Mit Erpresserbrief: Apotheke gehackt

Dem Inhaber war morgens direkt aufgefallen, dass der Server nicht funktionierte. Auch etliche Neustarts brachten nichts. „Wir haben es tausendmal versucht“, erinnert er sich. Daraufhin rief er seinen Anbieter Aposoft an und schilderte das Problem. „Zu dem Zeitpunkt haben wir gedacht, dass einfach nur der Server kaputt ist“, berichtet Houri.

Cyberangriff auf Apotheke

Auf dem sogenannten TSE Stick – einem zertifizierten USB-Stick, der alle Kassenbewegungen fälschungssicher aufzeichnet – fand der Techniker dann den englischsprachigen Erpresserbrief: „Die Hacker haben den Server zerstört und die Daten vom Vortag auf dem Stick verschlüsselt. Die bekomme ich nur zurück, wenn ich ihnen Geld bezahle.“

Eine konkrete Summe forderten die Verbrecher allerdings nicht: „Sie haben mir nur eine E-Mail-Adresse genannt, an die ich mich wenden soll. Dann würden sie mir sagen, was sie konkret fordern.“

Daraufhin schaltete der Inhaber umgehend die Polizei ein, die eine Anzeige gegen Unbekannt aufnahm. „Ich soll das Geld auf keinen Fall bezahlen oder auf den Brief reagieren. Es ist nicht garantiert, dass ich meine Daten wiederbekomme.“ Die Beamten hätten ihm erklärt: „Es könne sein, dass die Täter nach zwei Wochen wieder angreifen, Daten verschlüsseln und erneut Geld fordern.“

Versicherung greift nicht

Der Inhaber war der Annahme, er sei gegen einen solchen Hackerangriff versichert. „Ich habe meine Versicherung angerufen um sicherzugehen. Sie sagten mir, dass es ihnen leid tue, aber ich hätte in diesem Fall keinen Versicherungsschutz. Cyberangriffe seien nicht inklusive.“

Auch bei der Apothekerkammer Nordrhein (AKNR) bat er um Hilfe – die verwies ihn aber an seinen IT-Partner. „Das hat mich geärgert. Sie soll uns Apotheken zur Seite stehen und uns unterstützen.“ Der einzige Hinweis sei gewesen, die Notdienststelle der Kammer über seine temporäre Schließung zu informieren. „Alles andere hat sie nicht interessiert.“

20.000 Euro in der Schwebe

Erst gegen 15 Uhr habe die Apotheke am Dienstag wieder ihre Arbeit aufnehmen können. Aposoft war es gelungen, an einem der drei Arbeitsplätze einen Ersatzserver zu simulieren. „Wir arbeiten aktuell unter Hochdruck, mit zwei statt drei Bedienerkassen.“

Zu diesem Zeitpunkt sah es danach aus, dass „der Rechner, der Server, die Festplatten und der Stick“ zerstört wurden; der Inhaber ging von mindestens 7000 Euro, plus dem Schaden, der durch die verlorenen Daten entstanden ist, aus. Eine örtliche IT-Firma gab kurz darauf Entwarnung: „Es ist nur der Server betroffen, alles andere am PC ist in Ordnung.“

Laut Abrechnungszentrum muss der Apotheker mit 20.000 Euro Verlust rechnen, falls die E-Rezepte nicht wiederhergestellt werden können. „Es waren Hochpreiser dabei, einer mit circa 4000 Euro, weitere mit rund 500 Euro pro Medikament.“ Die Cyberkriminellen hatten viel Glück bei der Auswahl der Apotheke: „Auf dem Stick waren leider fünf Tage gespeichert.“ Normalerweise werde der täglich getauscht: „Das war mein Fehler. Ich war viel unterwegs, in der Apotheke war viel los. Es ist eine Katastrophe.“

Hoher Arbeitsaufwand im Alltag

Es werde voraussichtlich Wochen oder sogar Monate dauern, bis die Daten wiederhergestellt werden können. „Dem System fehlen die Tage komplett. Das bedeutet auch, dass die Bestände nicht mehr stimmen. Da wird sich dann auch das Finanzamt einschalten“, schätzt der Inhaber. Außerdem brauche er viele der Verordnungen erst einmal neu, was viel Kommunikationszeit mit den Arztpraxen erfordere – und auch den Kundinnen und Kunden müsse die Situation schließlich erklärt werden.

Der Aufwand im Apothekenalltag sei enorm: „Wenn die Kunden jetzt zu uns mit einem Abholschein kommen, dann findet das System den offenen Vorgang nicht.“ Mittlerweile habe die Gematik ihm aber mitgeteilt, dass die E-Rezepte zumindest nicht verloren seien: „Die sind bis zu 100 Tage gespeichert.“ Gegebenenfalls könnten sie also – sofern die entsprechenden Zugriffsinformationen wie der 2D-Code auf den Papierausdrucken der Arztpraxis noch bekannt sind – erneut geladen werden. „Ich muss die einzelnen Rezepte jeweils bei den entsprechenden Praxen separat anfragen. Der damit verbundene Aufwand ist leider erheblich“, beklagt Houri.

Der Vorfall hat den Apotheker geschockt zurückgelassen: „Wer greift denn eine kleine Apotheke mit acht Angestellten an?“ Andere Inhaberinnen und Inhaber will Houri vorwarnen, ihre Versicherungen auf Cybersicherheit zu überprüfen. „Auch wenn man denkt, es trifft den eigenen Betrieb nicht: Ich habe jetzt gelernt, dass es jederzeit passieren kann.“ Eine Empfehlung, wie er sich vor zukünftigen Angriffen schützen kann, habe dem Inhaber keine Instanz geben können.