Hacker-Gefahr für Ihre Praxis – So schützen Sie sich!

Details: Zuletzt aktualisiert: 26. Januar 2020

Stellen Sie sich vor, dass Sie morgens Ihren Praxis-PC starten, um Ihre Buchhaltung erledigen zu können. Statt des Windows Starbildschirm sehen Sie einen furchteinflößenden Hinweis, dass alle Ihre Daten verschlüsselt sind. Gegen Zahlung von 0,5 Bitcoins (ca. 550 € Stand April 2017) würden Sie einen Entschlüsselungscode erhalten, mit dem Sie die Verschlüsselung rückgängig machen können. (Studie: Computersabotage und Erpressung nehmen deutlich zu)

Der Hacker, der so tiefen Zugriff auf Ihren PC hatte, könnte genau so gut Ihre Klientenakten herunter kopieren und Sie damit erpressen, dass er die Daten Ihrer Klienten veröffentlicht oder dass er damit beginnen würde, nunmehr Ihre Klienten zu erpressen, wenn Sie nicht zahlen. Sie halten das für unrealistisch? – Selbst die betreffend Praxis-IT tendenziell unbekümmerten Ärzte sind inzwischen besorgt! (wie man hier sieht und hier ebenfalls)

Was können Sie tun, um Ihre sensiblen Praxisdaten und Ihre Praxis-IT vor Hackerangriffen zu schützen?

In den folgenden Tipps beschreibe ich, welche Maßnahmen Sie konkret ergreifen können, damit Ihnen die am Anfang meines Beitrags beschriebenen Horror-Szenarien erspart bleiben. Am besten ist es, wenn Sie gleich mit Beginn Ihrer Selbstständigkeit in eigener Praxis Ihre Praxis-IT gemäß dieser Tipps aufbauen. Ein bereits auf Windows eingerichtetes System nachträglich auf Linux umzustellen, kostet erheblich mehr Zeit und Aufwand! Außerdem müssten Sie evtl. einige bereits vorhandene Daten in ein anderes Format konvertieren, damit diese korrekt angezeigt werden. Beispiel: Alle Word-Dokumente müssten in das ODF-Format (Open-Document-Format) umgewandelt und die evtl. auftretenden Darstellungsfehler von Hand korrigiert werden. Nur dann können Sie mit den Dokumenten in Libre-Office weiter arbeiten. Haben Sie hingegen alle wichtigen Dokumente als PDF-Dateien gespeichert, ändert sich nichts und es entsteht kein Aufwand.

Bitte klicken Sie auf die Überschriften, um den zugehörigen Textabschnitt zu lesen!

Benutzen Sie ein seriöses Betriebssystem!

Benutzen Sie niemals Windows! – Wie bereits beschrieben, werden ab Windows 7 und höher und ab Windows 10 in extremem Umfang sensible Daten an Microsoft übertragen. Sicherheitsexperten und Datenschützer warnen eindringlich vor dem von Microsoft betriebenen Ausspionieren von Nutzerverhalten und von Daten. Hier eine aktuelle rechtliche Bewertung zur Nutzung von Windows in Arztpraxen usw.
Benutzen Sie niemals Windows! – Wenn Hacker mit viel Aufwand eine Schadsoftware schreiben, dann möchten sie damit auf möglichst viele PCs zugreifen können. Folglich schreiben Hacker ihre Software bevorzugt für diejenigen Betriebssysteme, die am weitesten verbreitet sind. Und das ist nun mal Windows. Und in zweiter Linie MacOS. Und erst an dritter Stelle steht Linux mit seinen Varianten. Aus diesen Gründen ist Windows immer das bevorzugte Angriffsziel von Hackern.
Benutzen Sie niemals Windows! – Denn Microsoft liefert nur in relativ großen Zeitabständen Sicherheitsupdates, wenn Lücken in Windows bekannt werden. Viele Lücken werden ziemlich schnell nach ihrem Bekanntwerden von Hackern ausgenutzt. Damit Windows auch in der Zeit bis zum nächsten Update besser geschützt ist, benötigt man Virenscanner. Aber auch diese arbeiten angesichts der raffinierten Angriffe der Hacker nicht mehr zuverlässig!
Gängige Linux-Versionen werden dagegen ständig upgedatetet und diese Updates geschehen bei laufendem PC im Hintergrund und automatisch! Nach einem Update steht das neue System nach einem (einzigen) Neustart zur Verfügung. Deshalb kommt Linux ohne Virenscanner aus.
Benutzen Sie niemals ein „Chrome-Book”! – Denn alle Programme und alle Daten, die Sie mit dem Chromebook verarbeiten, liegen auf den Servern von Google. Es ist bekannt, dass Google (wie Microsoft auch – z.B. auch bei Office 365), alle Daten nach Suchbegriffen analysiert und damit auch persönliche Profile erstellt, die wiederum für die Erzielung von Werbe-Einnahmen genutzt bzw. missbraucht werden.

Benutzen Sie auf Ihren Praxis-Computern z.B. die Linux-Variante Manjaro. Diese hat den großen Vorteil, immer die aktuellsten Updates einzupflegen und sich sehr einfach installieren zu lassen. Alle für den Bürogebrauch üblichen Software-Pakete sowie der Firefox-Browser sind bereits in Manjaro enthalten und werden in einem Rutsch gleich mit installiert. Und alle diese zusätzlichen Software-Pakete werden genau so wie das Manjaro-Betriebssystem selbst, ständig automatisch aktuell gehalten. Einfacher geht es nicht!
Mehr zu Linux und OpenSource-Software für Ihre Praxis finden Sie in diesem Tipp.

Erstellen Sie regelmäßige Backups mittels eines zweiten PC (BackUp-Server

Alle möglichen Computerzeitschriften empfehlen, in kurzen Zeitabständen ein BackUp aller wichtigen Daten anzufertigen – und meinen meist eine Sicherungskopie aller Daten. Diese Empfehlung ist sinnlos: Denn der durchschnittlich informierte Computerbenutzer wird sich meist eine mobile Festplatte kaufen und alle seine Daten darauf kopieren. Er glaubt dann, er hätte nun ein BackUp, also eine Datensicherung erreicht.

Tatsache ist aber: Falls ein Verschlüsselungstrojaner den PC befällt, wird dieser Trojaner sofort auch die mobile Festplatte verschlüsseln, sobald diese an den PC angeschlossen wird. Dann ist auch die Datensicherung verschlüsselt, auf die man sich doch verlassen hatte. Deshalb ist eine einfache Kopie aller Daten nicht identisch mit einer Datensicherung bzw. einem BackUp.

Außerdem ist bei einer Sicherung aller wichtigen Daten das Betriebssystem selbst und alle sorgfältig auf dem PC eingerichteten Programme nach wie vor nicht gesichert! Was nützt es jemandem, der den PC dringend benötigt, wenn er zwar seine Daten gesichert hat – aber um diese wieder nutzen und bearbeiten zu können, erst mal den ganzen PC neu installieren muss?
Folglich muss zusätzlich zum BackUp der Daten auch ein BackUp des Betriebssystems mitsamt aller installierter Software erstellt werden!

Fü die Sicherung des von mir empfohlenen Manjaro-Linux Betriebssystem und aller installierter Programme brauchen Sie nichts weiter zu tun, als eine Liste dieser Installation zu exportieren, eine umfangreiche, einfache Textdatei. Trauen Sie Ihrem System nicht mehr über den Weg, installieren Sie es von der Installations-DVD (ISO) einfach neu. Anschließend lesen Sie die Textdatei ein. Dann werden alle darauf aufgelisteten Programme und Tools automatisch in einem Rutsch installiert – und zwar immer in der aktuellsten Version. Die Konfiguration dieser Programme und Tools liegt aber im sogenannten /home-Verzeichnis, zusammen mit all Ihren Daten.

Nur für die Sicherung Ihrer Daten und der Konfigurationsdateien benötigen Sie eine Backup-Lösung. Diese Backup-Lösung muss in zwei Schritten arbeiten:
Im ersten Schritt werden alle zu sichernden Daten in einem Verzeichnis für das Backup bereit gestellt. Im zweiten Schritt werden diese Daten von einem zweiten PC (Backup-Server) abgeholt und in einem Festplatten-Backup (RAID) gesichert.
Damit der BackUp-Server von Schadsoftware nicht befallen werden kann, wird er so eingerichtet, dass kein anderer PC auf den Server oder die von oihem gesicherten Daten schreibend zugreifen kann. Nur dann kann Schadsoftware nicht die auf dem BackUp-Server liegenden Daten oder den Server selbst beschädigen. Der BackUp-Server hingegen kann auf andere PCs lesend und schreibend zugreifen. Je nach Gesamtkonzept kann auch der zu sichernde PC mit Hilfe des BackupServer auf die BackupDaten zugreifen. Auf diese Weise kann er einen von Hackern gestörten PC innerhalb kurzer Zeit auf den Stand der letzten Sicherung wiederherstellen.

Einzige Einschränkung - die Hardware-Infektion: Es gibt leider auch Schadsoftware, die sich in der Firmware der Festplatte und oder im BIOS des PC oder sogar in der Firmware der Grafikkarte festsetzt. In diesem Fall hilft es nicht, auf den befallenen PC das Backup des Servers zu installieren, weil die Schadsoftware sofort wieder alles infizieren würde. Bei einer Firmware-Infektion der Festplatte (gerade auch bei SSDs) muss diese mechanisch zerstört (Vorschlaghammer, Axt, Schraubstock usw.) und im Elektronikschrott entsorgt werden.
Bei einer Firmware-Infektion des BIOS eines PC kann man versuchen, vom Hersteller des Motherboards ein neues BIOS zu erhalten und damit das infizierte zu überschreiben. Misslingt dies, so ist leider auch das Motherboard verloren und muss in den Elektronikschrott (bei Deskltop-PCs aber nicht der darauf befindliche Prozessor mit Kühlkörper und das RAM).
Prinzipiell kann auch die Firmware von Grafikkarten infiziert werden, sodass auch die Grafikkarte sorgfältig geprüft werden muss.

Sensible Daten und eMail-Kommunikation gehören nicht auf ein Smartphone!

Alle modernen Smartphones wurden niemals vorrangig dafür konstruiert, dass Sie ihrem Benutzer das Leben leichter machen. Von Anfang an ging es nur darum, über Sie Daten zu sammeln! Der Preis, den die Benutzer von Samrtphones für den erreichten Nutzen zahlen müssen, ist extrem und unüberschaubar hoch:
Der Preis, das sind die persönlichen und teils intimen Daten, die der Benutzer an Google, Facebook, Twitter, Whatsap und die Entwickler anderer Apps und Spiele frei Haus liefert. Diese sehr persönlichen und intimen Daten werden dazu (miss-)gebraucht, um Ihre persönlichen Interessen und Vorlieben auszuspionieren und Ihnen dann genau dazu passende Werbung präsentieren zu können oder aber, um Ihnen nur die Nachrichten zu präsentieren, mit denen Sie Ihre Meinung bestätigt finden.

Die Anbieter von Diensten wie z.B. Google, Facebook usw. sowie die App-Entwickler verdienen ihr Geld also weniger mit dem Verkauf ihrer Apps, sondern mit dem Verkauf von Werbeplätzen. Wenn jemand Werbung schalten will, so kann er über spezielle Agenturen die erfolgversprechendsten Werbeplätze z.B. innerhalb von Apps heraus suchen und die Werbung schalten lassen. Damit diese Vermittlung funktioniert, sammeln diese Agenturen die persönlichen Daten von Samrtphone-Nutzern und erstellen über sie Profile. Diese werden kategorisiert, sodass jemand seine Werbung gezielt in einer solchen Kategorie schalten kann.
Bisher gibt es kaum gesetzliche Regulierungen und Beschränkungen für solche Agenturen, sodass Missbrauch der angehäuften Daten nie ausgeschlossen werden kann – auch nicht für kriminelle Zwecke!

Da außerdem die gesamte Kommunikation eines Smartphone so primitiv verschlüsselt ist, dass sie jederzeit mit einer relativ einfachen, selbstgebauten Technik abgehört werden kann, sind auch die übertragenen, sensiblen Daten der Smartphone-Benutzer und deren Telefonate unsicher!

Das meist verbreitete Smartphone-Betriebssystem ist Android. Dieses System ist zwar eigentlich OpenSource-Software und damit für jeden Programmierer transparent. Aber Google hat die Software Android stark mit eigenen Software-Anteilen vermischt, um sich die oben beschriebenen Vorteile zu sichern. (siehe Mike Kuketz: Android ohne Google) – International haben sich damals Programmierer zusammen geschlossen, um ein google-freies Android-Betriebssystem für Smartphones zu schreiben. So entstand Cyanogen. Leider wurde dieses System dann doch wieder kommerzialisiert und wieder mit Google-Software vermischt. Nach dem Konkurs der Firma Cyanogen gründeten engagierte Programmierer das googlefreie Nachfolgeprojekt LineageOS. Mehr dazu finden Sie beim Heise-Verlag: Installation und erste Infos zu LineageOS.
Wie schwierig es ist, ein Smartphone daran zu hindern, private Daten in die Welt zu senden, können Sie bei Mike Kuketz nachlesen: Fairphone 2 - Wie man ein Smartphone etwas dümmer macht – Sie sehen, dass es sogar für Spezialisten eine herausfordernde Aufgabe ist, die Datenschnüffelei zu unterbinden.

Fazit des Ganzen: Ein Smartphone, dem Sie guten Gewissens sensible Daten Ihrer Praxis anvertrauen können, gibt es nicht! Nicht einmal den Terminkalender Ihrer Praxis dürfen Sie auf dem Smartphone haben, wenn dort auch die Namen der Klienten gespeichert werden!
Mein Tipp, wenn Sie das durchaus vorhandene Restrisiko (Mithören Dritter) eingehen wollen: Benutzen Sie ein altes Handy, das bestenfalls per WAP ins Internet könnte und sperren Sie die WAP-Funktion. Dann dürfen Sie auf dem Smartphone auch Ihren Praxis-Terminkalender speichern. Bedenken Sie aber auch den Aufwand: Immerhin werden Sie sicher auch eine Praxis-Software benutzen, in der ein Terminkalender und die Aufgabenplanung enthalten ist. Es existiert keine Möglichkeit, derart alte Handys mit diesen Daten zu synchronisieren. Sie müssen also jeden Termin in zwei verschiedene Geräte eintragen!

Wenn Sie Termine, Aufgaben und Kontaktadressen mit Telefonnummern auch unterwegs dabei haben müssen, könnten Sie über die Benutzung eines möglichst kleinen Netbooks (kein Chromebook!!!) nachdenken. Ob das aber unter Linux einwandfrei läuft, ist wiederum fraglich.
Aktuell nutze ich ein von mir googlefrei gemachtes Smartphone mit LineageOS. Termine, Aufgaben und Kontaktdaten meiner Praxis liegen verschlüsselt auf einem von mir betriebenen Nextcloud-Server, sodass die Daten auf allen meinen Computern und dem Smartphone immer synchron sind und ich ortsunabhängig darauf zugreifen und z.B. Termine vergeben kann.

Wenn Sie Programmierer sind und Interesse an einer Zusammenarbeit an einem Praxis-IT-Projekt haben, dann bitte ich Sie, sich mit mir in Verbindung zu setzen!