Cyber­an­grif­fe: War­um Apo­the­ken und Gesund­heits­ein­rich­tun­gen beson­ders betrof­fen sind

• Hoher Daten­wert: Rezept- und Pati­en­ten­da­ten sind ein begehr­tes Ziel für Cyber­kri­mi­nel­le. Ihre Sen­si­bi­li­tät macht sie beson­ders anfäl­lig für Angrif­fe wie Ran­som­wa­re.
• Gerin­ge Aus­fall­to­le­ranz: Ein IT-Aus­fall in Apo­the­ken kann die Ver­sor­gung von Pati­en­ten gefähr­den. Des­halb sind Not­fall- und Wie­der­an­lauf­kon­zep­te uner­läss­lich.
• Ver­netz­te Sys­te­me und Lie­fer­ket­ten: Exter­ne Dienst­leis­ter und kom­ple­xe Sys­te­me erhö­hen die Angriffs­flä­che. Ein ganz­heit­li­cher Schutz ist not­wen­dig.
• Schutz­maß­nah­men und Sen­si­bi­li­sie­rung: Regel­mä­ßi­ge Mit­ar­bei­ter­schu­lun­gen und tech­ni­sche Schutz­maß­nah­men sind ent­schei­dend für die Prä­ven­ti­on.

Im digi­ta­len Gesund­heits­um­feld tref­fen meh­re­re Risi­ko­fak­to­ren zusam­men, die eine Apo­the­ke oder Pra­xis beson­ders attrak­tiv für Angrei­fer machen. Im fol­gen­den Abschnitt wird beleuch­tet, wie der hohe Daten­wert, die gerin­ge Aus­fall­to­le­ranz und die enge Ver­net­zung exakt zusam­men­spie­len und war­um gera­de die­se Kom­bi­na­ti­on Apo­the­ken ins Faden­kreuz rückt.

Patienten‑ und Rezept­da­ten zäh­len zu den sen­si­bels­ten Infor­ma­tio­nen über­haupt: Zum einen ent­hal­ten sie Gesundheits‑ und Medi­ka­ti­ons­in­for­ma­tio­nen, zum ande­ren sind sie bei einem Daten­leck hoch­gra­dig miss­brauch­bar, etwa für Betrugs­fäl­le oder Iden­ti­täts­dieb­stahl. Eine Cyber­at­ta­cke in die­sem Bereich kann somit nicht nur Daten­schutz­fol­gen haben, son­dern auch erheb­li­che finan­zi­el­le und repu­ta­ti­ve Schä­den für das Unter­neh­men.

Apo­the­ken ver­wal­ten neben Kun­den­da­ten auch Medikations‑ und E‑Rezept‑Informationen, sodass sie ein attrak­ti­ves Ziel für Ran­som­wa­re oder ande­re Angrif­fe dar­stel­len. Die Tat­sa­che, dass vie­le Sys­te­me eng mit Lie­fer­ket­ten, E‑Rezept‑Plattformen und Com­pu­ter­netz­wer­ken  ver­bun­den sind, erhöht zusätz­lich die Angriffs­flä­che. Des­halb muss der Schutz die­ser Daten prio­ri­siert wer­den, nicht als nach­träg­li­che Opti­on, son­dern als grund­le­gen­de Pflicht.

Ein Aus­fall der IT‑Systeme in einer Apo­the­ke kann schnell die Ver­sor­gung von Pati­en­ten beein­träch­ti­gen, sei es bei der Bereit­stel­lung von Medi­ka­men­ten, Rezep­tu­ren oder E‑Rezepte. Eine gerin­ge Aus­fall­to­le­ranz macht Apo­the­ken zu beson­ders lukra­ti­ven Zie­len für  Ransomware‑ oder Malware‑Angriffe. Gleich­zei­tig müs­sen Apo­the­ken schnell wie­der funk­ti­ons­fä­hig sein, was bedeu­tet, dass Notfall‑ und Wie­der­an­lauf­kon­zep­te vor­han­den sein müs­sen. Aus­fall­zei­ten wir­ken sich nicht nur ope­ra­tiv aus, son­dern auch auf die Pati­en­ten­si­cher­heit und das Ver­trau­en.

Moder­ne Apo­the­ken arbei­ten mit kom­ple­xen Sys­te­men wie Waren­wirt­schafts­lö­sun­gen, ange­bun­de­nen Lie­fer­sys­te­men, E‑Re­zept-Work­flows und exter­nen Rechen­zen­tren. Die­se viel­fäl­ti­gen Ver­net­zun­gen kön­nen poten­zi­el­le Angriffs­flä­chen für Cyber­be­dro­hun­gen dar­stel­len. Wird ein exter­ner Dienst­leis­ter kom­pro­mit­tiert, kann dies Aus­wir­kun­gen auf die Apo­the­ke haben, bei­spiels­wei­se durch Angrif­fe über ein­ge­bun­de­ne Dritt-Sys­te­me. Auch ver­al­te­te Schnitt­stel­len, unge­si­cher­te Remo­te-Ver­bin­dun­gen oder unsach­ge­mäß kon­fi­gu­rier­te Cloud-Diens­te ver­grö­ßern die poten­zi­el­le Angriffs­flä­che.

Ein wirk­sa­mer Schutz erfor­dert daher eine ganz­heit­li­che Betrach­tung aller Kom­po­nen­ten der IT-Lie­fer­ket­te, ein­schließ­lich der ein­ge­setz­ten Dienst­leis­ter und Zulie­fe­rer. Die Ver­net­zung erhöht Effi­zi­enz und unter­stützt Inno­va­tio­nen, kann jedoch gera­de im Gesund­heits­we­sen auch neue Risi­ken mit sich brin­gen.

Wel­che Wege wäh­len Angrei­fer typi­scher­wei­se, um in Apotheken‑Systeme ein­zu­drin­gen? Nach­fol­gend fin­den Sie die gän­gigs­ten Metho­den.

Phis­hing-E-Mails zäh­len wei­ter­hin zu den häu­figs­ten Ein­falls­to­ren für Cyber­an­grif­fe. Mit­ar­bei­ten­de kön­nen durch das Öff­nen ver­meint­lich unbe­denk­li­cher Links oder Anhän­ge unbe­ab­sich­tigt Zugangs­da­ten preis­ge­ben oder Schad­soft­ware aus­lö­sen. Beim soge­nann­ten Busi­ness E‑Mail Com­pro­mi­se (BEC) täu­schen Angrei­fer gezielt die Iden­ti­tät von Füh­rungs­kräf­ten oder Dienst­leis­tern vor, um bei­spiels­wei­se Über­wei­sun­gen zu ver­an­las­sen, Zah­lungs­in­for­ma­tio­nen zu ändern oder Zugriff auf Sys­te­me zu erhal­ten.

In Apo­the­ken äußert sich dies unter ande­rem durch gefälsch­te E‑Mails im Namen von Lie­fe­ran­ten, fin­gier­te Rech­nun­gen oder angeb­li­che IT-Sup­port-Anfra­gen. Zur Risi­ko­mi­ni­mie­rung sind sowohl tech­ni­sche Schutz­maß­nah­men wie E‑Mail-Fil­ter als auch eine kon­ti­nu­ier­li­che Sen­si­bi­li­sie­rung der Mit­ar­bei­ten­den erfor­der­lich.

Ein häu­fig genutz­ter Angriffs­weg besteht in der Aus­nut­zung ver­al­te­ter Betriebs­sys­te­me oder unge­schütz­ter Remo­te-Zugän­ge wie RDP oder VPN. So kön­nen Cyber­kri­mi­nel­le Schad­soft­ware wie Ran­som­wa­re ein­schleu­sen. Wird dadurch auf zen­tra­le Sys­te­me wie Waren­wirt­schafts- oder Kas­sen­sys­te­me zuge­grif­fen, kommt es häu­fig zu Erpres­sungs­ver­su­chen durch Ver­schlüs­se­lung und Löse­geld­for­de­run­gen.

In Apo­the­ken sind sol­che Aus­fäl­le beson­ders kri­tisch, da sie den Betriebs­ab­lauf unmit­tel­bar beein­träch­ti­gen. Um sol­chen Sze­na­ri­en vor­zu­beu­gen, sind ein kon­se­quen­tes Patch-Manage­ment, die Absi­che­rung exter­ner Zugän­ge sowie die Seg­men­tie­rung der Netz­werk­in­fra­struk­tur essen­zi­ell.

Cyber­an­grif­fe erfol­gen nicht nur über E‑Mail oder Remo­te-Zugrif­fe. Auch soge­nann­te Dri­ve-by-Down­loads, zum Bei­spiel beim Besuch kom­pro­mit­tier­ter Web­sei­ten, sowie Schwach­stel­len in Dritt­an­bie­ter-Soft­ware stel­len ein Risi­ko dar. Wird bei­spiels­wei­se eine durch einen Dienst­leis­ter bereit­ge­stell­te Soft­ware bereits vor der Aus­lie­fe­rung kom­pro­mit­tiert, kön­nen Angrei­fer über die Lie­fer­ket­te Zugriff auf inter­ne Sys­te­me erhal­ten.

In Apo­the­ken ist dies beson­ders rele­vant, da zahl­rei­che exter­ne Anbie­ter ein­ge­bun­den sind, etwa im Bereich Waren­wirt­schaft oder Abrech­nung. Zur Risi­ko­mi­ni­mie­rung sind regel­mä­ßi­ge Prü­fun­gen von Dienst­leis­tern, Pene­tra­ti­ons­tests sowie klar defi­nier­te ver­trag­li­che Sicher­heits­an­for­de­run­gen not­wen­dig.

Neben tech­ni­schen Angrif­fen set­zen Angrei­fer zuneh­mend auf mensch­li­che Schwach­stel­len: Beim Engi­nee­ring etwa, bei dem Mit­ar­bei­ten­de tele­fo­nisch oder per E‑Mail dazu gebracht wer­den, sen­si­ble Daten her­aus­zu­ge­ben oder Sys­tem­zu­gän­ge zu öff­nen. Beim Telefon‑Spoofing ruft der Angrei­fer schein­bar als ver­trau­ens­wür­di­ger Dienst­leis­ter an und erhält dadurch Zugang zu Sys­te­men oder Infor­ma­tio­nen.

Für Apo­the­ken bedeu­tet das: Mit­ar­bei­ten­de müs­sen geschult wer­den, wie sie mit uner­war­te­ten Anru­fen und E‑Mails umge­hen.

Auch ohne kom­ple­xe Angriffs­me­tho­den kön­nen Fehl­kon­fi­gu­ra­tio­nen Angrei­fern den Zugang erleich­tern. Offen­ste­hen­de Cloud-Frei­ga­ben, unsi­che­re NAS-Spei­cher oder falsch ein­ge­rich­te­te Fire­wall-Regeln ermög­li­chen unbe­fug­ten Zugriff.

In Apo­the­ken, die zuneh­mend Cloud-Diens­te nut­zen oder Remo­te-Ver­bin­dun­gen ein­set­zen, ist die Wahr­schein­lich­keit für sol­che Kon­fi­gu­ra­ti­ons­feh­ler erhöht. Des­halb ist es wich­tig, dass Sicher­heits­kon­zep­te klar defi­niert, doku­men­tiert und regel­mä­ßig über­prüft wer­den, um Fehl­kon­fi­gu­ra­tio­nen als Risi­ko­fak­tor wirk­sam zu mini­mie­ren.

Eine neue­re Angriffs­me­tho­de, die zuneh­mend in Apo­the­ken und ande­ren Unter­neh­men auf­tritt, ist Quis­hing – eine Kom­bi­na­ti­on aus QR-Codes und Phis­hing-Tech­ni­ken. Angrei­fer mani­pu­lie­ren QR-Codes, die Benut­zer auf gefälsch­te Web­sei­ten wei­ter­lei­ten. Beson­ders gefähr­lich: QR-Codes erschei­nen unschul­dig und ver­trau­ens­wür­dig, was sie zu einem idea­len Ziel für Hacker macht.

Schutz­maß­nah­men gegen Quis­hing:

• Prü­fen Sie die Quel­le des QR-Codes, bevor Sie ihn scan­nen.
• Nut­zen Sie nur ver­trau­ens­wür­di­ge QR-Scan­ner und ach­ten Sie dar­auf, dass die Ziel-URL ange­zeigt wird.
• Geben Sie kei­ne sen­si­blen Daten auf Web­sites ein, die Sie über QR-Codes errei­chen.

Daten­schutz ist Pflicht, ins­be­son­de­re im Gesund­heits­sek­tor. Im fol­gen­den Abschnitt geht es dar­um, wie Sie gesetz­li­che Vor­ga­ben prak­tisch umset­zen kön­nen, mit Blick auf Ver­ant­wort­lich­kei­ten, tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOMs), Pri­va­cy by Design/Default, Daten­mi­ni­mie­rung und Doku­men­ta­ti­on.

Wer trägt die Ver­ant­wor­tung für die Daten­ver­ar­bei­tung? Inner­halb einer Apo­the­ke oder Pra­xis müs­sen kla­re Rol­len defi­niert wer­den – bei­spiels­wei­se wer als Ver­ant­wort­li­cher (gemäß Datenschutz‑Grundverordnung) auf­tritt, wer die Daten­schutz­be­auf­trag­te Per­son ist und wer für die IT‑Dienstleister ver­ant­wort­lich ist. Beson­ders wich­tig sind Auf­trags­ver­ar­bei­tungs­ver­trä­ge (AV‑Verträge) mit IT‑Dienstleistern, in denen deren Pflich­ten und Sicher­heits­maß­nah­men klar gere­gelt sind. Ohne sol­che Ver­trä­ge könn­ten Verantwortlichkeits‑ und Haf­tungs­fra­gen im Fall einer Daten­pan­ne unklar blei­ben. Die Bun­des­agen­tur für Sicher­heit in der Infor­ma­ti­ons­tech­nik bie­tet hier­zu Leit­fä­den, auf die sich Apo­the­ken stüt­zen kön­nen.

Die Datenschutz‑Grundverordnung ver­langt, dass Ver­ant­wort­li­che geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOMs) ergrei­fen, um Sicher­heit der Ver­ar­bei­tung zu gewähr­leis­ten. Dazu gehö­ren z. B.: Zugriffs­kon­trol­len, Ver­schlüs­se­lung von Daten, Pro­to­kol­lie­rung von Zugrif­fen, Red­un­danz und Dis­as­ter Reco­very. In einer Apo­the­ke bedeu­tet das kon­kret: Kas­sen­sys­te­me, Waren­wirt­schaft und Pati­en­ten­da­ten müs­sen ver­schlüs­selt sein, Back­ups vor­han­den und Wie­der­her­stel­lungs­ver­fah­ren regel­mä­ßig wer­den. Die Maß­nah­men müs­sen nicht nur geplant, son­dern aktiv umge­setzt und doku­men­tiert sein, damit im Fall einer Prü­fung oder eines Angriffs die ent­spre­chen­den Nach­wei­se bereit­ste­hen.

„Pri­va­cy by Design / by Default“ bedeu­tet, Daten­schutz bereits bei der Gestal­tung von Sys­te­men und Pro­zes­sen zu berück­sich­ti­gen und nicht erst nach­träg­lich. Für Apo­the­ken-Soft­ware, E‑Re­zept-Work­flows oder Lie­fer­ket­ten bedeu­tet dies, dass stan­dard­mä­ßig nur die unbe­dingt not­wen­di­gen Daten erho­ben wer­den, Zugrif­fe stan­dard­mä­ßig ein­ge­schränkt sind und Sicher­heits­funk­tio­nen stan­dard­mä­ßig akti­viert sind. Nur so wird ver­hin­dert, dass durch nach­träg­li­che Anpas­sung Schwach­stel­len ent­ste­hen oder Daten uner­kannt expo­niert wer­den. Der Vor­teil: Es redu­ziert das Risi­ko einer Cyber­kri­mi­na­li­tät und wirkt prä­ven­tiv.

Daten- und Lösch­kon­zep­te sind zen­tra­le Ele­men­te des Daten­schut­zes: Es muss klar gere­gelt sein, wel­che Daten zu wel­chem Zweck ver­ar­bei­tet wer­den, wie lan­ge sie auf­be­wahrt und wann sie gelöscht wer­den. In Apo­the­ken spie­len etwa Rezept‑ und Pati­en­ten­da­ten, Aufbewahrungs‑ und Archiv­pflich­ten sowie Infor­ma­ti­ons­pflich­ten gegen­über Pati­en­ten eine Rol­le. Eine unnö­ti­ge Spei­che­rung erhöht das Risi­ko eines Daten­lecks, eine ver­spä­te­te Löschung schafft Angriffs­flä­che. Ein aus­ge­ar­bei­te­tes Lösch­kon­zept hilft, das Risi­ko zu redu­zie­ren und gesetz­li­che Vor­ga­ben zu erfül­len.

Jede Orga­ni­sa­ti­on muss ein Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten füh­ren, wenn sie per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, beson­ders dann, wenn Gesund­heits­da­ten im Spiel sind. Dar­über hin­aus müs­sen Risi­ko­ana­ly­sen und ggf. eine Datenschutz‑Folgenabschätzung (DSFA) durch­ge­führt wer­den, wenn beson­ders sen­si­ble Daten ver­ar­bei­tet wer­den oder Risi­ken für Rech­te und Frei­hei­ten Betrof­fe­ner bestehen. Für Apo­the­ken bedeu­tet dies: Ana­ly­se etwa bei Ein­füh­rung neu­er Ser­vices (z. B. Tele­phar­ma­zie) oder bei Zugrif­fen von Dienst­leis­tern auf Pati­en­ten­da­ten. Nur mit Klar­heit über Pro­zes­se, Risi­ken und Ver­ant­wort­lich­kei­ten lässt sich Daten­schutz wirk­sam gestal­ten.

Wer han­delt, muss auch wis­sen, wel­che recht­li­chen Vor­ga­ben gel­ten, vor allem im Gesundheits‑ und Apo­the­ken­be­reich. Im Fol­gen­den wer­den die wich­tigs­ten The­men geklärt: DSGVO‑Meldung, Sektorregeln/Branchenstandards und Verträge/Haftung mit IT‑Dienstleistern.

Bei einer Daten­pan­ne besteht unter Umstän­den eine Mel­de­pflicht gegen­über der Daten­schutz­be­hör­de, wenn Gesund­heits­da­ten oder sen­si­ble Per­so­nen­da­ten betrof­fen sind. Die Mel­dung muss bestimm­te Inhal­te ent­hal­ten: Art der Daten­pan­ne, Anzahl der Betrof­fe­nen, vor­aus­sicht­li­che Fol­gen, ergrif­fe­ne Maß­nah­men. In einer Apo­the­ke, wo Pati­en­ten­da­ten ver­ar­bei­tet wer­den, ist die­se Pflicht beson­ders rele­vant. Wich­tig: Der Zeit­punkt zählt, denn häu­fig besteht eine Frist von 72 Stun­den nach Kennt­nis­er­lan­gung. Ein kla­rer Ablauf zur Mel­dung schützt vor Buß­gel­dern und zeigt Auf­sichts­per­so­nen, dass der Betrieb ver­ant­wor­tungs­voll mit Risi­ken umgeht.

Wenn exter­ne Dienst­leis­ter in Sys­te­me ein­ge­bun­den sind, z. B. für Waren­wirt­schaft, Cloud, Remote‑Support, müs­sen Ver­trä­ge kla­re Rege­lun­gen ent­hal­ten: Auf­trags­ver­ar­bei­tungs­ver­trä­ge (AV), Nach­wei­se zu tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs), Rege­lun­gen für Sub‑Dienstleister. Im Fall einer Cyber­at­ta­cke oder Daten­pan­ne muss geklärt sein, wer wel­che Ver­ant­wor­tung trägt, und wel­che Haf­tung greift. Apo­the­ken soll­ten die­se Ver­trä­ge regel­mä­ßig prü­fen und sicher­stel­len, dass Dienst­leis­ter ver­pflich­tet sind, Sicherheits­vorfälle unver­züg­lich zu mel­den.

Je nach Grö­ße und Ein­ord­nung kann eine Apo­the­ke oder ein Gesund­heits­dienst­leis­ter unter spe­zi­el­le Regel­wer­ke fal­len z. B. Richt­li­nie zur Netz- und Infor­ma­ti­ons­si­cher­heit (NIS2) oder KRITIS‑Vorgaben. Die­se ver­pflich­ten zu erwei­ter­ten Sicherheits‑ und Mel­de­pflich­ten. Selbst wenn kei­ne for­ma­le Ein­stu­fung vor­liegt, ist die Ori­en­tie­rung an Bran­chen­stan­dards wie ISO 27001 oder den Vor­ga­ben des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik emp­feh­lens­wert. Für Apo­the­ken bedeu­tet das: Ein­schät­zung der eige­nen Ein­ord­nung, Erfül­lung von Min­dest­stan­dards und Doku­men­ta­ti­on zur Nach­weis­bar­keit.

Cyber­an­grif­fe auf Apo­the­ken sind nicht nur ein tech­ni­sches Risi­ko, son­dern lösen unmit­tel­ba­re recht­li­che und orga­ni­sa­to­ri­sche Fol­gen aus. Wer­den Pati­en­ten­da­ten, Rezept­in­for­ma­tio­nen oder IT-Sys­te­me kom­pro­mit­tiert, grei­fen Mel­de­pflich­ten, Doku­men­ta­ti­ons­an­for­de­run­gen und Haf­tungs­fra­gen.

Auf­sichts­be­hör­den und Kam­mern prü­fen dabei nicht ein­zel­ne Schutz­maß­nah­men, son­dern ob Infor­ma­ti­ons­si­cher­heit sys­te­ma­tisch, risi­ko­ba­siert und nach­voll­zieh­bar orga­ni­siert ist. Genau hier set­zen Anfor­de­run­gen aus DSGVO, § 203 StGB und der NIS-2-Richt­li­nie an.

Für Apo­the­ken bedeu­tet das: Cyber­ab­wehr, Daten­schutz und Not­fall­pla­nung müs­sen struk­tu­riert zusam­men­ge­führt wer­den, um Angrif­fe nicht nur tech­nisch, son­dern auch recht­lich beherrsch­bar zu machen.

Die Umset­zung der Anfor­de­run­gen aus der NIS-2-Richt­li­nie, der DSGVO und aus § 203 StGB gewinnt für Apo­the­ken zuneh­mend an Bedeu­tung, weil Gesund­heits­da­ten beson­ders hohen Schutz­pflich­ten unter­lie­gen.

Eine unmit­tel­ba­re Anwend­bar­keit der erwei­ter­ten NIS-2-Pflich­ten kann ins­be­son­de­re dann bestehen, wenn (inklu­si­ve Filia­len):

• min­des­tens 50 Mit­ar­bei­ten­de
• ein Jah­res­um­satz über 10 Mio. €

Unab­hän­gig von einer for­ma­len Ein­stu­fung erwar­ten Auf­sichts­be­hör­den bereits heu­te eine struk­tu­rier­te und doku­men­tier­te Infor­ma­ti­ons­si­cher­heit.

Für eine prag­ma­ti­sche Umset­zung die­ser Anfor­de­run­gen hat TRI­ESCH­con­sult ein ISMS Light ent­wi­ckelt. Ziel ist es, Min­dest­an­for­de­run­gen prü­fungs­fest umzu­set­zen, ohne den Apo­the­ken­all­tag unnö­tig zu belas­ten.

Kern­be­stand­tei­le:

• ISMS-Hand­buch mit Vor­la­gen, Richt­li­ni­en und Risi­ko­re­gis­ter
• apo­the­ken­spe­zi­fi­sche Inhal­te (z. B. Boten­dienst, mobi­le Gerä­te, TI, E‑Rezept, ePA)
• Beschäf­tig­ten-Leit­fa­den zur Mit­ar­bei­ten­den-Unter­wei­sung

Das ISMS Light eig­net sich als Nach­weis gegen­über Kam­mern, Auf­sichts­be­hör­den und Audi­to­ren.

Cyber­an­grif­fe betref­fen längst nicht mehr nur gro­ße Kon­zer­ne oder kri­ti­sche Infra­struk­tu­ren, denn jedes Unter­neh­men, das digi­tal arbei­tet, ist poten­zi­ell im Visier. Ob Apo­the­ke, Agen­tur, Kanz­lei oder Hand­werks­be­trieb: Sobald Kun­den­da­ten, E‑Mails, Remo­te-Zugrif­fe oder Cloud-Diens­te genutzt wer­den, gibt es eine Angriffs­flä­che.

Drei Din­ge ent­schei­den dar­über, wie gut ein Betrieb auf einen Vor­fall vor­be­rei­tet ist:

• Tech­ni­sche Absi­che­rung (Sys­te­me, Back­ups, Zugän­ge)
• Schu­lung der Mit­ar­bei­ten­den (Umgang mit Phis­hing, siche­re Arbeits­wei­sen)
• Kennt­nis über Abläu­fe im Ernst­fall (Not­fall­plan, Mel­de­pflich­ten, Wie­der­an­lauf)

IT-Sicher­heit ist kein Pro­jekt, son­dern ein Dau­er­pro­zess und je digi­ta­ler der All­tag, des­to wich­ti­ger ist es, die­sen aktiv zu gestal­ten. Wer vor­be­rei­tet ist, kann Schä­den deut­lich begren­zen oder sie ganz ver­hin­dern.

Tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heits­maß­nah­men bil­den das Rück­grat eines wirk­sa­men Schut­zes gegen Cyber­an­grif­fe. In den fol­gen­den Unter­ab­schnit­ten fin­den Sie eine struk­tu­rier­te Lis­te von Basis­ele­men­ten.

• MFA akti­vie­ren: Die Mul­ti-Fak­tor-Authen­ti­fi­zie­rung (z. B. Pass­wort + SMS-TAN) schützt Log­ins dop­pelt.
• Star­ke Pass­wör­ter nut­zen: Ver­wen­den Sie einen Pass­wort-Mana­ger, damit kei­ne Pass­wör­ter ver­ges­sen wer­den.
• Admin-Zugän­ge tren­nen: Ver­wen­den Sie sepa­ra­te Kon­ten für die Sys­tem­ver­wal­tung und den All­tag.
• „Least Pri­vi­le­ge“ anwen­den: Geben Sie jedem nur die Rech­te, die er für sei­ne Arbeit benö­tigt. So ver­hin­dern Sie, dass Angrei­fer mit einem ein­zi­gen Kon­to das Sys­tem über­neh­men kön­nen.

• Patch-Manage­ment ein­füh­ren: Instal­lie­ren Sie Sicher­heits­up­dates für Soft­ware und Betriebs­sys­te­me zeit­nah.
• Sys­te­me „här­ten“: Schal­ten Sie unnö­ti­ge Diens­te ab und löschen Sie Stan­dard-Zugän­ge. Kon­fi­gu­rie­ren Sie alles sicher.
• EDR-/AV-Pro­gram­me ein­set­zen: EDR (End­point Detec­tion und Respon­se) erkennt Angrif­fe aktiv. AV (Anti­vi­rus) schützt vor Mal­wa­re.
• Siche­re Grund­kon­fi­gu­ra­tio­nen: Ver­mei­den Sie offe­ne Zugän­ge und Stan­dard­pass­wör­ter. Gepfleg­te Tech­nik ver­hin­dert vie­le Angrif­fe.

• Netz­wer­ke auf­tei­len: Tei­len Sie Netz­wer­ke in ver­schie­de­ne Berei­che wie Kas­se, Rezep­tur und Büro-PCs auf.
• Zero-Trust-Prin­zip anwen­den: Prü­fen Sie jeden Zugriff. So bleibt der Scha­den bei einem Angriff auf ein Seg­ment beschränkt.

• 3–2‑1-Backup-Regel umset­zen: Erstel­len Sie 3 Kopien auf 2 ver­schie­de­nen Spei­cher­me­di­en. Eine Kopie soll­te off­line sein.
• Immu­ta­ble Back­ups ver­wen­den: Die­se las­sen sich im Nach­hin­ein nicht ver­än­dern oder löschen, auch nicht von Angrei­fern.
• Wie­der­her­stel­lung tes­ten: Tes­ten Sie regel­mä­ßig, ob Sie Daten aus den Back­ups wie­der­her­stel­len kön­nen. Ein funk­tio­nie­ren­des Back­up ist uner­läss­lich.

• E‑Mail-Fil­ter und Anhangs­prü­fung akti­vie­ren: Schad­haf­te Datei­en wer­den so direkt aus­sor­tiert.
• Absen­der prü­fen mit DMARC, DKIM und SPF: Die­se Tech­ni­ken stel­len sicher, dass E‑Mails wirk­lich vom Absen­der stam­men.
• Web-Fil­ter ein­set­zen: Blo­ckiert bekann­te Schad-Web­sei­ten auto­ma­tisch.
 → Die meis­ten Cyber­an­grif­fe star­ten mit einer E‑Mail. Gute Fil­ter sind Pflicht.

• AV-Ver­trä­ge abschlie­ßen: Der soge­nann­te Auf­trags­ver­ar­bei­tungs­ver­trag (AVV) regelt Daten­schutz und Sicher­heit mit IT-Dienst­leis­tern.
• Sicher­heits­nach­wei­se anfor­dern: For­dern Sie Pene­tra­ti­ons­tests (geplan­te Sicher­heits­tests) oder Prüf­be­rich­te an, um die Sicher­heit der Dienst­leis­ter zu über­prü­fen.
• Ver­ant­wort­lich­kei­ten klä­ren: Klä­ren Sie im Ver­trag, wer im Fal­le einer Sicher­heits­lü­cke haf­tet. Dienst­leis­ter kön­nen Schwach­stel­len sein oder Teil der Lösung.

Michael Triesch ist nicht nur ein erfah­re­ner exter­ner Daten­schutz­be­auf­trag­ter und lei­ten­der Audi­tor für ISMS nach ISO 27001. Die­se ein­zig­ar­ti­ge Kom­bi­na­ti­on aus Daten­schutz­kom­pe­tenz und Infor­ma­ti­ons­si­cher­heits-Exper­ti­se bie­tet Apo­the­ken die nöti­ge Sicher­heit

Ein Daten­schutz­be­auf­trag­ter sorgt nicht nur dafür, dass die DSGVO ein­ge­hal­ten wird, son­dern ist ein wich­ti­ger Spar­rings­part­ner in den Berei­chen IT-Sicher­heit, Risi­ko­ma­nage­ment und Rechts­kon­for­mi­tät im digi­ta­len All­tag.

Kon­kret bringt ein Daten­schutz­be­auf­trag­ter:

• Rechts­si­cher­heit: Klärt, wel­che Daten­ver­ar­bei­tun­gen zuläs­sig sind und wo Hand­lungs­be­darf besteht.
• DSGVO-Umset­zung: Unter­stüt­zung bei Ver­zeich­nis­sen, Auf­trags­ver­ar­bei­tungs­ver­trä­gen, Lösch­kon­zep­ten etc.
• Sen­si­bi­li­sie­rung: Schu­lung der Mit­ar­bei­ten­den im Umgang mit Daten und Daten­schutz­pan­nen.
• Not­fall­hil­fe: Er weiß, was im Ernst­fall zu tun ist (z. B. Mel­dung an Behör­de, Doku­men­ta­ti­ons­pflich­ten).
• Risi­ko­be­wer­tung: Erkennt Schwach­stel­len früh­zei­tig – bevor ein finan­zi­el­ler Scha­den ent­steht.

Cyber­an­grif­fe auf Apo­the­ken sind eine wach­sen­de Bedro­hung. Die zuneh­men­de Digi­ta­li­sie­rung und der Umgang mit sen­si­blen Pati­en­ten­da­ten machen Apo­the­ken zu einem attrak­ti­ven Ziel für Cyber­kri­mi­nel­le. Die Fol­gen eines Angriffs rei­chen von Betriebs­un­ter­bre­chun­gen bis zu Daten­schutz­ver­let­zun­gen und mas­si­ven Repu­ta­ti­ons­schä­den.

Schüt­zen Sie Ihre Apo­the­ke recht­zei­tig, indem Sie prä­ven­ti­ve Maß­nah­men ergrei­fen. Eine umfas­sen­de Sicher­heits­stra­te­gie, regel­mä­ßi­ge Mit­ar­bei­ter­schu­lun­gen und tech­ni­sche Schutz­maß­nah­men sind ent­schei­dend, um sich vor den Gefah­ren digi­ta­ler Angrif­fe zu wapp­nen. Han­deln Sie jetzt, um Ihre IT-Infra­struk­tur abzu­si­chern und im Ernst­fall hand­lungs­fä­hig zu blei­ben. Die Zukunft Ihrer Apo­the­ke hängt von der rich­ti­gen Vor­be­rei­tung auf Cyber­an­grif­fe ab!