- DAZ.online
- DAZ / AZ
- DAZ 44/2021
- Der gehackte 2D-Code
Digitalisierung
Der gehackte 2D-Code
Wie realistisch sind Cyber-Risiken durch manipulierte E-Rezepte?
Egal, ob ihn die Mitarbeiter in der Apotheke oder die Patienten mit ihrem Handy verwenden – der Umgang mit den 2D-Codes ist denkbar einfach. Es genügt, sie zu scannen oder mit dem Smartphone zu fotografieren, und schon wird die im Code hinterlegte Aktion ausgeführt. Die manuelle Eingabe von langen Passwörtern oder Internet-Adressen entfällt.
Ähnlich soll es beim E-Rezept auch laufen, wenn es dereinst zum Einsatz kommen wird. Laut Spezifikation sollen beide eingangs beschriebenen Arten von 2D-Codes auch beim E-Rezept eingesetzt werden können. Der Token, der die Apotheke zum Abruf der Verordnung vom Fachdienst der Gematik berechtigt und der deshalb als „Schlüssel zum E-Rezept“ gilt, kann also sowohl als Data-Matrix- als auch als QR-Code verschlüsselt werden. In die Apotheke gelangt der Token entweder über das Smartphone des Besitzers oder über den Ausdruck zum Abruf des E-Rezeptes auf Papier.
So praktisch und bequem diese Automatisierung und das nahtlose Ineinandergreifen digitaler Prozesse auch sein mögen – steckt nicht gerade darin auch ein Risiko? Wäre es beispielsweise denkbar, dass sich in einem der 2D-Codes Software verbirgt, die Schaden in der Apotheke oder auf dem Smartphone des Patienten anrichtet? Und wenn ja – welche Konsequenzen hätte es dann?
Gefahren durch Malware
In 2D-Codes, egal ob Data-Matrix oder QR, können beliebige alphanumerische Zeichen verschlüsselt werden. Grundsätzlich wäre es sogar möglich, die schädliche Software (sog. „Malware“) in Programmiersprache direkt im 2D-Code zu hinterlegen. Allerdings funktioniert so etwas nur in der Theorie, denn die Malware müsste ja, um tatsächlich Schaden anrichten zu können, auch ausgeführt werden. Die vorhandene Zeichendichte in 2D-Codes reicht jedoch nicht aus, um selbstausführende Programme damit verschlüsseln zu können.
Deswegen greifen Cyberkriminelle gerne auf einen anderen, sehr simplen Trick zurück: Sie verlinken auf Webseiten, auf denen die Malware hinterlegt ist. Sobald die Seite aufgerufen wird, werden die schädlichen Programme automatisch ausgeführt. Vergleichsweise harmlos wäre es, wenn der Nutzer auf einer Phishing-Seite landet, die vorgibt, persönliche Daten wie Passwörter oder die Bankverbindung verifizieren zu wollen. Im Hintergrund werden diese sensiblen Daten dann jedoch weitergeleitet und können von Dritten missbraucht werden. Im schlimmsten Fall wird durch die Malware direkt und unmittelbar die Festplatte gelöscht oder der Computer gesperrt und erst nach Zahlung eines Lösegeldes, meist in der Kryptowährung Bitcoin, wieder freigegeben.
Konkret sieht das Drohszenario für Apotheken also so aus, dass ein Patient mit einem E-Rezept in die Apotheke kommt, das gehackt wurde. Die 2D-Barcodes darauf enthalten keinen Schlüssel zum Abruf der Verordnung, sondern einen Link zu einer Webseite mit Malware, welche die Apotheke lahmlegt. Doch ist solch ein Szenario realistisch?
Voraussetzung 1: Der manipulierte Code müsste auf das E-Rezept kommen
Ausgestellt wird das E-Rezept vom Arzt, indem es auf dem E-Rezept-Speicher abgelegt wird. Dabei handelt es sich um einen Fachdienst der Gematik, der innerhalb der Telematik-Infrastruktur (TI) läuft. Nutzt ein Patient zum Verwalten und Einlösen seiner E-Rezepte die App der Gematik, so befindet er sich mir ihr ebenfalls innerhalb der hoch sicheren TI. Dass ein Hacker direkt auf dem E-Rezept-Server schädliche Software ablegt, kann mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen werden. Der komplett digitale Weg über die Gematik-App ist also sicher. Nur werden gerade diesen Weg zu Beginn der Einführung des E-Rezeptes (wann auch immer dieser Zeitpunkt sein mag) die wenigsten Patienten nutzen können, da der Authentifizierungsprozess innerhalb der Gematik-App sehr kompliziert ist. Die meisten Patienten, die ein E-Rezept in der Apotheke einlösen wollen, werden daher auf den Ausdruck zum Abruf des E-Rezeptes im Format DIN A4 oder A5 zurückgreifen.
Um diesen Ausdruck zu manipulieren, müsste man jedoch gar nicht mehr bis in die TI vordringen. Es würde ausreichen, wenn sich Hacker Zugang in das Praxisverwaltungssystem eines Arztes oder einer Klinik verschaffen. Ein solcher Cyberangriff liegt durchaus im Bereich des Vorstellbaren. Selbst der beste Virenschutz kann nicht absolut verhindern, dass jemand auf einen Phishing-Angriff hereinfällt und dabei die Daten für den Zugang zum System preisgibt. Cyberkriminelle könnten daraufhin beispielsweise versuchen, den 2D-Code auf dem Ausdruck zum Abruf des E-Rezeptes so zu überschreiben, dass er auf eine mit Malware verseuchte Website weiterleitet.
Ein solcher Angriff ist natürlich höchst unwahrscheinlich –aber nicht unmöglich. Unter Experten für IT-Sicherheit hat sich hierfür die Theorie des „Assume-Breach“ (engl. für „Annahme des Einbruchs“) etabliert. Sie besagt, dass jedes Unternehmen davon ausgehen muss, einmal Opfer einer Cyberattacke zu werden – unabhängig davon, wie aufwendig die IT-Sicherheitsvorkehrungen auch sein mögen. Anders ausgedrückt: Was gehackt werden kann, wird auch irgendwann einmal gehackt. Noch wurde diese rein hypothetische Möglichkeit des Manipulierens von Ausdrucken zum Abruf des E-Rezeptes nicht realisiert. Dennoch sollte man, vor allem in Kenntnis der „Assume-Breach“-Theorie, das gedankliche Experiment weiterführen und schauen, wie der weitere Weg eines so „kontaminierten“ Ausdrucks zum Abruf des E-Rezeptes aussehen könnte. Schließlich ist in der Apotheke noch kein Schaden entstanden, da das Rezept mit dem gefälschten 2D-Code bislang ja noch nicht weiterverarbeitet wurde.
Zum Weiterlesen
Schlüssel für die Zukunft – Barcodes, DataMatrix- und QR-Codes sind längst in den Apotheken angekommen, DAZ 2020, Nr. 29, S. 60
Was ist eine Blockchain? Eine digitale Technologie erobert den Gesundheitssektor, DAZ 2019, Nr. 25, S. 48
Voraussetzung 2: Das manipulierte E-Rezept müsste in der Apotheke einen Schaden verursachen
Die Kassenprogramme der Warenwirtschaft stellen über die TI eine direkte Verbindung zum Fachdienst „E-Rezept“ der Gematik her. Diese lesen den Token aus und übergeben die so erhaltenen alphanumerischen Zeichen an besagten Fachdienst. Dieser kann nun auf zweierlei Möglichkeiten reagieren: Entweder es gibt es ein zum übermittelten Zeichensatz passendes E-Rezept auf dem Server – dann wird dieses abgerufen. Gibt es hingegen kein korrespondierendes E-Rezept, so wird eine Meldung ausgegeben, die sinngemäß aussagt, dass der Token ungültig ist. Selbst wenn in dem Token also der Link zu einer anderen Webseite stecken sollte, wird diese an dieser Stelle nicht aufgerufen. Es ist lediglich ein nicht passender Schlüssel, der nicht zum Abruf eines E-Rezeptes führt.
Besteht somit tatsächlich keine Gefahr für Apotheken durch manipulierte Codes auf Ausdrucken zum Abruf von E-Rezepten? Das kommt darauf an! Solange nämlich mit den Ausdrucken zum Abruf des E-Rezeptes nur im Kassen- und E-Rezept-Dialog der Warenwirtschaft hantiert wird, ist es unkritisch. Was würde jedoch passieren, wenn ein Nutzer in der Apotheke den Internet-Browser öffnet, den Cursor in die Eingabezeile bewegt und dann im selben Moment einen manipulierten Token scannt, beispielsweise, weil sie oder er in dem Moment mit einem Ausdruck am Scanner vorbeigeht und dieser den Code zufällig erfasst?
Je nach Programmierung des 2D-Codes gibt es zwei Alternativen. Die erste ist, dass nur die Zieladresse angezeigt wird, der Benutzer aber noch manuell die Enter-Taste betätigen muss. Das ist nicht ganz unkritisch, aber weniger kritisch. Immerhin könnte einem aufmerksamen User auffallen, dass die Zieladresse im Browser seltsam aussieht. Andererseits reicht nur ein einzelner unauffälliger Buchstabendreher in einer ansonsten vertrauten Internet-Adresse, und schon landet man ganz woanders. Außerdem werden häufig, vor allem in QR-Codes, Tools zur Abkürzung von Internet-Adressen wie bit.ly verwendet, so dass man aufgrund der URL selbst gar nicht ableiten kann, wo man landen wird. Versiertere Hacker würden jedoch die zweite Alternative umsetzen und ans Ende des manipulierten Codes einen „Carriage Return“ programmieren. Das ist so, als würde man das Betätigen der Enter-Taste mit auslösen. Dann wird die Zieladresse automatisch aufgerufen. Bei der ersten Alternative hat man immer noch die Möglichkeit, einfach nicht auf Enter zu drücken, bei der zweiten nimmt das Unheil unaufhaltbar seinen Lauf.
Benutzer können den Code natürlich auch mit ihren Smartphones abfotografieren. Die meisten Smartphones zeigen die Zieladresse nach dem Erkennen noch einmal an und lassen sich die Weiterleitung bestätigen. Der Unterschied zu einem Rechner im Netzwerk der Apotheke ist, dass sich auf dem Smartphone hoffentlich keine sensiblen Daten aus der Warenwirtschaft befinden. Erpressungsversuche sind hier also eher unwahrscheinlich, dennoch ist es ärgerlich, wenn aus einem solchen Grund ein teures Handy unbenutzbar und ein neues angeschafft werden muss. Von dem Zugriff der Hacker auf die privaten Daten in der Cloud ganz zu schweigen.
Cyber-Versicherungen: Chancen und Grenzen
eda | Welche Vorteile kann eine Cyber-Versicherung für Unternehmen – speziell für Apotheken – haben? Gegenüber der DAZ äußert sich ein Spezialist für Informationssicherheit, der unter anderem Arztpraxen und MVZ berät. Er persönlich hält Cyber-Versicherungen für nicht grundsätzlich verkehrt. Auch Apothekeninhaberinnen und -inhaber könnten von bestimmten Versicherungsleistungen profitieren, doch dies würde sie gleichzeitig nicht von der Verantwortung entbinden, sich gegen Datenverlust und -missbrauch zu schützen. „Sollten Kunden- und Patientendaten durch ein Leck oder einen Angriff verloren gehen, dann spielt Geld nur eine sekundäre Rolle“, so der Sicherheitsexperte. Vielmehr sollten Abwehrstrategien und Backup-Lösungen zuvor eingerichtet worden sein, um die Katastrophe überhaupt zu verhindern und das Ausmaß zu minimieren. Eine Investition in Cybersicherheit bedeute also mehr als nur den Abschluss einer Versicherung.
Im Falle eines Falles seien Drittschäden wie die Schadensersatzforderungen von Kunden nur die eine Seite. Viel gravierender und länger andauernd würde der Image- bzw. Reputationsverlust auf das Unternehmen wirken. Darüber hinaus entstehen Kosten durch die Datenwiederherstellung und Systemrekonstruktion. Ob eine Versicherung tatsächlich einspringe, wenn der Apothekenbetrieb über Tage oder Wochen unterbrochen werden muss, hält der Experte für fraglich. Geht es um kriminelle Handlungen, also einen sogenannten Hacker-Angriff, müssten Betroffene unter Umständen zunächst die Kosten für die Analyse, Beweissicherung und Schadensbegrenzung selbst tragen. Außerdem entstehen Anwalts- und Prozesskosten. Hier sei die Cyber-Versicherung wie eine Rechtsschutzversicherung anzusehen, und daher sollte man nachprüfen, ob diese Leistungen bereits durch bestehende Rechtsschutzversicherungen angeboten werden.
Der IT-Spezialist kennt einige Unternehmen, die einen großen Bogen um Cyber-Versicherungen machen und das Risiko von Cyber-Kriminalität lieber vollständig selbst tragen – „natürlich nicht, ohne zuvor in eine entsprechende Sicherheitsarchitektur investiert zu haben“, ergänzt er. Der Hintergrund: Sollten Kriminelle Lösegeld für die Herausgabe der gekidnappten Daten erpressen, dann zahlen die Unternehmen die Summe unmittelbar selbst aus einer zuvor eingerichteten (schwarzen) Kriegskasse. So müsste keine Versicherung oder Ermittlungsbehörde kontaktiert werden. Der Fall würde nicht öffentlich und ein Imageschaden könnte verhindert werden. Keinesfalls dürfe bei den betroffenen Unternehmen die Ansicht entstehen, dass es sich gar nicht um Lösegeld, sondern um eine Art Dienstleistungshonorar handle, weil der Datendiebstahl auf wichtige Schwachstellen im jeweiligen IT-System hinweisen würde.
Und der IT-Experte warnt darüber hinaus vor der naiven Vorstellung, Unternehmer und Datendiebe könnten ein symbiotisches Verhältnis führen: „Ein kompromittiertes System ist nicht mehr vertrauenswürdig! Alle Daten und alle Programme können manipuliert worden sein und dazu führen, dass Informationen weiterhin an Dritte weitergegeben werden.“ Daher müssten nach einem solchen Vorfall zwingend Maßnahmen durchgeführt werden. Dazu gehören beispielsweise die vollständige Trennung des IT-Systems vom Netzwerk, die Neuinstallation des Betriebssystems, das Einspielen von Backups, die Änderung von allen Passwörtern, das Scannen des Systems auf mögliche Schadsoftware, der Austausch von bestimmten Hardware-Komponenten wie Datenträgern, die Analyse von Dateien, die nicht wiederhergestellt werden können, sowie das Einspielen sicherheitsrelevanter Patches und Updates. Sollten sich die Unternehmen entscheiden, den Einbruch in das System zur Anzeige zu bringen, müssten darüber hinaus gesonderte Schritte eingeleitet werden wie Beweissicherung und Spurensuche. Vor diesem Hintergrund könnte eine Cyber-Versicherung, die all diese Leistungen abdeckt, durchaus nützlich sein, so der Spezialist für Informationssicherheit. Doch er rät Apothekeninhabern und -inhaberinnen, Cyber-Security als Ganzes zu betrachten und eher in effektive Sicherheitsmaßnahmen als in Versicherungen zu investieren.
Wie kann man sich vor solchen Cyberangriffen schützen?
Vorab soll noch einmal betont werden, dass es sich bei den Angriffsszenarien um reine Hypothesen im Rahmen eines gedanklichen Experiments handelt. Aktuell ist keine unmittelbare Bedrohung für Apotheken im Rahmen der Einführung des E-Rezeptes erkennbar. Dennoch ist die Risikoaversion in Gesundheitsberufen weit verbreitet, die „Assume-Breach“-Theorie gibt es ebenfalls nicht ohne Grund, weswegen abschließend noch kurz einige, nicht abschließend aufgezählt zu verstehende Tipps zum Schutz aufgeführt werden.
Ein normaler Virenschutz dürfte bei dem hier skizzierten Szenario keine große Hilfe sein. Er schützt vor Angreifern, die versuchen, von außen einzudringen. Er schützt nicht, wenn die Tür von innen weit aufgestoßen wurde, wie das der Fall wäre, wenn man einen manipulierten Code aus dem Inneren des Systems scannt. Eine professionelle Firewall, die stets auf dem aktuellen Stand gehalten und gewartet wird, dürfte zumindest davor schützen, dass unbefugt Daten nach einem Vorfall abgezogen werden. Aber den besten Schutz bietet die sog. „digital literacy“ oder digitale Bildung. So, wie wir unseren Kindern beibringen, auf WhatsApp nur Kontakte anzunehmen, die sie auch im echten Leben kennen, sollten wir auch die Apothekenteams immer mehr dazu befähigen, mit gesundem Menschenverstand und vor allem einer hohen Dosis an Misstrauen im Digitalen zu agieren. Wenn man nicht weiß, was passieren wird, wenn man den Code außerhalb des Kassendialogs scannt, dann sollte man ihn schlicht und einfach nicht außerhalb des Kassendialogs scannen.
Die rechtlichen Konsequenzen eines solchen Vorfalls
Da es eine Vielzahl von Möglichkeiten gibt, wie ein solcher Cyberangriff im Detail ablaufen könnte, soll hier lediglich auf zwei besonders wichtige Punkte eingegangen werden.
Da ist zum einen die Verpflichtung der Angehörigen von bestimmten Berufsgruppen nach § 203 StGB, die ihnen im Rahmen der Ausübung dieses Berufes anvertrauten Geheimnisse nicht unbefugt an Dritte weiterzugeben. Wenn durch das Scannen von Malware die Datenbank der Apotheke von Cyberkriminellen auf deren Rechner kopiert wird, liegt darin unstrittig eine solche unbefugte Weitergabe. Immerhin liegt im Scannen des Codes im Browser eine bewusst ausgeführte Aktivität, man wird also nicht passives Opfer eines Angriffs. Mit leichter Fahrlässigkeit wird hier jedenfalls schwer zu argumentieren sein, da E-Rezepte, die innerhalb der Warenwirtschaft bearbeitet werden, kein Risiko darstellen.
Anders sieht es aus, wenn der schadhafte Code das Smartphone eines Kunden oder eines Mitarbeitenden in Mitleidenschaft zieht. Hier müsste eher in Richtung des ausstellenden Arztes geschaut werden, ob dort alle technisch-organisatorischen Maßnahmen zur Abwehr solcher Cyberangriffe getroffen wurden.
Abschließend lässt sich festhalten, dass das Risiko verschwindend gering und nur theoretisch vorhanden ist, einen Schaden durch manipulierte Ausdrucke zum Abruf von E-Rezepten zu erleiden. Dennoch sollten Apotheken Sorge dafür tragen, dass ihre Mitarbeiter ausreichende Kenntnisse zur Cybersicherheit haben und nicht bedenkenlos Dateianhänge öffnen oder Passwörter freimütig hergeben. Die „Assume-Breach“-Theorie sollte ernst genommen und bei Planungen stets in Betracht gezogen werden. Neben einem Konzept zur Datensicherheit gehören dazu auch schon im Vorfeld konkrete Planungen zur Datensicherung und -wiederherstellung sowie Kommunikationsmaßnahmen für den Fall der Fälle. |
0 Kommentare
Das Kommentieren ist aktuell nicht möglich.