GDV: Apotheker unterschätzen Gefahr von Cyber-Attacken

„Mich wird es schon nicht treffen“, „Wir sind doch nur ein kleiner Betrieb“, „Unsere Daten sind gar nicht interessant genug“: Das scheint unter Apothekern und Ärzten die gängige Haltung zu sein, wenn es um die IT-Sicherheit im eigenen Betrieb geht. Zumindest legen das die Ergebnisse einer repräsentativen Befragung in 100 Apotheken und 200 Arztpraxen nahe, die Forsa im Auftrag der GDV durchgeführt hat. „Dem starken Bewusstsein der Ärzte- und Apothekerschaft, vom Funktionieren der Technik abhängig zu sein, steht nur eine geringe Sorge gegenüber, selbst Opfer von Cyberkriminalität zu werden“, heißt es da.

Das gelte für Apotheker noch mehr als für Ärzte. 97 Prozent der Pharmazeuten wären nach eigenen Angaben stark oder sehr stark eingeschränkt, sollte die IT aufgrund eines Cyber-Angriffs ausfallen. Nur einer der 100 Befragten Apotheker glaubt demnach, bei einem Ausfall ohne Einschränkungen weiterarbeiten zu können. Damit, dass es mal so weit kommen könnte, rechnet hingegen nur eine Minderheit: Die große Mehrheit sieht demnach nur eine geringe Wahrscheinlichkeit, selbst Ziel eines Angriffs zu werden. Nur 17 Prozent der Apotheker halten die Gefahr für groß oder sehr groß. Gleichzeitig schätzt aber mit 48 Prozent fast die Hälfte der befragten Apotheker das allgemeine Angriffs-Risiko von Apotheken und Praxen als groß oder sehr groß ein – es trifft also alle anderen, nur nicht mich. „Die große Gefahr, selbst Opfer eines Angriffs werden zu können, wird von deutschen Apothekern und Ärzten verdrängt“, schlussfolgert die GDV. „Eigen- und Fremdwahrnehmung klaffen beim Thema IT-Sicherheit und Hackerangriffe stark auseinander.“

Dazu gehöre auch, dass die eigene Bedeutung unter- sowie die eigenen Sicherheitsvorkehrungen überschätzt werden: Knapp die Hälfte der befragten Apotheker gab an, dass der eigene Betrieb zu klein sei, um in den Fokus von Cyberkriminalität zu geraten, bei den Ärzten waren es sogar 56 Prozent. Immerhin 37 Prozent der Apotheker gaben an, dass die eigenen Daten für Kriminelle nicht interessant seien. Gleichzeitig glauben 89 Prozent der Apotheker und 80 Prozent der Ärzte, dass ihre Computersysteme umfassend geschützt sind.

Dass sie sich damit in vielen Fällen irren, legt eine Untersuchung im Auftrag des GDV vom vergangenen Winter nahe, die zu ebenfalls alarmierenden Ergebnissen kam. Damals wurde die Datensicherheit in Apotheken, Praxen und Kliniken untersucht. Ergebnis: Alle drei gehen mehr oder weniger sorglos mit der Sicherheit sensibler Patientendaten um. Demnach benutzen nur 5 Prozent der Kliniken eine sichere Verschlüsselungstechnik, Apotheker und Ärzte arbeiten hingegen zu 100 Prozent mit veralteten Systemen, die neuesten Verschlüsselungstechnologie benutzen nur die allerwenigsten. Auch bei der Passwortsicherheit eklatante Mängel. Dass das nicht ohne Folgen bleibt, hatte eine Stichprobe im Darknet gezeigt: Dort finden sich demnach E-Mail- und Passwort-Kombinationen von jeder fünften Apotheke, jeder zehnten Arztpraxis und 60 Prozent der Kliniken.

Dass es sich dabei um reale Schwachstellen handelt, zeigen nicht nur Fälle im rheinischen Kevelaer, in Bonn, Herbholzheim im Breisgau oder Wolfsburg, sondern auch die weltweite Angriffswellen mit Ransomware wie dem Virus WannaCry, der 2017 tausende Computer lahmlegte. Diese Angriffswellen ermöglichen es Hackern „lukrativ massenhaft Kleinbeträge zu erpressen“, heißt es im Bericht. Dabei wird das IT-System eines Betriebs attackiert und gesperrt. Gegen ein Lösegeld sollen die Systeme wieder freigegeben werden.

Was das eine Apotheke kostet, rechnet der GDV beispielhaft durch: Das Lösegeld zahlt der Apotheker nicht, sondern hält Rücksprache mit der Polizei. Daraufhin machen sich IT-Spezialisten ans Werk, um die Schwachstelle zu finden und zu schließen. Neue Software muss installiert und die Daten der Apotheke aus den Sicherheitskopien wiederhergestellt werden. Allein diese IT-Forensik koste 5000 Euro. Hinzu komme, dass die Apotheke während dieser Zeit geschlossen bleibt, die Abrechnung mit den Kassen ist nicht möglich. Für fünf Tage Betriebsausfall rechnet die GDV mit einem Verlust von 12.500 Euro. Und dann kommen noch 1000 Euro für Krisenkommunikation hinzu, so der Versicherungsverband: „Nachdem die lokale Presse vom Cyberangriff erfährt und darüber berichtet, wenden sich zahlreiche Kunden von der Apotheke ab, der Kundenstamm schrumpft deutlich.“ Diesen Umsatzrückgang decke niemand für die Apotheke ab, auch nicht die Versicherungen, die die Mitgliedsunternehmen des GDV anbieten.