Incident: Ransomware-Angriff durch WLAN-Freigabe an Dritte

08.04.2026 - Gut gemeinte Hilfsbereitschaft kann im Praxisalltag schnell zum Sicherheitsrisiko werden. Die Weitergabe von WLAN-Zugangsdaten an Dritte eröffnet potenziellen Angreifern unkontrollierten Zugriff auf interne Systeme. Der folgende Vorfall zeigt, wie schnell daraus ein schwerwiegender IT-Sicherheitsvorfall entstehen kann.

Beschreibung des Vorfalls

In einer Arztpraxis kam es zu einem schwerwiegenden Sicherheitsvorfall, nachdem einem Nachbarn Zugang zum Praxis-WLAN gewährt wurde. Hintergrund war eine vermeintlich harmlose Anfrage: Der Nachbar bat um temporären Internetzugang, da sein eigener Anschluss gestört war und er im Homeoffice arbeiten musste.

Die Praxisinhaberin stellte daraufhin die Zugangsdaten zum WLAN zur Verfügung.

Unbemerkt befand sich auf einem Endgerät des Nachbarn jedoch Schadsoftware (Trojaner JS/Kyptik.CMF). Über die bestehende WLAN-Verbindung konnte sich der Angreifer Zugang zum Praxisnetz verschaffen.

Nach etwa drei Tagen kam es zum Ausfall:

  • Das Praxisverwaltungssystem (PVS) war nicht mehr nutzbar
  • Die Datenbank sowie lokale Dateien waren verschlüsselt
  • Der Praxisbetrieb war massiv eingeschränkt

Es handelte sich um einen klassischen Ransomware-Angriff.

Beschreibung der Schwachstelle

Die zentrale Schwachstelle lag in der unkontrollierten Weitergabe des WLAN-Zugangs an Dritte.

Kritische Aspekte:

  • Keine Trennung zwischen internem Praxisnetz und Gastzugang
  • Externe, nicht vertrauenswürdige Geräte im selben Netzwerk wie die Praxis-IT
  • Fehlende Netzwerksegmentierung
  • Keine Zugriffsbeschränkungen innerhalb des Netzes

👉 Besonders problematisch: In vielen Praxen sind Server, Arbeitsplätze und medizinische Systeme im gleichen Netzwerk integriert. Ein kompromittiertes Gerät kann sich so relativ frei im Netz bewegen.

© daten-strom.Medical-IT-Services GmbH · erstellt mit KI-Unterstützung: WLAN-Sharing mit praxisfremden Personen und Organisationen vermeiden.

Auswirkung und Umgang im konkreten Fall

Die Auswirkungen waren erheblich:

  • Kompletter Ausfall des PVS-Systems
  • Verschlüsselung sensibler Daten
  • Unterbrechung des Praxisbetriebs für ca. eine Woche

Positiv hervorzuheben:

  • Es lag eine aktuelle Datensicherung vom Vortag vor
  • Der Server konnte erfolgreich wiederhergestellt werden
  • Eine forensische Analyse identifizierte den Angriffsweg

➡️ Ohne funktionierende Datensicherung hätte der Schaden existenzbedrohende Ausmaße annehmen können.

Angriffsvektor

Vorbedingungen:

  • Zugang externer Geräte zum Praxis-WLAN
  • Fehlende Netzwerktrennung
  • Infiziertes Endgerät im Netzwerk

Angriffspfad:

  • Zugriff über WLAN → laterale Bewegung im Netzwerk → Angriff auf Server/PVS

Wahrscheinlichster Angreifer:

  • Cyberkriminelle Gruppen mit Fokus auf automatisierte Ransomware-Angriffe
  • Nutzung bekannter Schadsoftware und automatisierter Exploit-Mechanismen

Angriffskomplexität:

  • Mittel
  • Technisch automatisiert, aber abhängig von vorhandenen Netzwerkschwächen

Mögliche abmildernde Maßnahmen

Beschreibung:

  • Strikte Trennung von Praxisnetz und Gast-WLAN
  • Einrichtung eines isolierten Gäste-Netzwerks (VLAN)
  • Keine Weitergabe von Zugangsdaten zum internen Netzwerk
  • Einsatz von Firewall- und Netzwerksegmentierung
  • Regelmäßige Datensicherungen (offline / getrennt gespeichert)
  • Endpoint-Schutz auf allen Systemen
  • Sensibilisierung für scheinbar harmlose Anfragen („soziale Angriffsvektoren“)

Kostenabschätzung:

  • Gering: Sensibilisierung, klare Richtlinien
  • Mittel: Netzwerksegmentierung, Firewall-Anpassungen
  • Mittel bis höher: Professionelle IT-Sicherheitsarchitektur

Verbleibendes Restrisiko:

  • Mittel
  • Externe Zugriffe bleiben grundsätzlich ein Risiko
  • Durch technische und organisatorische Maßnahmen jedoch stark reduzierbar

Weitere Vorfallbearbeitung

Der Vorfall wurde intern dokumentiert und analysiert.

Gemäß Art. 33 Abs. 5 Datenschutz-Grundverordnung (DSGVO) besteht die Pflicht zur Dokumentation von Sicherheitsvorfällen, auch wenn keine unmittelbare Meldepflicht vorliegt.

Da es sich in diesem Fall um einen Ransomware-Angriff mit potenzieller Gefährdung personenbezogener Daten handelt, wurde zusätzlich eine Meldung gemäß Art. 34 DSGVO durchgeführt. Betroffene Personen müssen in solchen Fällen informiert werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

Darüber hinaus wurde:

  • Anzeige bei der Polizei erstattet,
  • eine forensische Analyse zur Klärung des Angriffswegs durchgeführt,
  • sowie interne Maßnahmen zur Verbesserung der IT-Sicherheit eingeleitet.

Die durchgeführte Analyse ergab:

  • Derzeit keine Hinweise auf eine Ausleitung von Patientendaten,
  • kein vorliegendes Erpresserschreiben, das auf einen Datendiebstahl im Klartext hindeutet.

Damit liegen aktuell keine Anzeichen für einen gezielten Datenabfluss vor. Der Angriff beschränkte sich nach derzeitigem Stand auf die Verschlüsselung der Systeme (Ransomware).

Im Nachgang sollte zudem geprüft werden:

  • ob weitere technische Schutzmaßnahmen erforderlich sind,
  • ob organisatorische Prozesse angepasst werden müssen,
  • und wie vergleichbare Vorfälle künftig verhindert werden können.

Fazit aus Sicht von daten-strom

Dieser Vorfall zeigt eindrücklich, dass gut gemeinte Hilfsbereitschaft zu erheblichen Sicherheitsrisiken führen kann.

Nicht technische Schwachstellen allein, sondern auch organisatorische Entscheidungen und menschliches Verhalten sind entscheidende Faktoren für die IT-Sicherheit.

Besonders wichtig:

  • Keine Weitergabe von Netzwerkzugängen an Dritte
  • Klare Sicherheitsrichtlinien im Praxisalltag
  • Verlässliche Datensicherung als letzte Verteidigungslinie
Vorfälle & Incidents-Übersicht

Zurück

Haben Sie eine Frage?

Zögern Sie nicht, uns zu den Themen Telematik, Informationssicherheit und Cybercrime zu kontaktieren.

Wir sind gerne für Sie da und unterstützen Sie mit Rat und Tat.

Jetzt anrufen
Kontaktformular
Jetzt anrufen
Kontaktformular
Copyright 2026. daten-strom.Medical-IT-Services GmbH
DatenschutzImpressum
Einstellungen gespeichert
Datenschutzeinstellungen

Diese Website verwendet Cookies, um Ihnen einen sicheren und komfortablen Website-Besuch zu ermöglichen. Entscheiden Sie selbst, welche Cookies Sie zulassen wollen.

Einige Cookies sind für die Funktionalität dieser Website notwendig (Erforderlich), andere Cookies dienen der Nutzung externer Medien (Extern).

Sie können der Nutzung aller Cookies zustimmen (Alle akzeptieren), technisch zwingend notwendige Cookies auswählen (Nur erforderliche Cookies erlauben) oder Ihre eigene Auswahl vornehmen und speichern (Auswahl akzeptieren).

Mehr Informationen finden Sie unter Datenschutz. Sie können die Datenschutz-Einstellungen für diese Website jederzeit nachträglich anpassen.

Datenschutz Impressum
You are using an outdated browser. The website may not be displayed correctly. Close