Incident: Tech-Support-Scam über manipulierte E-Mail

02.04.2026 - Aktuell kommt es vermehrt zu Sicherheitsvorfällen, bei denen sich Kriminelle als IT-Support ausgeben und versuchen, Zugriff auf Praxis-Systeme zu erhalten. daten-strom warnt eindringlich vor dieser Betrugsmasche, die gezielt auf Unsicherheit und Zeitdruck setzt.

Beschreibung des Vorfalls

In einer Arztpraxis kam es zu einem Sicherheitsvorfall im Zusammenhang mit einem sogenannten Tech-Support-Scam.

Nach dem Öffnen einer E-Mail und dem Anklicken eines enthaltenen Elements (z. B. Link oder eingebetteter Inhalt) erschien auf dem Bildschirm ein täuschend echt gestaltetes Warnfenster. Dieses simulierte eine angebliche Sicherheitsmeldung des Systems.

Typische Merkmale dieses Fensters:

  • Vollbild-Darstellung mit blockierter Benutzeroberfläche
  • Warnhinweise wie „System infiziert“ oder „Zugriff gesperrt“
  • Aufforderung, eine angezeigte Hotline sofort anzurufen
  • Hinweis, dass der Computer nicht ausgeschaltet werden dürfe
  • Teilweise akustische Warnsignale oder Dauerschleifen
  • Falschmeldung eines angeblichen Fehler: Ox800VDS

Ziel dieser Darstellung ist es, beim Nutzer Panik und Handlungsdruck zu erzeugen, um eine Kontaktaufnahme mit den Tätern zu erzwingen.

Beschreibung der Schwachstelle

Der Vorfall wurde durch das Öffnen bzw. Anklicken eines E-Mail-Inhalts ausgelöst, der auf eine manipulierte Webseite oder ein schädliches Skript führte.

Grundsätzlich zeigt sich hier eine typische Schwachstelle im Praxisalltag:

  • Die Nutzung von E-Mail und Internet auf Systemen mit direktem Zugriff auf sensible Patientendaten (PVS) erhöht das Risiko erheblich
  • Schadcode oder manipulierte Inhalte können über den Browser direkt ausgeführt werden
  • Sicherheitsmechanismen greifen nicht immer, insbesondere bei Social-Engineering-Angriffen

Empfehlung: Das Abrufen von E-Mails sollte idealerweise nicht auf produktiven PVS-Arbeitsplätzen, sondern auf getrennten Systemen erfolgen (z. B. Arbeitsplatz-PC ohne direkten Zugriff auf Patientendaten + Netztrennung).

© daten-strom: Ein falscher Klick auf eine E-Mail löst den Sicherheitsvorfall auf dem Praxis-PC aus.

Auswirkung und Umgang im konkreten Fall

Die betroffene Ärztin hat korrekt reagiert:

  • Keine Kontaktaufnahme über die angezeigte Rufnummer
  • Trennung des Geräts vom Netzwerk (Netzwerkkabel gezogen)
  • Beenden des Prozesses über den Taskmanager

Dadurch konnte verhindert werden, dass:

  • Fernzugriff gewährt wird
  • Schadsoftware installiert wird
  • sensible Daten abgegriffen werden

In diesem Fall ist kein Schaden entstanden, da der Angriff frühzeitig erkannt und unterbrochen wurde.

Angriffsvektor

Vorbedingungen:

  • Zugriff auf E-Mail-System der Praxis
  • Nutzung eines Browsers auf dem betroffenen Gerät
  • Keine vollständige Trennung von Internet- und PVS-System

Angriffspfad:

  • Phishing-/Manipulations-E-Mail
  • Weiterleitung auf eine präparierte Webseite mit Fake-Sicherheitsmeldung

Wahrscheinlichster Angreifer:

  • Organisierte, international agierende Cybercrime-Gruppen
  • Spezialisierte Täter im Bereich Social Engineering und Tech-Support-Scam

Angriffskomplexität:

  • Niedrig bis mittel
  • Technisch wenig aufwendig, aber psychologisch sehr wirksam

Mögliche abmildernde Maßnahmen

Beschreibung:

  • Trennung von Internet-/E-Mail-Arbeitsplätzen und PVS-Systemen
  • Einsatz von Web- und Mail-Filtern
  • Regelmäßige Schulungen des Praxispersonals zu Betrugsmaschen
  • Einschränkung von Benutzerrechten (keine Adminrechte im Alltag)
  • Einsatz aktueller Endpoint-Security-Lösungen
  • Deaktivierung bzw. Einschränkung von Skriptausführungen im Browser

Kostenabschätzung:

  • Gering bis mittel (abhängig von vorhandener Infrastruktur)
  • Schulungsmaßnahmen: gering
  • Technische Trennung / zusätzliche Geräte: mittel

Verbleibendes Restrisiko:

  • Mittel
  • Da Social Engineering stark vom menschlichen Verhalten abhängt, bleibt ein Restrisiko bestehen
  • Risiko kann jedoch durch Sensibilisierung deutlich reduziert werden

Weitere Vorfallbearbeitung

Der Vorfall wurde intern dokumentiert und bewertet.

Gemäß Art. 33 Abs. 5 Datenschutz-Grundverordnung (DSGVO) besteht eine Pflicht zur Dokumentation von Sicherheitsvorfällen, auch wenn keine meldepflichtige Datenschutzverletzung vorliegt.

Ziel ist es, Vorfälle nachvollziehbar zu machen, Risiken zu bewerten und zukünftige Angriffe besser abwehren zu können.

Fazit aus Sicht von daten-strom

Dieser Vorfall zeigt deutlich, dass nicht technische Schwachstellen, sondern gezielte Täuschung und psychologischer Druck im Mittelpunkt moderner Angriffe stehen.

Die richtige Reaktion der Praxis hat größeren Schaden verhindert – und unterstreicht die Bedeutung von:

  • Sensibilisierung
  • klaren Verhaltensregeln
  • und technischer Vorsorge
Vorfälle & Incidents-Übersicht

Zurück

Haben Sie eine Frage?

Zögern Sie nicht, uns zu den Themen Telematik, Informationssicherheit und Cybercrime zu kontaktieren.

Wir sind gerne für Sie da und unterstützen Sie mit Rat und Tat.

Jetzt anrufen
Kontaktformular
Jetzt anrufen
Kontaktformular
Copyright 2026. daten-strom.Medical-IT-Services GmbH
DatenschutzImpressum
Einstellungen gespeichert
Datenschutzeinstellungen

Diese Website verwendet Cookies, um Ihnen einen sicheren und komfortablen Website-Besuch zu ermöglichen. Entscheiden Sie selbst, welche Cookies Sie zulassen wollen.

Einige Cookies sind für die Funktionalität dieser Website notwendig (Erforderlich), andere Cookies dienen der Nutzung externer Medien (Extern).

Sie können der Nutzung aller Cookies zustimmen (Alle akzeptieren), technisch zwingend notwendige Cookies auswählen (Nur erforderliche Cookies erlauben) oder Ihre eigene Auswahl vornehmen und speichern (Auswahl akzeptieren).

Mehr Informationen finden Sie unter Datenschutz. Sie können die Datenschutz-Einstellungen für diese Website jederzeit nachträglich anpassen.

Datenschutz Impressum
You are using an outdated browser. The website may not be displayed correctly. Close