Auch Apotheken im Fokus von Cyberkriminellen |
 |  | Cornelia Dölger |
 | 15.05.2023 11:00 Uhr |
Ins Visier von Hackern können laut BSI kleinere Betriebe wie Apotheken genau so geraten wie große Unternehmen. / Foto: Adobe Stock/Song_about_summer
PZ: Sie leiten das Referat für Cyber-Sicherheit für kleine und mittlere Unternehmen (KMU) beim BSI, der Cyber-Sicherheitsbehörde des Bundes. Wie hoch schätzen Sie die Gefährdungslage für Apotheken in puncto Cyberattacken in Deutschland ein?
Bach: Die Qualität und Intensität von Cyber-Angriffen auf deutsche Unternehmen steigt seit Jahren stetig an. Davon sind häufig auch kleine und mittlere Unternehmen (KMU) betroffen, also natürlich auch Apotheken.
Warum sollten Hacker bei ihren Datenklau-Attacken ausgerechnet Apotheken auf dem Schirm haben? Gibt es bei größeren Unternehmen nicht viel mehr zu holen?
Die Attacken erfolgen in der Regel ungezielt, weshalb kleine Unternehmen folglich ein genau so großes Risiko haben wie größere. Zudem beschäftigen Apotheken anders als Großunternehmen in der Regel keine eigenen IT-Sicherheitsteams. Daraus folgt vielfach eine mangelnde Beurteilungskompetenz für IT-Sicherheitsgefährdungen und eine besondere Anfälligkeit gegenüber Bedrohungen aus dem Cyberraum.
Sind sich die Apothekeninhaberinnen und -inhaber dieses Risikos bewusst?
Offenbar ist das Thema trotz seiner Relevanz noch nicht überall präsent, zumindest bei den KMU, zu denen ja auch Apotheken zählen. Laut einer BSI-Umfrage aus dem Jahr 2021 haben nur 16 Prozent der Unternehmen ihr IT-Sicherheitsbudget in der Coronakrise erhöht. Damals identifizierte das BSI beispielsweise eine große Zahl von Microsoft-Exchange-Servern, die durch Schwachstellen verwundbar waren – bei vielen davon hatte sich in den betroffenen Organisationen seit mehr als einem Jahr niemand darum gekümmert, Sicherheitsupdates zu installieren. Bei den meisten der Systeme handelte es sich um Systeme von KMU.
Manuel Bach vom BSI / Foto: BSI
Welche Folgen können erfolgreiche Cyberangriffe für die Betroffenen haben?
Die Folgen können gravierend sein. Zunächst gibt es die wirtschaftlichen Verluste, aber auch die aufgebaute Reputation ist gefährdet. Außerdem gibt es bei einem Angriff meist etliche indirekt Betroffene – sei es, weil vertrauliche Daten abhandenkommen oder für die Kunden wichtige Dienstleistungen nicht oder nur eingeschränkt erbracht werden können. Erpressungsvorfälle mit Hilfe eingeschleuster Schadsoftware, die zum Ausfall von Informations- und Produktionssystemen führen, können den Betrieb in der Regel tage- oder wochenlang lahmlegen. Und was ein Ausfall der IT mit vorhergehendem Abfluss von Kundendaten für eine Apotheke bedeutet, muss man nicht lange erklären.
Wie können Apotheken die größten Cybergefahren abwenden?
Tatsächlich reicht hierfür oftmals schon eine Handvoll einfach umzusetzender und überwiegend kostenloser Maßnahmen. Zum Beispiel sollten regelmäßig Updates eingespielt werden. Backups sollten so angelegt werden, dass sie durch eine Schadsoftware nicht mitverschlüsselt werden können. Wichtig ist zudem, sichere Passwörter sowie einen Passwortmanager und Zwei-Faktor-Authentisierung zu nutzen, Makros zu deaktivieren und sich präventiv auf den Ernstfall vorzubereiten. Einfach irgendwelche Einzelmaßnahmen umzusetzen, ist aber nicht sinnvoll. Das Thema muss strukturiert angegangen werden.
Wie geht man das Thema denn strukturiert an?
Da gibt es verschiedene Möglichkeiten. Der Goldstandard wäre die Umsetzung des sogenannten IT-Grundschutzes. Für Organisationen mit weniger als 50 Beschäftigten ist der Aufbau und Betrieb eines vollwertigen Informationsmanagementsystems nach IT-Grundschutz in den meisten Fällen jedoch nicht geeignet.
Woran hakt es?
Vielen kleinen und mittleren Unternehmen fehlen schlicht und ergreifend Informationen zu dem Thema sowie ein passender Einstieg. Selbst wenn sie sich dazu entschieden haben, einen IT-Dienstleister hinzuzuziehen, um ihre IT-Systeme sicherer zu machen, wissen sie in der Regel nicht, womit sie diesen konkret beauftragen sollen. Denn dazu fehlt ihnen ja das nötige Wissen.
Was schlägt das BSI vor?
Die Durchführung des so genannten Cyber-Risiko-Checks. Das ist ein standardisiertes, niedrigschwelliges Verfahren, nach dem IT-Dienstleister eine Bewertung der IT-Sicherheit von Unternehmen erstellen und darauf basierend Handlungsempfehlungen abgeben. Entwickelt wurde das Verfahren vom BSI gemeinsam mit dem Bundesverband mittelständische Wirtschaft, dem Deutschen Institut für Normung, der Versicherungswirtschaft, IT-Dienstleistern und weiteren Konsortialpartnern. (Informationen unter: www.bsi.bund.de/dok/crc)
Wie sieht das Prozedere bei einem solchen Check aus?
Zunächst einmal handelt es sich dabei bewusst nicht um ein Zertifizierungsverfahren. Man kann also weder bestehen noch durchfallen. Im Rahmen der Beratung erhebt ein IT-Dienstleister in einem maximal zweistündigen, meist per Videokonferenz durchgeführten Interview den Ist-Zustand des jeweiligen Informationssicherheitsniveaus. Als Ergebnis erhält die geprüfte Apotheke einen Bericht, in dem die Erfüllung bzw. Nichterfüllung der einzelnen Anforderungen sowie konkrete Handlungsempfehlungen aufgeführt sind. Mit dem Bericht können Apothekerinnen und Apotheker eine fundierte Entscheidung darüber treffen, welche konkrete Maßnahmen sie umsetzen beziehungsweise bei einem IT-Dienstleister in Auftrag geben wollen.
Kostet die Beratung etwas?
Der Cyber-Risiko-Check ist relativ kostengünstig; veranschlagt wird in der Regel ein Beratertag. Es gibt staatliche Fördermaßnahmen, über die sich Apotheken oftmals mindestens 50 Prozent der Beratungskosten erstatten lassen können. Das BSI ist aktuell aber auch mit mehreren Bundesländern im Gespräch, um diese Möglichkeiten noch auszuweiten.
