Für das Sat1 Frühstücksfernsehen durfte ich heute erklären, was die Umstellung auf die neue elektronische Patientenakte (ePA) bedeutet.

In der ePA sollen Gesundheitsdaten, Diagnosen, Behandlungen, Rezepte elektronisch, verschlüsselt und zentral gespeichert werden. Das halte ich für die Verbesserung der Datensicherheit und des Informationsaustauschs im Gesundheitswesen sinnvoller. Die Alternative ist doch Zettelwirtschaft und Versand sensibler Daten per E-Mail.

Der BDfI hält die ePA derzeit für rechtswidrig, da das Zugriffsrechtesystem nicht feingranular ausgestaltet ist und BSI-Vorgaben für Endgerätesicherheit nicht umgesetzt wurden. Wer will schon, dass sein Zahnarzt den Befund des Psychologen lesen kann?! Aber ist das wirklich das Problem?

Ich befürchte, dass Cyberkriminelle nicht nur die Server der ePA angreifen werden, sondern vor allem die Nutzer, z.B. Arztpraxen und Krankenhäuser. Ärzte werden verstärkt mit Ransomeware-Angriffen rechnen müssen. Mit perfiden Social Engineering-Tricks werden die Täter versuchen, bei den Patienten Passwörter zu erbeuten oder eine Datenfreigabe per Teamviewer zu erhalten, wie das derzeit bei der Microsoft-Anrufer-Masche grassiert.

Wer als Datendieb Zugriff auf besonders sensible Gesundheitsdaten erhält, kann nicht nur Identitätsdiebstahl begehen, z.B. um sich medizinische Leistungen oder Rezepte unter fremden Namen zu erschleichen. Auf diese Weise könnten leicht Medikamente erworben und auf dem Schwarzmarkt im Darknet verkauft werden. Sicherlich dürfte auch der Verkauf von umfangreichen Datensätzen an die Pharmawerbeindustrie einträglich sein.

Ich persönlich finde Digitalisierung im Gesundheitssektor gut und richtig. Vernetzung und schneller Informationsaustausch kann Leben retten, wenn z.B. Ärzte in der Notaufnahme über die elektronische Patientenakte sofort lebenswichtige Informationen über eine Vorerkrankung abrufen können. Datenschutz und Datensicherheit dürfen aber nicht auf der Strecke bleiben – hier sind nunmal leider die ePA-Nutzer gefragt.

Arztpraxen sollten daher nicht nur ihre eigene IT-Sicherheit überprüfen lassen. Vielmehr müssen sie ihre Patienten in leicht verständlicher Weise über die Veränderungen, Folgen und Gefahren informieren, damit niemand abgehängt wird. So kann der Kraftakt der Digitalisierung des Gesundheitswesens gelingen.

Mehr Informationen, wie man sich vor Identitätsdiebstahl oder Datenklau in der elektronischen Patientenakte schützen kann, finden Sie unter Datenklau-Hilfe.de.

Neue Gefahren für Anwälte

Cyberangriffe können Katastrophenfälle auslösen. Damit hat die Gemeinde Anhalt-Bitterfeld dieses Jahr Geschichte geschrieben. Anfang Juli 2021 hatten Kriminelle die Server des Landkreises mit Schadsoftware infiziert, viele Terabytes and Daten verschlüsselt und Dateien gestohlen. Knapp 1000 Verwaltungsmitarbeiter konnten nur noch mit Kugelschreiber, Telefon und Fax arbeiten.  Elterngelder und Unterhaltszuschüsse wurden nicht mehr ausgezahlt und die Kfz-Zulassungsstelle stand über Wochen still. Der Angriff betrifft 92 Personen auch persönlich. Es wurden personenbezogene Daten, u.a. Handynummern, Privatadressen, Bankdaten sowie Firmennamen früherer Arbeitgeber im Darknet veröffentlicht.

Für die Freigabe der verschlüsselten Daten fordern die Täter ein Lösegeld in bislang unbekannter Höhe, das von der Kommune laut Medienberichten abgelehnt worden ist. Betroffen waren alle drei Standorte der Verwaltung in Köthen, Bitterfeld und Zerbst, der Landkreis rief daraufhin den Katastrophenfall aus.

Mit Unterstützung der Bundeswehr wurde eine IT-Notinfrastruktur aufgebaut. Es wird Monate brauchen, bis die IT wieder vollständig hergestellt sein wird. Die Veröffentlichung der personenbezogenen Daten im Darknet lässt sich nicht mehr rückgängig machen. Es ist davon auszugehen, dass der Datenklau zu Identitätsmissbrauch, Begehung von Straftaten oder weiteren Cyberangriffen auf die Opfer führen wird.

Anwälte im Fadenkreuz von Cyberkriminellen

In den vergangenen Jahren ist die Zahl der Angriffe von Cyberkriminellen stark angestiegen. Nach einer Studie des Branchenverbandes Bitkom waren in den letzten Jahren 75% der deutschen Unternehmen mit 100-500 Mitarbeitern betroffen. Der Trend „Big Game Hunting“, also die Jagd nach großen Unternehmen, ist nach Informationen des BKA Lagebilds 2021 ungebrochen. Im Visier der Täter sind aber auch Selbstständige, Familienunternehmen, mittelständische Unternehmen und deren Anwaltskanzleien.

Rechtsanwälte sind sehr häufig noch nicht ausreichend gegen Cyberangriffe geschützt. Damit machen es Rechtsanwälte den Kriminellen besonders leicht, an die Geheimnisse zu gelangen, die beim Mandanten selbst gut geschützt wären. Bei vielen Anwälten fehlt oft das nötige Problembewusstsein. Anwälte vertrauen meist darauf, dass ihr Systemhaus sichere Lösungen installiert hat. Hier wird leider übersehen, dass Systemhäuser zwar durchaus state-of-the-art IT-Sicherheit berücksichtigen. Dies beschränkt sich aber in der Regel Windows-Updates, Serverfernüberwachung und Handel mit Antivirussoftware Lizenzen. Das alles greift leider viel zu kurz, was existenzgefährdende Folgen für Berufsgeheimnisträger haben kann. IT-Sicherheit ist Chefsache, auch und gerade in der Anwaltskanzlei.

Ein explosiver Trend: Ransomeware

Im Jahr 2017 wurde die Anwaltskanzlei DLA Piper von einer Ransomeware-Attacke getroffen. Ein Frühwarnsystem habe die Schadsoftware im System erkannt und alle Systeme heruntergefahren. Eine sechstägige Zwangspause für 9.000 Mitarbeiter weltweit und ein gewaltiger Reputationsschaden, nachdem die Kanzlei erst wenige Wochen vorher ein Whitepaper über Cyberrisks veröffentlicht hatte, waren die unmittelbaren Folgen. Dazu kommen Umsatzverluste und Kosten für die Instandsetzung der IT.

Ransomeware steht für Schadcode, der Computer derart verschlüsseln kann, dass ohne Eingabe des Schlüssels darauf gespeicherte Daten unbrauchbar werden. Selbst wenn das von den Tätern geforderte Lösegeld bezahlt wird, bleibt unklar, ob die Entschlüsselungstools der Täter funktionieren. In vielen Fällen lässt sich die IT nicht mehr ohne weiteres wiederherstellen.

Besonders heikel: Derartige Angriffe können wirklich jeden treffen. Bereits nach einem unvorsichtigen Mausklick in einer E-Mail, die vermeintlich vom Mandanten stammt, kann das Unglück seinen Lauf nehmen. Word-, Excel- oder ZIP-Anhänge können über die sog. Makro-Funktion zur Falle werden. Wer eine derart manipulierte Datei öffnet, erhält innerhalb der Office-Programme einen Hinweis, entweder das bekannte, gelb hinterlegte „Bearbeitung aktivieren“ oder einen Hinweis auf einen Link, der angeklickt werden soll. Auch E-Mails oder sogar SMS können Links mit Schadecode enthalten. Klickt man auf den Link, wird unbemerkt eine Seite geladen, die Schadcode auf den Computer oder das Smartphone herunterlädt.

Täter nutzen aber auch häufig Schwachstellen in Betriebssystemen oder Software aus. Im März 2021 wurde eine Sicherheitslücke in der Software „Microsoft Exchange Server“ gefunden, die leicht für Cyberangriffe ausgenutzt werden konnte. Microsoft stellte Updates bereit, die allerdings nur zögerlich heruntergeladen wurden. Sogar Rechtsanwaltskammern sahen sich verpflichtet, auf den dringenden Handlungsbedarf hinzuweisen, weil das Risiko vom BSI als sehr hoch eingestuft worden ist.

Ist ein System erst einmal aufgrund eines Ransomeware-Angriffs verschlüsselt, steht die Kanzlei sicher wochenlang still. Ein derartiger Vorfall zieht viele Fragen nach sich: Was ist zu tun? Kann das Systemhaus helfen? Wie können Beweise durch IT-Forensiker gesichert werden? Übernimmt die Cyberversicherung die Kosten. Müssen Mandanten, die Aufsichtsbehörde und vielleicht sogar die Rechtsanwaltskammer informiert werden? Haben Mandanten Schadenersatzansprüche?

Hohe Kosten für das Krisenmanagement, Wiederherstellung von Daten und Verhandlungen mit Erpressern, Lösegelder, mittelfristige Reputationsschäden und ggf. noch Bußgelder[1] von Datenschutzaufsichtsbehörden wegen mangelhafter Datensicherheit gehören zu den Folgen eines Cybervorfalls in einer Anwaltskanzlei.

 

Identitätsdiebstahl und CEO-Betrug

Haben Sie gewusst, dass eine Identität leicht für Straftaten missbraucht werden kann, wenn man Vor- und Nachname und Geburtsdatum eine Person kennt?! Dank „Zahlung auf Rechnung“ ist Computerbetrug und Datenklau sehr leicht geworden. Nicht nur die Opfer haben hier das Nachsehen – wer als Gläubiger die falsche Person verklagt, unterliegt am Ende vor Gericht und hat nichts außer Kosten.

Gestohlene Identitäten eignen sich aber auch hervorragend für perfide Phishing- oder Social-Engineering-Attacken. Unter dem Namen von ehemaligen Angestellten können leicht E-Maills mit gefährlichen Links oder Virendateien im Anhang verschickt, Informationen ausgespäht oder sogar die Änderung von Kontodaten für Gehälter veranlasst werden.

Unter fremden Namen lässt sich viel Schaden anrichten. Man stelle sich vor, dass ein Mandant plötzlich per XING oder LinkedIn eine Datei oder Information anfordert, ohne dass verifiziert wird, ob diese Anfrage tatsächlich vom Mandanten selbst stammt. Denn Fake-Konten können innerhalb weniger Minuten registriert werden. Vielfach werden E-Mail-Postfächer oder Social-Media-Konten von Cyberkriminellen gestohlen, indem geleakte Passwörter genutzt werden. In Zweifelsfällen, insbesondere wenn ein Mandant eine ungewöhnliche Anfrage stellt, einen neuen Kommunikationskanal wählt oder eine Auskunft gemäß Art. 15 DSGVO über die ihn betreffenden Daten verlangt, muss ein Rechtsanwalt die Identität des Anfragenden prüfen. Dies lässt sich z.B. per Telefon oder über eine kurze Nachricht über einen dritten, bekannten und bewährten Kommunikationsweg klären.

In einem uns bekannten Fall führte eine Phishing E-Mail zu einem Millionen-Schaden, weil eine Buchhalterin Zahlungen an ein Täter-Konto veranlasste, im Glauben, der Geschäftsführer habe ihr geschrieben. Diese Taten, die CEO-Betrug oder -Scam genannt werden, sind nur durch ausreichend geschultes Personal und effektivem IT-Sicherheits- und Datenschutzmanagement vermeidbar.

Wie agieren die Täter im Darknet

Das Darknet ist geschlossenes, verschlüsseltes Netzwerk innerhalb des Internets, das nur mit dem sog. Tor-Browser genutzt werden kann. Internetseiten aus dem Tor-Netzwerk haben die Domain .onion und sich über normale WWW-Browser, z.B. Firefox oder Chrome, nicht aufrufbar. Es erscheint eine Fehlermeldung. Google und andere Suchmaschinen funktionieren im Tor-Netzwerk nicht. Zwar sind Internetseiten durchaus miteinander verlinkt. Viele Seiten sind aber überhaupt nicht frei oder öffentlich abrufbar, sondern nur über Foren, Kontakte oder andere Hintertüren auffindbar. In den „dunklen Ecken“ des Tor-Netzwerks finden sich Marktplätze für illegale Waren und Dienstleistungen aller Art.

Bereits Einsteigerkenntnisse und ein Bitcoin-Wallet reichen aus, um bezahlte Hacker für Cybercrime-as-a-Service zu buchen, z.B. ein Passwort knacken oder eine DDOS-Attacke auf ein Unternehmen starten. Gefälschte Personalausweise und Reisepässe können hier leicht bestellt und per Post zugesandt werden. In Foren oder Marktplätzen werden auch geleakte Datensätze von Opfern von Datenklau zum Kauf angeboten. Diese Daten können aus medial bekannten Ransomeware-Angriffen stammen oder aber aus Datenpannen wie im Impfzentrum Essen, wo personenbezogene Daten und Gesundheitsdaten von 13.000 Bürgern verloren gegangen sind.

Wenn personenbezogene Daten durch einen Cyberangriff, Datenklau oder eine Datenpanne ins Internet gelangen, werden zunächst in der Regel zum Kauf angeboten. Sobald die Daten von einigen Hackergruppen missbraucht wurden, sind sie nicht mehr viel wert.

Wie Sie sich schützen können, erfahren auf der Internetseite Datenklau-Hilfe.de.

Fazit

Als Rechtsanwälte ist es unsere Pflicht, fremde Geheimnisse zu schützen – auch und gerade vor Cyberkriminellen. Wir unterstützen Anwaltskanzleien dabei, Risiken zu bewerten und sich gegen Cybercrime technisch, organisatorisch und rechtlich abzusichern. Bei Fragen zu unseren Beratungsleistungen für Rechtsanwälte, Patentanwälte und Notare sprechen Sie uns gerne an. Auch für Kolleginnen und Kollegen gilt: eine telefonische Ersteinschätzung ist immer unverbindlich und kostenlos. 😉

Autor:

Dr. Marc Maisch, Rechtsanwalt und Fachanwalt für IT-Recht

Save the date: Am 3.11.2020 erklären #Cem #Karakaya und ich an der #Hochschule Heilbronn was #Cyberkriminelle mit #JamesBond gemeinsam haben und wie man sich und seine #Cybersecurity für den #Corona-Winter fit macht.

@ Hochschule Heilbronn – Hochschule für Technik, Wirtschaft und Informatik / Studiengang #Elektrotechnik – bitte stellt den Martini kalt! 😉 https://www.hs-heilbronn.de/cybersecurity 

Mehr Infos zu unseren Vorträgen: www.blackstone432.de

💣Die Hamburgische Kanzlei Fareds Rechtsanwälte mahnt derzeit Online-Händler wegen fehlender Hinweise auf die EU OS-Plattform oder dem fehlenden Link auf deren Internetseite oder falscher #Widerrufsbelehrungen für Harald Durstewitz, iParts GmbH, T. & D. Versand GbR, Sekiguchi Co. Ltd. und fiori e.K. ab.
Das sagen die Gerichte: 😰Wegen fehlender #OS#Plattform Informationen hat das LG Bochum, Beschl. v. 09.02.2016, Az. I 14 O 21/16 einer einstweiligen Verfügung stattgegeben – Streitwert: 10.000 €!
Die bloße Angabe des Links (https://ec.europa.eu/odr) reicht nicht – anklickbar muss er sein, wie das OLG München, Urt. v. 22.09.2016, Az. 29 U- 2498/16 entschied.
⚠️Diese Pflichthinweise gelten auch für Amazon und eBay! Abmahnungen sind teuer und können sich – bei vorschnellem Handeln – zu echten Kostenfallen entwickeln, z.B. wenn keine modifizierte #Unterlassungserklärung abgegeben wird (haben wir leider alles schon erlebt..)
💥Nehmen Sie sich bitte Zeit, Ihre Accounts und Websites zu überprüfen. Best Practice Beispiel: https://urbanteadealers.de/
👀Haben Sie Fragen? Gerne schicken wir Ihnen ein Angebot zur Überprüfung Ihrer Website auf alle Abmahnungsklassiker, rund um #Impressum, #Datenschutz und #Wettbewerbsrecht. 🦹‍♂️ Rufen Sie uns unverbindlich an: 089 265675 oder schreiben Sie uns: datenschutz@mms-law.de . Wir freuen uns 😊

Über die Website MarketRobo hat einer meiner Mandanten sein gesamtes Erspartes, etwa 250.000 €, verloren. MarketRobo ist eine Fakeseite. Die Täter geben vor, gute Renditen an Kryptowährung Börsen durch Preisschwankungen zu erzielen. Gute Bewertungen in der Presse und in der Höhle der Löwen – komplett gelogen. Wer hier investiert, wird 100% verlieren – diese Seite ist auf Betrug angelegt!

Wir haben die Website forensisch ausgewertet: Schnell wurde klar, dass hier etwas nicht stimmt: bereits bei der Anmeldung wird keine sichere Verbindung (SSL) aufgebaut und die Seite ist voll von Sicherheitslücken!! Untypisch für Finanzdienstleister!! 🚨 An der Londoner Adresse gibt es diese Firma nicht. Zudem wird mit finanzaktuell.net eine News-Seite betrieben, in der MarketRobo über den Klee gelobt wird… Dutzende Artikel aus derselben Feder, nur um Vertrauen zu stiften. Spuren der Täter lassen einen Bezug zu Indien erkennen, denen wir durch Twitter und Github gefolgt sind …

⚠️Die Websites der Betrüger werden immer besser. Wer außerhalb von üblichen Anlageformen investieren will, sollte sich weder von Renditen noch von Testimonials blenden lassen. Die Gefahr, hier betrogen zu werden, besonders bei Bitcoin, ist sehr hoch… gehostet wird die Seite übrigens bei AmazonWebServices – also schön sicher in der Cloud 😆.

Finger weg von unsicheren Kapitalanlageformen! Bereits investiert? Lassen Sie sich jetzt beraten!