Rechtlicher Umgang mit Cyberangriffen auf Arztpraxen und Krankenhäuser

 

Die Gefahr von Cyberangriffen ist allgegenwärtig. Hiervon betroffen ist insbesondere der Sektor Gesundheit, allen voran Praxen und Krankenhäuser. Die Folgen sind schwerwiegend: Lösegeldforderungen (Erpressung), eine lahmgelegte Kommunikations- und IT-Infrastruktur sowie der Verlust essenzieller (Gesundheits-)Daten. Für Einrichtungen des Gesundheitswesens gelten deshalb eine Vielzahl gesetzlicher Verpflichtungen. Die Einhaltung von Vorschriften und die Implementierung von Compliance-Management-Systemen zur Verhütung von Cyberangriffen („Preparedness“) obliegt hierbei, genauso wie das korrekte Vorgehen/Verhalten im Falle eines Cyberangriffes („Response“), den Praxisinhaber:innen bzw. den hierfür verantwortlichen Leitungspersonen/Organen.

Von:

Torsten Ebermann

Fachanwalt für Medizinrecht und Strafrecht

GNP Rechtsanwälte

 

18.10.2023

 

Bildquelle (Bild oben): Stock Studio 4477 / Shutterstock.com

Bedrohungslage, Formen und Methoden von Cyberangriffen und Hintergründe

 

Cybercrime ist eines der sich am dynamischsten verändernden Kriminalitätsphänomene. Täter:innen passen sich flexibel an technische und gesellschaftliche Entwicklungen an, agieren global und greifen dort an, wo es sich aus ihrer Sicht finanziell lohnt. Cybercrime ist heutzutage ein professionelles Geschäft. In der Underground Economy gibt es zahlreiche Marktplätze, auf denen illegale Güter wie Drogen, Waffen oder Kinderpornografie, gestohlene Daten und Identitäten, aber auch Dienstleistungen zur Begehung von Cyber-Straftaten angeboten werden – man spricht hierbei von Cybercrime-as-a-Service.

Malware ist ein Oberbegriff und bezieht sich auf bösartige Programme und Dateien, die das Ziel haben, Nutzern auf kurz oder lang einen erheblichen Schaden zuzufügen. „Ransomware“1 und „Dos-Angriffe“2 sind hierbei die wohl bekanntesten und häufigsten Arten des Cyberangriffes.

Hierbei wurden beispielsweise in der Vergangenheit Web-Server mit der vierfachen Datenmenge überflutet.

 

Einordnung der Cybersicherheit sowie Bedeutung für den Gesundheitssektor

 

Neben Verschlüsselungen (bei Ransomware) wird mittlerweile standardmäßig auch das Ausspähen/Abgreifen von Daten vorgenommen bzw. es erfolgt die Drohung mit der Veröffentlichung der Daten auf einer Leaking-Webseite im Darknet (sog. „Double Extortion“). Insoweit sind bei einem solchen Angriff neben der „Datensicherheit/IT-Sicherheit“, regelhaft auch Bereiche wie „Schweigepflicht“ und „(Gesundheits-)Datenschutz“ betroffen.

Medizin & Recht Abgrenzung „Datensicherheit“, „Datenschutz“ und „Schweigepflicht“

Besonders gefährdet durch DDoS-Angriffe und Ransomware sind Arztpraxen und Krankenhäuser.3

Der Gesundheitssektor (vorliegend relevant die Branche „medizinische Versorgung“) gilt als sog. Kritische Infrastruktur (KRITIS). Aus diesem Umstand erwachsen Verpflichtungen für die Verantwortlichen zur Implementierung von Systemen zur Verhütung von Cyberangriffen („Preparedness“). Welche Verpflichtungen dies im Einzelfall sind richtet sich danach, ob es sich um eine Einrichtung des ambulanten (Praxen/MVZ) oder stationären Sektors (Kranken-häuser) handelt und – innerhalb des stationären Sektors – nach der entsprechenden Größe/Relevanz dieser Einrichtung (vgl. zur besseren Veranschaulichung, nachstehende Grafiken):

Medizin & Recht Geltung gesetzlicher Vorgaben innerhalb des stationären Sektors (Grafiknachweis: graphiconart / Freepik.com)
Medizin & Recht Geltung gesetzlicher Vorgaben für Großkrankenhäuser (KRITIS) (Grafiknachweis: graphiconart / Freepik.com)
Medizin & Recht Geltung gesetzlicher Vorgaben für stationäre Einrichtungen unterhalb der „KRITIS-Schwelle“ (Grafiknachweis: graphiconart / Freepik.com)
Medizin & Recht Geltung gesetzlicher Vorgaben für den ambulanten Sektor (Praxen/MVZ) (Piktogramm-Nachweis: Bert Flint / Freepik.com)

Pflichten der Praxisinhaber:innen / der Krankenhausorgane

 

Nicht nur die Angreifenden selbst gelten als „Täter:innen“.  Häufig geraten auch Praxisinhabende bzw. Funktionsträger:innen/Organe von Krankenhäusern in den Fokus staatsanwaltlicher Ermittlungen und/oder sehen sich zivilrechtlichen Ansprüchen von Patient:innen, Mitarbeitenden oder dem Unternehmen selbst ausgesetzt. Diese Gefahr besteht immer dann, wenn geeignete organisatorische/technische Vorkehrungen sowie deren Überwachung (= Aufsichtspflicht) nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen/erfolgt sind.

Medizin & Recht Haftung/Strafbarkeit auch der „Angegriffenen/Geschädigten“ bei fehlenden Vorkehrungen

Auch aktives Tun (bspw. die Entscheidung zur Zahlung eines Lösegelds an die Angreifenden) kann unter bestimmten Konstellationen des jeweiligen Einzelfalles strafrechtliche und zivil-rechtliche Konsequenzen haben. Zu denken ist beispielsweise an § 253 StGB (Beihilfe zur Erpressung), § 129 Abs. 1 S. 2 StGB (Unterstützen einer kriminellen Vereinigung), § 89c Abs. 1 StGB (Terrorismus-Finanzierung), § 18 Abs. 1 AWG (Verstoß gegen EU-Sanktionen), § 261 StGB (Geldwäsche) sowie Schadensersatz (vgl. Abb. nachstehend).

Medizin & Recht Haftung/Strafbarkeit auch der „Angegriffenen/Geschädigten“ bei aktivem Tun

Risiko- und Krisenmanagement

 

IT-Störungsmanagement umfasst typischerweise den gesamten organisatorischen und technischen Prozess der Reaktion auf erkannte oder vermutete Sicherheitsvorfälle bzw. Betriebsstörungen in IT-Bereichen. Der Umgang mit Ransomware-Angriffen und etwaige Sorgfaltspflichten zur Verhütung derartiger Angriffe werden im juristischen Schrifttum zunehmend diskutiert. Hierbei wird zwischen „Preparedness“ und „Response“ unterschieden.

Medizin & Recht Zwischen Maßnahmen zur Verhütung eines Angriffes und dem Krisenmanagement bei/während eines Angriffes ist faktisch und rechtlich zu differenzieren

Unter anderem (Auswahl) folgende Maßnahmen zählen zu „Preparedness“, die sich auch als besondere gesetzliche Verpflichtung (vgl. § 8a Abs. 1 BSI-Gesetz4) ergeben:

 

  • Regelmäßige Aktualisierung des IT-Sicherheitskonzepts.
  • Betriebssystem und Dritt-Software stets auf dem neuesten Stand halten. Eine besondere Bedeutung gilt hierbei der zeitnahen Einspielung von Sicherheitspatches.
  • Aktuelle Antiviren-Software und Firewalls nutzen.
  • Anlage von (vom System getrennten) Backups, die im Falle eines Ransomware-Angriffs für die Wiederherstellung der Systeme genutzt werden können.
  • Schulungen für die Beschäftigten hinsichtlich Cybersicherheit.
  • Entwickelung von Verfahrensweisen und Anleitungen, wie sich die Beschäftigten im Falle eines Cyberangriffs verhalten sollen.
  • Erstattung einer unverzüglichen Anzeige bei Cyberangriffen jeder Art bei der Zentralen Ansprechstelle Cybercrime (ZAC). Jede noch so kleine Spur kann hierbei zur erfolgreichen Identifizierung und Festnahme der Täter:innen beitragen.

 

Das Maßnahmen bei einem Cyberangriff (“Response“) stellen sich wie folgt dar (Vorschlag):

 

  • Vorfallsbewältigung als Projekt
    • Phase 1: Analyse
    • Phase 2: Übergangsbetrieb
    • Phase 3: Bereinigung (Konzeption / Umsetzung / Neustart)
  • Krisenstab
  • Kommunikation
  • Kurzfristige Wiederherstellung der Arbeitsfähigkeit
    • Nicht betroffen
    • Auslagerungsfähig
    • Mit mobilem Equipment zumindest eingeschränkt arbeitsfähig
    • Ohne Neuaufbau nicht arbeitsfähig
  • Schadensanalyse
  • Meldepflichten (§ 8b Abs. 4 BSIG, Art. 33 DS-GVO)
  • Externe Unterstützung
  • Daten-Leak
  • Lösegeld bezahlen?

Cyberversicherung

 

Die allgemeine Wahrnehmung bei Versichernden ist, dass Praxen/Krankenhäuser aus folgenden Gründen schlechte Cyber-Risiken besitzen:

 

  • Empfindlichkeit und Wert der Gesundheitsdaten,
  • Unzureichende IT-Sicherheit aufgrund mangelnder Budgets,
  • Medizinische Geräte mit proprietärer oder veralteter Software, die anfällig für Cyberangriffe sind sowie
  • Motivation für Angreifer:innen aufgrund der hohen Bereitschaft zur Zahlung von Lösegeld.

 

Insofern lehnen Versicherungsunternehmen häufig einen derartigen Versicherungsschutz ab respektive verknüpfen den Abschluss einer solchen Versicherung an umfangreiche Dokumentation und hohe monatliche Beiträge. Ob sich eine Cyberversicherung „lohnt“ (Risiko-Nutzen-Abwägung) muss daher einer individuellen Einzelfallprüfung vorbehalten werden.

Zusammenfassung

 

Sie erhielten vorstehend einen Überblick über die Bedrohungslage, Formen und Methoden von Cyberangriffen, Hintergründe und Begrifflichkeiten. Relevant hierbei die Erkenntnis, dass sich aus den Rechtsquellen zur Cybersicherheit, (straf-)rechtliche Risiken und Haftungsfolgen für Leistungspersonen/Organe/Praxisinhabende ergeben können, mithin Compliance-Maßnahmen notwendig sind. Es ist daher immanent – sowohl im Vorfeld („Preparedness“) als auch bei einem Cyberangriff selbst („Response“) – anwaltliche Beratung in Anspruch zu nehmen. Eine Cyberversicherung kann hierbei ein wesentliches Element sein. Vor Abschluss einer solchen ist in jedem Fall eine individuelle Kosten-Nutzen-Abwägung vorzunehmen.

Zur Person

Thorsten Ebermann

Rechtsanwalt Thorsten Ebermann ist Fachanwalt für Strafrecht sowie Fachanwalt für Medizinrecht bei GNP Rechtsanwälte. Er berät bundesweit Praxen, Unternehmen und dessen Organe auf allen Gebieten des Wirtschaftsstrafrechts sowohl präventiv als auch bei laufenden Straf- und Bußgeldverfahren. 


Anmerkungen

 

  1. Ransomware (engl. „ransom“ für „Lösegeld“ und „ware“ für „Computerprogramme“): Schadprogramme, mit deren Hilfe Eindringlinge den Zugriff der Computerinhaber:innen auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern können. Dabei werden (private) Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern.
  2. DoS-Angriffe (Distributed-Denial-of-Service) bedeuten grundsätzlich, dass ein Server oder ein System beabsichtigt mit einer Masse von Anfragen attackiert wird und eine Überlastung oder gar einen Zusammenbruch provoziert.
  3. Vgl. BT-Dr. 19/13438, S. 48 sowie „BKA-Chef warnt vor Cyberangriffen auf Hochschulen und Arztpraxen (11.7.2023): https://www.welt.de/politik/deutschland/article246324584/Cyberkriminalitaet-BKA-Chef-Muench-warnt-vor-Angriffen-auf-Hochschulen-und-Arztpraxen.html).
  4. „… angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“

Das könnte Sie auch interessieren

Gesundes-Herz-Gesetz vor Aus: Die DGK-Präsidenten im Interview

Das GHG wird durch die Regierungskrise nicht mehr verabschiedet werden können. Wie geht es aus Sicht der DGK-Präsidenten weiter?

Gesetz für „rauchfreie Generation“ in Großbritannien

Die britische Regierung hat im Parlament einen Entwurf für ein weitreichendes Rauchverbot eingebracht. Prof. U. Laufs ordnet das Gesetzesvorhaben ein.

Gesundes-Herz-Gesetz im Bundestag

Der Bundestag beriet am Mittwoch in erster Lesung zum GHG. Ein Abgleich mit dem Faktencheck von Nationaler Herz-Allianz und Dt. Ges. für Innere Medizin.

Laden, bitte warten.
Diese Seite teilen