Die PTA ist der schlimmste Trojaner

Tilo Schneider ist IT-Sicherheitsbeauftragter und Geschäftsführer der Firma Croniq. „Informationssicherheit ist heute meist keine Frage der Technik mehr, sondern der Organisation, des Managements“, erklärt der Experte. Apotheken hätten zwar meist eine Firewall und einen Virusscanner an jedem Arbeitsplatz. Doch das nütze alles nichts, wenn ein Mitarbeiter den Anhang einer E-Mail öffne und damit den Trojaner ins System lasse.

Schneiders Firma berät auch Apotheken zur Informationssicherheit. „Sie werden zwar selten gezielt angegriffen, können aber auch betroffen sein, wenn sie bei der Organisation ihrer Prozesse nicht aufgepasst haben.“ Die Schlüsselthemen sind nach seiner Erfahrung in der Offizin dieselben wie bei allen anderen kleineren und mittleren Unternehmern.

Die erste Motivation, um sich mit dem Thema auseinander zu setzen: Der Apotheker will seine unternehmerischen Ziele erreichen. Dabei verlassen sich der Inhaber und sein Team jeden Tag darauf, dass die Technik funktioniert. Und sie sind auch darauf angewiesen. Ohne das Warenwirtschaftssystem ist eine ordnungsgemäße Rezeptbelieferung fast nicht mehr möglich, die Steuerung des Kommissionierers ist EDV-abhängig und so weiter.

Und diese Systeme sind bedroht. Schneider hat schon Phishing-Mails gesehen, die absolut plausibel wirkten, zum Beispiel als Bewerbung getarnt. „Für das Anschreiben wurden die entsprechenden Informationen aus Stellenanzeigen gezogen, korrekter Ansprechpartner im Unternehmen inklusive. Perfektes Deutsch, ansprechendes Foto, da öffnet so mancher Personaler vor lauter Vorfreude sofort den Anhang“, berichtet Schneider.

Und mit dem Doppelklick werden Inhalte nachgeladen und die Verschlüsselung beginnt. Irgendwann zeigt das Display dann nur noch die Botschaft der Erpresser an, die einen bestimmten Betrag in Bitcoins fordern. Der Servicegedanke ist bei diesen Kriminellen Schneider zufolge übrigens überraschend hoch: Zahlt der Betroffene, werden die Daten in der Regel auch wieder freigegeben. Die Täter wollen sich schließlich nicht ihr eigenes Geschäftsmodell kaputt machen.

Etwa 70 Prozent der Betroffenen gehen Schneider zufolge tatsächlich auf die Erpresser ein. Viel besser ist es natürlich, nicht zu bezahlen. Wer seine Daten gesichert hat und auf anderem Weg wieder herstellen kann, ist in der bequemen Situation, solche Angriffe ignorieren zu können. Häufig kommt die Gefahr jedoch gar nicht von außen. Der Inhaber muss technisch auch darauf vorbereitet sein, dass ein Mitarbeiter aus Versehen Kundenkonten löscht oder Daten unauffindbar verschiebt.

Die zweite Motivation für die Informationssicherheit sind die gesetzlichen Vorgaben. Heute ist das Bundesdatenschutzgesetz einzuhalten, am 25. Mai wird diese von einer entsprechenden EU-Richtlinie abgelöst. Dann tritt die sogenannte Datenschutzgrundverordnung in Kraft – mit strengeren Vorgaben und empfindlichen Strafen im Falle eines Verstoßes.

Um auf dem dann geforderten „Stand der Technik“ zu sein, sollten Apotheken Schneider zufolge künftig ein Informationssicherheitsmanagementsystem (ISMS) implementieren – eine Art QMS für Daten. Dafür gebe es bereits eine entsprechende ISO-Norm. „Die Krankenkassen werden das – zum Beispiel bei der Telematikinfrastruktur – von allen Beteiligten einfordern“, ist Schneider überzeugt.

Die dritte Motivation betrifft dem IT-Experten zufolge vertragliche Anforderungen. Heute sei eine Verschwiegenheitspflicht in Verträgen gang und gäbe. „Künftig gibt es drei vertragliche Anforderungen, die explizit die Informationssicherheit betreffen: Vertraulichkeit, Verfügbarkeit, Integrität“, erklärt Schneider. Die Daten müssen also gegen unbefugten Zugriff gesichert sein, bei Bedarf sofort abgerufen werden können, und ihre Unveränderbarkeit muss sichergestellt sein.

Ende Januar gibt es in Berlin und Dresden zwei Veranstaltungen zu dem Thema „Datensicherheit in der vernetzten Apothekenwelt“. Am 24. Januar zwischen 16.15 und 19.15 Uhr lädt der Versicherungsexperte Michael Jeinsen ins Institut für Medizinische Diagnostik, Siemensstraße 26a, in Berlin. Am 26. Januar gibt es von 10.45 bis 15.30 Uhr eine zweite Informationsveranstaltung in der Gehe-Niederlassung in Dresden, Grenzstraße 18. Die Seminare drehen sich rund um Unternehmensführung, Recht und Sicherheit in Apotheken.

Apotheken sollte sich laut Jeinsen nicht nur vor Cyber-Angriffen schützen, sondern auch ihre Versicherung entsprechend anpassen. Denn die Risiken erstrecken sich nach seiner Erfahrung über fast alle Versicherungsbereiche, würden von bestehenden Apotheken-Policen aber meist nicht abgedeckt. Beispielhaft nennt er Haftpflichtschäden durch Online-Übertragungen von Viren, Trojanern oder anderer Schadsoftware, das versehentliche Öffnen von Phishing-Mails, Cyber-Erpressung und Hackerangriffe.