Wenn Angreifer mit Daten aus Praxen und Kliniken Geld verdienen wollen, bieten sich verschiedene Geschäftsmodelle an (siehe auch Beiträge zum Schlagwort Patientendaten in diesem Blog). Eines davon wurde vor kurzem an einer Praxis in Freiburg demonstriert: per E-Mail-Anhang wurde ein Trojaner eingeschmuggelt, der daraufhin die Patientendaten durch Verschlüsselung unlesbar machte und versuchte, die Backups zu löschen. Die Praxisleitung wurde vom Trojaner aufgefordert, Lösegeld in einer bestimmten Höhe zu zahlen, um die Patientendaten wieder lesbar zu machen. Laut Bericht der Südwest Presse zahlte der Arzt nicht, sondern verständigte die Polizei und seinen Sysadmin, der die Backup-Datei wieder herstellen konnte.
In der Berichterstattung (hier auch beim SWR) finden sich wenig Details zu der Attacke, aber wenn es sich um einen Trojaner handelte, der gezielt Backup-Dateien einer bestimmten Praxis-Verwaltungssoftware angreift, stellt sich die Frage, wie weit gestreut der Angriff war:
- Wurden E-Mail-Adressen aus Ärzteverzeichnissen extrahiert und darauf spekuliert, dass ein gewisser Prozentsatz der Praxen diese Software einsetzt?
- Wurde gezielt diese eine Praxis angegriffen? (Die Lösegeldsumme ist nicht bekannt, aber es scheint eher unwahrscheinlich, dass sich dieser Aufwand für die Angreifer gelohnt hätte.)
- Oder ist beim Hersteller der Praxis-Software möglicherweise die Kundendatenbank geleakt worden, so dass gezielt Nutzer dieser Software angegriffen wurden?
In letzterem Fall sollten schleunigst die anderen Kunden darauf aufmerksam gemacht werden, damit sie noch einmal besonders sorgfältig die Maßnahmen implementieren, die eigentlich selbstverständlich sein sollten: keine unbekannten Anhänge öffnen, Software immer up-to-date halten, regelmäßige Backups durchführen.
