reichen, sodass im Falle
reichen, sodass im Falle einesAngriffs lediglich ein Teil desBetriebes betroffen ist.► Achten Sie darauf, dass jederMitarbeitende nur die Zugriffeerhält, die er zwingend benötigt(Rechtemanagement).6/202518IT-Sicherheitsrichtlinie bietet OrientierungGenauso wichtig sind allerdings strikte Verhaltensregelnfür den Einsatz von IT-Lösungen in derPraxis. Eine gute Orientierung bietet die im April2025 aktualisierte IT-Sicherheitsrichtlinie mitdetaillierten Vorgaben zum Einsatz digitaler Gerätein der Praxis und der Schulung des Personals inFragen der Informationssicherheit.Neben technischen Vorkehrungen spielt aus Sichtder Polizei und der Studienergebnisse des BSI,die Mitarbeitersensibilisierung eine zentrale Rolle.Dies umfasse nicht nur die einmalige Sensibilisierungin Bezug auf mögliche Einfallsvektoren fürRansomware sondern möglichst ein ganzheitlichesSicherheitskonzept, welches die Mitarbeiter regelmäßigüber Gefahren und etwaige neue Angriffsformenaufkläre. Zudem rät Udo Rechenbach zufolgenden Vorkehrungen:► Eine regelmäßige Sicherung von Daten mithilfeeiner adäquaten Backup-Strategie. Schadsoftwarekann sich Wochen oder Monate auf einemSystem befinden, bevor sie aktiv wird. Demnachsollten mehrere Sicherungsgenerationen vorliegen,die nicht über das Netzwerk erreichbarsind.► Zudem kommt es oft vor,dass, sobald eine Verschlüsselungstattgefunden hat, dergesamte Betrieb nicht mehrarbeitsfähig ist. Trennen Siedurch Netzwerksegmentierungeinzelne Arbeitsbereichevon anderen Arbeitsbe-► Im Falle einer Kompromittierungsollte ein IT-Notfallplan bereitstehen,der ereignisbezogeneHandlungen vorgibt, an die sichdie Mitarbeitenden orientierenkönnen.Es gibt zahlreiche Gründe,warum ein Rechner langsamerarbeitet als gewohntoder bestimmte Befehlenicht mehr ausführt. Dahersollte man auch zukünftignicht sofort an einen Hacker-Angriffdenken, wenn’smal wieder hakt. Helfen Standardlösungen wiezum Beispiel ein Neustart nicht weiter, wird manin der Regel seinen IT-Dienstleister hinzuziehen.Grundsätzlich sollte man Hinweise und Warnungendes Computers („aufpoppende Fenster“) ernstnehmenund in Ruhe durchlesen, bevor man sieggfs. wegklickt. Besteht jedoch der Verdacht, dasses sich tatsächlich um einen gezielten Angriffhandelt, ist es gut, einen Notfallplan zur Hand zuhaben (s. S. 19).Darüber hinaus hat die KVWL einen ausführlichenLeitfaden zum Umgang mit IT-Sicherheitsvorfällenerstellt. Dieser beschreibt, detailliert und übersichtlichbebildert, was im Falle eines Falles zu tunist. Der Leitfaden enthält zudem wichtige Hinweisefür Ihren IT-Dienstleister.Im Idealfall ist jede(r) aus dem Praxisteam mitjedem Schritt vertraut, so dass schnell und zielgerichtetreagiert werden kann – auch wenn derbesonders computeraffine Kollege gerade nichtam Platz ist.
Notfallplan Verschlüsselungstrojaner in der Praxis(Verdacht oder bestätigter Vorfall)Ausgangssituation:Das IT-System arbeitet auffällig langsam oder reagiert nicht.Fehlermeldungen, wie z.B. „System ausgelastet“; Programme starten nicht oder stürzen ab)► Keine Anmeldung als Administrator an den verdächtigen Geräten!► Auftrag an IT-Dienstleister zur PrüfungErgebnis der Prüfung negativ(kein Verschlüsselungstrojaner):► ggfs. Updates / Systemwartung durchIT-DienstleisterErgebnis der Prüfung positiv(Verschlüsselungstrojaner erkannt):Geräte komplett verschlüsseltGeräte noch nicht komplettverschlüsselt► vom Netzwerk trennen(Netzwerkkabel entfernen oder WLAN abschalten)► Ggf. die komplette Praxis vomInternet trennen, wenn alleGeräte betroffen sind► Geräte „hart ausschalten“(Netzstecker am Gerät ziehen, Akku Laptopentfernen, Ein-/Ausschalter5 Sekunden gedrückt halten)Achtung: Geräte können dadurchbeschädigt werden!► Info an das gesamte Praxisteam► Festlegen: Wer kümmert sich um was?Meldung bei Behörden► Lokale Polizeibehörde(https://polizei.nrw/wachenfinder)► Zentrale Anlaufstelle CybercrimeNRW (ZAC)(https://lka.polizei.nrw/artikel/dascybercrime-kompetenzzentrumbeim-lka-nrw)► Ggf. Datenschutzbehörde (Wennpersonenbezogene Daten manipuliert,zerstört, gestohlen, verschlüsseltwurden gibt es MeldeundInformationspflichten!)(https://ldi-fms.nrw.de/lip/action/invoke.do?id=Datenschutzverletzung)Wiederinbetriebnahme der IT-Systeme(durch IT-Dienstleister)Prüfen, ob Schlüssel für diesen Trojanerverfügbar(https://www.nomoreransom.org)(https://id-ransomware.malwarehunterteam.com)1. Festplatten ausbauen und verwahren(ggf. später wiederherstellbar)2. Backups prüfen: Aktuell? Unverschlüsselt?Nicht von Ransomwarebefallen?3. Alle Systeme prüfen, betroffenekomplett neu installieren4. Active Directory / Domänen neuaufsetzen, insbesondere „GoldenTickets“ inaktivieren5. Änderung aller Logindaten► Infrastruktur (Router, Switches,VPN…)► Anwendungen (Computer, Praxisverwaltungssoftware…)► Sonstige Dienste (Online-Banking,E-Mail, Webseiten…)Nacharbeiten► Systeme überwachen(weitere Auffälligkeiten)► Notfallmaßnahmen evaluieren► Verbesserungsmaßnahmen(technisch und organisatorisch)zur Verhinderung erneuter VorfälleRecherche-Tipp IT-ForensikerBundesamt für Sicherheit in der Informationstechnik(www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister_APT-Response-Liste.pdf)6/2022 6/202513 19
