Opfer Apotheke

Wer an einen Hacker denkt, stellt sich schnell den Nerd im dunklen Keller vor, der seinen Kopf in einem Kapuzenpulli versteckt und wilde Codes in die Tasten haut. Mit diesen Klischees will Immanuel Bär aufräumen. Er selbst ist »Berufshacker« (offiziell heißt es Penetrations-Tester) und bezeichnet sich als sogenannten White Hat Hacker. Er sei »einer der Guten«; ein Berufsvertreter, der ethische Absichten verfolgt wie etwa Menschenleben zu retten. Als Beispiel nennt der Rheinland-Pfälzer den Zugriff auf Beatmungsgeräte im Krankenhaus. Sein Job ist es also, die Schwachstellen der Systeme »vor den Bösen« zu finden, wie er beim PZ-Management-Kongress auf Mallorca berichtet.

Schwachstellen lauern auch in Apotheken. Grundsätzlich gilt: »Je mehr Schnittstellen existieren, desto größer ist die Gefahr«, betont Bär. Insbesondere von Faxgeräten gehe ein großes Sicherheitsrisiko aus. Er empfiehlt daher den Apotheken dringend, andere Kommunikationskanäle zu nutzen. Und auch die Dokumente, die ein Fax ausspuckt, gleich zu schreddern. Andernfalls lasse sich auch auf über eine gehackte Webcam ein Blick darauf werfen. Eine hundertprozentige IT-Sicherheit erreiche man zwar nie, gibt er zu. Aber Bär plädiert dafür, dass jeder Inhaber zumindest versuchen sollte, einem Hacker das Leben etwas schwerer zu machen.

Absolute Pflicht seien regelmäßige Updates aller Systeme, um etwaige Sicherheitslücken zu schließen. Auch Back-ups sind für ihn ein Muss. »Kein Back-up, kein Mitleid«, so Bär. Außerdem sollten möglichst nicht alle Geräte in einer Offizin über dasselbe WLAN laufen, sprich der Drucker von der Telefonanlage und anderen End-Geräten getrennt sein.

Der Berufshacker appellierte an alle, sich in Sachen IT-Sicherheit nicht auf den Webdesigner oder IT-Berater zu verlassen. Die Verantwortung trage letztlich der Inhaber, aber auch die Mitarbeitenden müssen sensibilisiert sein. Denn der Faktor Mensch spiele neben physikalischen und technischen Barrieren eine entscheidende Rolle beim Schutz der Daten. Zentral sei es daher, eine »digitale Achtsamkeit« und ein »gesundes Misstrauen« zu entwickeln.

Auch in Stress-Situationen sollte jeder Mitarbeiter nachdenken, bevor er unachtsam auf einen Link in einer E-Mail oder SMS klickt. Will sagen, erst überlegen, ob diese Nachricht in diesem Zusammenhang tatsächlich echt sein kann.

Darüber hinaus sollte sich jeder Betrieb überlegen, wo seine Eintrittsrisiken bestehen (Roboter, Fax, digitale Services, Mitarbeiter), welche Auswirkungen diese haben und wie Lösungen (Notfallplan, Papierdokumentation, Back-ups) aussehen. Ungünstig ist es Bär zufolge etwa schon, wenn alle Apotheken-Mitarbeiter sich über dasselbe Passwort im System anmelden. Vorsicht sei außerdem bei Alarmanlagen, beim Zugang zu Netzkabeln, dem Web-Shop und Internet-Browsern geboten.

Klar gibt es für Hacker mit bösen Absichten interessantere Ziele als eine Apotheke vor Ort. Immerhin verdient die weltweite Cybercrime-Branche nach Bärs Angaben mehr Geld als die Drogen-Szene. Das Geschäftsmodell ist simpel: Zugriff auf ein Unternehmen – Daten verschlüsseln – Lösegeld fordern – Daten wieder freischalten.

Die meisten registrierten Angriffe entfallen demnach mit knapp 70 Prozent derzeit auf sogenannte Script-Kiddies. Das sind junge Menschen ohne IT-Ausbildung. Die nächste Stufe stellen die Technical Attacker dar. Sie verfügen in der Regel über Admin-Know-how, Programmierkenntnisse, eine IT-Ausbildung und etwas Geld. Sie sind in etwa für 27 Prozent der Angriffe verantwortlich. »Mindestens vor Vertretern dieser beiden Kategorien sollte sich jede Apotheke schützen«, sagt Bär.

Verdeckte, zielorientierte und organisierte Angriffe machen dann nur noch 4 Prozent aus. Die Ebene der sogenannten Industry Intelligence Angriffe toppen dann lediglich noch staatlich beauftragte Schad-Hacker.

Welche Gefahren in puncto IT-Sicherheit in einer Apotheke lauern, hat der Experte anschaulich zusammengestellt: