Zum Inhalt

Social Engineering & Phishing

Social Engineering und Phishing in der Arztpraxis

Das zentrale Risiko: Phishing ist das Einfallstor

Die meisten erfolgreichen Angriffe auf Arztpraxen beginnen nicht mit technischem Hacking. Sie beginnen mit einer E-Mail.

Ein Mitarbeiter erhält eine E-Mail, die aussieht, als käme sie vom KBV-Sicherheitsdienst. Darin wird behauptet, dass die Praxis eine Sicherheits-Überprüfung durchlaufen muss. Dafür werden PVS-Zugangsdaten abgefordert. Der Mitarbeiter – vielleicht überfordert mit Sicherheits-Anforderungen – gibt die Daten ein.

Jetzt hat der Angreifer Zugang zum PVS. Von dort aus kann er: - Patientendaten stehlen - Ransomware einschleusen - Sich lateral zu anderen Systemen ausbreiten

Das war kein technischer Hack. Das war Social Engineering – Manipulation eines Menschen.

Typische Phishing-Szenarien für Arztpraxen

Szenario 1: Fake E-Mail vom "KBV-Sicherheitsdienst"

Die E-Mail kommt angeblich vom KBV. Betreff: "Sicherheits-Überprüfung erforderlich - Ihre Praxis"

Inhalt: "Aufgrund neuer IT-Sicherheitsanforderungen müssen alle Praxen ihre Sicherheit überprüfen lassen. Klicken Sie auf den Link, um sich mit Ihren PVS-Zugangsdaten anzumelden. Bitte tun Sie dies bis zum nächsten Freitag, sonst wird Ihre Zulassung gefährdet."

Das ist Phishing. Der KBV fordert niemals Zugangsdaten per E-Mail an. Der Link führt zu einer gefälschten Website, die wie das KBV-Portal aussieht, aber nicht ist. Wer die Daten eingibt, gibt sie einem Angreifer.

Erkennungsmerkmale: - Dringlichkeit ("bis Freitag") - Forderung nach Zugangsdaten per E-Mail - Drohung ("Zulassung gefährdet") - Der Link sieht aus wie der KBV-Link, ist es aber nicht

Was ein Mitarbeiter tun sollte: - Nicht auf den Link klicken - Stattdessen das KBV-Portal direkt öffnen und dort überprüfen, ob ein solches Überprüfungs-Verfahren läuft - Im Zweifelsfall die KBV anrufen

Szenario 2: Anruf vom "TI-Dienstleister"

Das Telefon klingelt. Eine Person stellt sich vor als Techniker vom TI-Dienstleister oder als "Sicherheits-Consultant". Sie sagt: "Wir haben bei Ihnen ein Sicherheits-Problem erkannt. Können Sie mir kurz Fernzugriff auf Ihren Computer geben, damit ich das überprüfen kann?"

Das ist Social Engineering. Der Anrufer hat wahrscheinlich kein Sicherheits-Problem erkannt, sondern möchte Fernzugriff, um Malware einzuschleusen.

Erkennungsmerkmale: - Sie kennen diese Person nicht - Sie hat die Praxis nie kontaktiert - Sie fordert sofort Fernzugriff an - Es ist ein allgemeines "Sicherheits-Problem", nicht etwas Spezifisches

Was zu tun ist: - Höflich sagen: "Das geht zu schnell. Ich rufe meinen IT-Dienstleister zurück und kläre das." - Auflegen - Den IT-Dienstleister anrufen (die Nummer aus Ihrem Netzwerk-Vertrag, nicht aus der E-Mail) - Fragen, ob jemand anrufen sollte - Sehr wahrscheinlich: Nein, das war ein Angreifer

Szenario 3: Phishing-Mail, die wie eine KIM-Nachricht aussieht

KIM (Kommunikation im Medizinwesen) ist der sichere Kommunikations-Standard für Ärzte. Eine E-Mail, die aussieht wie eine KIM-Nachricht, wird möglicherweise als sicherer wahrgenommen.

Aber die E-Mail kommt nicht vom KIM-System, sondern von einem Angreifer, der die KIM-Nachricht nachahmt. Darin wird ein "wichtiges Dokument" angehängt – das in Wirklichkeit Malware ist.

Erkennungsmerkmale: - Die E-Mail sieht aus wie KIM, ist es aber nicht (andere E-Mail-Adresse, seltsamer Absender) - Ein "wichtiger" oder "dringender" Anhang - Druck, den Anhang zu öffnen

Was zu tun ist: - Nicht auf den Anhang klicken - Über das KIM-System überprüfen, ob die Nachricht legitim ist - Im Zweifelsfall beim Absender anrufen

Was tun, wenn Sie auf Phishing hereingefallen sind?

Falls Sie oder Ihr Mitarbeiter versehentlich Zugangsdaten in ein Phishing-Fenster eingegeben oder einen verdächtigen Anhang geöffnet haben, ist schnelles Handeln entscheidend.

Sofort (erste 15 Minuten): 1. Das betroffene Passwort ändern – von einem anderen Gerät aus, wenn möglich 2. Alle aktiven Sitzungen beenden (im betroffenen Dienst: "Alle Geräte abmelden") 3. Überprüfen, ob neue Benutzer angelegt, E-Mail-Weiterleitungen eingerichtet oder Wiederherstellungsadressen geändert wurden 4. Den IT-Dienstleister informieren – sofort, nicht später

In den nächsten Stunden: 5. Überprüfen, ob der Anhang Malware hatte (IT-Dienstleister Scan) 6. Überprüfen der PVS-Logs: Wurden von diesem Konto ungewöhnliche Zugriffe gemacht? 7. Die Datenschutzbehörde informieren, falls Patientendaten betroffen sind (Frist 72 Stunden)

Wichtig: Nicht mit sich selbst hadern. Phishing-Attacken sind professionell gemacht und täuschen auch erfahrene Nutzer. Schnelles und vollständiges Reagieren ist wichtiger als Schuldzuweisung.

Schulung und Prävention

Die beste Verteidigung gegen Phishing ist geschulte Mitarbeiter.

Einmal jährlich (minimum) sollte ein Schulungs-Gespräch stattfinden: - Wie erkenne ich verdächtige E-Mails? - Wenn ich unsicher bin: nicht klicken, sondern nachfragen - Phishing-Beispiele durchgehen - Die "Rückruf-Regel": Wenn eine E-Mail von der Bank/KBV/Hersteller kommt, rufe ich selbst an – nicht auf Links in der E-Mail

Simulation – Optional aber wertvoll: Manche IT-Dienstleister können Phishing-E-Mails simulieren und sehen, wer darauf hereinfällt. Das ist keine Strafe – das ist Training. Die Praxis lernt, und der Arzt weiß, wer noch mehr Schulung braucht.

Checkliste: Social Engineering & Phishing

  • Mitarbeiter verstehen die typischen Phishing-Szenarien.
  • Es gibt eine "Rückruf-Regel": Verdächtige Anfragen werden nicht beantwortet, sondern nachgefragt.
  • Der IT-Dienstleister wird informiert, wenn etwas verdächtig ist.
  • Passwort-Manager wird genutzt – damit werden automatisch schwache Passwörter verhindert.
  • Alle aktiven Sitzungen beenden ist bekannt und dokumentiert.
  • Praxis-Mitarbeiter haben jährlich ein Schulungs-Gespräch zu diesem Thema.
  • Es gibt einen Plan, was zu tun ist, wenn jemand auf Phishing hereinfällt (Meldung, Passwort-Änderung, Logs).