der Arbeitswelt. Vor allem die digitalen Erpressungen von Firmen über Hackerangriffe haben in der jüngeren Vergangenheit stark zugenommen. Bei dieser Masche infizieren die Täter einen Computer mit Schadsoftware, die sie zum Beispiel in manipulierten E-Mails verstecken. Dann verschlüsseln sie wichtige Firmendaten und stellen eine Lösegeldforderung – diese bezeichnet man im Englischen als „ransom“.
Daher sprechen IT-Experten von Ransomware. Dahinter stecken häufig professionelle Hackerbanden.
Welch verheerende Folgen so ein Angriff haben kann, zeigte sich im September 2020 in der Uniklinik Düsseldorf. Dort wurden verschiedene Server von Hackern lahmgelegt. In der Klinik ging nichts mehr. Eine Frau starb, weil der Krankenwagen, in dem sie behandelt wurde, von Düsseldorf nach Wuppertal umgeleitet werden musste. Es geht also um mehr als „nur“ um Geld – auch wenn es in den meisten Fällen genau das ist, worauf es die Kriminellen abgesehen haben. Und es geht um viel davon. Eine Klinik in Neuss verlor bei einem Hackerangriff beispielsweise über eine Million Euro innerhalb weniger Stunden.
Auch kleine und größere Praxen sind immer häufiger betroffen. Dabei machen es viele von ihnen den Kriminellen zu leicht, obwohl sie sensible Daten verwalten und speichern. Das Bewusstsein für die Gefahren aus dem Internet ist bei manchen Ärztinnen und Ärzten sowie ihren Praxismitarbeiterinnen und -mitarbeitern noch immer nicht ausreichend vorhanden.
Dabei können sich Arztpraxen mithilfe verschiedener Maßnahmen vor Cyberkriminalität schützen:
Sichere Passwörter verwenden: Eigentlich ist dies selbstverständlich und zudem ganz einfach. Doch immer noch sichern viele Privatpersonen und selbst Firmen sensible Daten mit Kennwörtern wie „1234“ oder „Passwort“. Ein Fehler, der teuer werden kann. Machen Sie es besser und stellen Sie sicher, dass alle Passwörter für die Computersysteme und Anwendungen Ihrer Praxis stark und sicher sind. Verwenden Sie komplexe Passwörter und ändern Sie sie regelmäßig.
Zwei-Faktor-Authentifizierung: Sichern Sie Systeme, die über das Internet erreichbar sind oder im mobilen Einsatz sind, zusätzlich auf diese Weise.
Regelmäßige Updates und Patches: Stellen Sie sicher, dass alle Software und Betriebssysteme auf Ihren Computern regelmäßig aktualisiert und gepatcht werden. Dies hilft dabei, bekannte Sicherheitslücken zu schließen.
Anti-Virus- und Anti-Malware-Software: Installieren Sie auf allen Geräten und Systemen in der Praxis zuverlässige Antivirus- und Anti-Malware-Software. Stellen Sie sicher, dass die Software regelmäßig aktualisiert wird. Tipp: Manche Medizingerätehersteller trainieren ihre Kunden zum Thema Cybersicherheit.
Phishing-Trainings für Mitarbeiterinnen und Mitarbeiter: Wenn arglos Mails und Links geöffnet werden, haben die Kriminellen leichtes Spiel. Auch MFA sollten darauf trainiert werden, verdächtige E-Mails und Links zu erkennen und zu vermeiden. Phishing-Angriffe sind eine der häufigsten Methoden, mit denen Cyberkriminelle versuchen, Zugriff auf Systeme zu erhalten. Fragen Sie den Praxischef/die Praxischefin nach einer Schulung!
Phishing-Mails:
Die wichtigsten Merkmale
Egal ob bei der Arbeit in der Praxis oder im privaten Kontext: Wenn Sie eine E-Mail von einer Bank, einem Dienstleister oder Online-Shop, mit denen Sie gar keine Geschäftsbeziehung haben, bekommen, dann ist Vorsicht geboten. Prüfen Sie die Mail genau. Achten Sie dabei auf folgende Zeichen:
- Gefälschte Absender-Adresse
Sieht die Absender-Adresse merkwürdig aus, seien Sie wachsam! Häufig werden Banken oder Online-Banking-Plattformen (PayPal) sowie Onlinehändler (eBay, Amazon) oder auch Buchungsportale oder die Post/DHL als Absender gewählt. Die Adressen ähneln oft den echten Mail-Adressen, sind aber nicht gleich.
- Viele Grammatik- und Orthografie-Fehler
Oft werden Phishing-Mails nicht in Deutsch verfasst, sondern wurden mit einem Übersetzungsprogramm übersetzt – mit entsprechenden Fehlern.
- Die Mail ist in einer anderen Sprache geschrieben
Phishing-Mails sind gerne auf Englisch oder Französisch geschrieben. Überlegen Sie genau, wer Ihnen Mails in einer Fremdsprache schicken könnte.
- Ihr Name fehlt in der Anrede
Institutionen, mit denen Sie zusammenarbeiten oder deren Kunde Sie sind, sprechen Sie grundsätzlich mit Ihrem Namen an und nicht mit „Sehr geehrter Kunde" oder „Lieber Nutzer". Vorsicht: Manchmal kennen die Kriminellen aber auch schon Ihren Namen.
- Angeblich besteht dringender Handlungsbedarf
Oft werden für Handlungen kurze Fristen genannt. Auch die Androhung von Konsequenzen soll die Opfer dazu bringen, schnell und unüberlegt zu handeln.
- Sie sollen persönliche Daten eingeben
Geben Sie nicht leichtfertig Ihre persönlichen Daten heraus. Seriöse Partner fragen niemals nach PIN oder TAN.
- Sie sollen eine Datei oder einen Link öffnen
Bekommen Sie eine unerwartete E-Mail, dürfen Sie angehängte Dateien keinesfalls herunterladen oder Links öffnen. Am besten öffnen Sie nicht einmal die Mail selbst.
- Logos und Icons sind unscharf
Kriminelle kopieren Logos für ihre Zwecke im Internet. Die Qualität ist oft entsprechend schlecht.
Wenn Sie bei einer Mail einen Betrugsversuch erkennen, löschen Sie diese. Falls Sie schon auf einen Link geklickt oder einen Dateianhang geöffnet haben, verwahren Sie die E-Mail als Beweismittel für die Polizei auf. Manche Phishing-Mails sind sehr gut gemacht. Die E-Mail-Adresse des Absenders scheint vertrauenswürdig, das Deutsch ist fehlerfrei. Trotzdem muss diese E-Mail nicht echt sein. Auch Absenderangaben lassen sich fälschen!