Mit der Digitalisierung wächst die Verwundbarkeit von Gesundheitseinrichtungen. Zu viele der heimischen Kliniken, Labore und Forschungsinstitute schützen ihre IT-Struktur rudimentär, heißt es in einer Studie.
Hacker schlafen nicht. Es ist drei Uhr nachts, als am 10. September 2020 rund 30 Server des Uniklinikums Düsseldorf offline gehen. Die gesamte technische Infrastruktur der Klinik stellte sich auf Notbetrieb. Eine 78-jährige Notfallpatientin stirbt, weil ein Rettungswagen die Düsseldorfer Klinik nicht anfahren kann und ins 25 Kilometer entfernte Wuppertal ausweichen muss. Das Klinikum wurde Opfer einer Hackerattacke mit Erpressersoftware („Ransomware“), unzählige Daten des Hauses wurden absichtlich verschlüsselt. Als die Cyberkriminellen von der Polizei darüber informiert wurden, dass Menschleben gefährdet sind, sendeten sie einen digitalen Schlüssel zur Öffnung der Daten – ein ungewöhnliches Vorgehen. Meist wird die Gefährdung von Menschenleben von den Hackern in Kauf genommen. Erst am 12. Oktober 2020 – und damit mehr als vier Wochen später − kehrt das Klinikum nach eigenen Angaben wieder halbwegs in den Normalbetrieb zurück.
Ein Jahr darauf – September 2021 – eröffnet sich ein ähnliches Szenario: Diesmal ist es das römische Krankenhaus „San Giovanni Addolorata“, eines der größten der italienischen Hauptstadt, das ins Visier der Erpresser gerät. Durch einen Virus werde das Telekommunikationssystem blockiert, teilte das Spital in dürren Worten mit. Auch hier dauerte es Tage, bis der Regelbetrieb aufgenommen werden konnte.
IT-Manager in Kliniken scheuen sich zunehmend, öffentlich Stellung zu diesen Vorfällen zu nehmen. Sie wollen nicht auf sich aufmerksam machen. In den Recherchegesprächen mit der ÖKZ schlägt immer die Befürchtung durch, Datendiebe unnötig aufzuwecken. Auskünfte über Sicherheitsvorkehrungen und Bedrohungsszenarien werden keine gegeben. Man wolle den Cyberkriminellen keinen Einblick in die Datenarchitektur des eigenen Hauses erlauben, heißt es. Denn eines ist sicher – die Angreifer aus dem Netz sind den Sicherheitsmaßnahmen immer einen Schritt voraus.
Zu wenige Vorkehrungen
Die Gefahr von Cyber-Attacken zieht an Österreichs Krankenanstalten und Pflegeeinrichtungen nicht vorbei. Die Bedrohung ist erkannt, wird aber nur ungenügend bekämpft: Lediglich 50 % der österreichischen Institutionen im Gesundheitssektor verfügen über einen Notfallplan, mit dessen Hilfe ein unfreiwilliger IT-Lockdown bewältigt werden kann (Desaster Recovery Plan). Helmut Brückler, Informationssicherheitsbeauftragter (CISO) der Steiermärkischen Krankenanstaltengesellschaft KAGes hat in seinen Häusern Vorkehrungen getroffen – und lässt sich auch zitieren: „Nach einer Cyber-Attacke muss man rasch reagieren. Es gilt die Art des Vorfalls zu analysieren und das Einfallstor so schnell wie möglich zu schließen.“ Und er spricht einen wunden Punkt im System an: „Die Investition in ausreichende personelle und finanzielle Kapazitäten ist für eine kontinuierliche Absicherung der IT unabdingbar. Das ist ein ‚Rund-um-die-Uhr-Job‘.“ Damit legt Brückler den Finger in eine lange schwärende Wunde: IT-Sicherheit kostet Geld. Die Kliniken müssten in Personal und Software investieren, und dies nicht zu knapp. Doch ihr Budget ist durch die Fallpauschalen gedeckelt. Wenn ein Konzern mehr Geld für Datensicherheit ausgibt, schlägt er dies auf den Verkaufspreis des Produktes oder der Dienstleistung. Das geht bei Krankenhäusern nicht. So ist es an den Spitalsträgern und damit der öffentlichen Hand, den Wächtern der Krankenhaus-IT ausreichende Waffen in die Hand zu geben, um mit den Hackern auf Augenhöhe zu bleiben.
Die Pandemie macht es schlimmer
Das russische Cybersicherheitsunternehmen Kaspersky mit Headquarter in Moskau hat 350 Entscheidungsträger aus dem Gesundheitswesen zur IT-Sicherheitslage in Deutschland, Österreich und der Schweiz befragt. Demnach schätzen 61 Prozent der Befragten in der DACH-Region die aktuelle digitale Bedrohung als hoch ein. Tatsächlich nehmen die Angriffe auf medizinische Infrastruktur und Kliniken in Corona-Zeiten zu.
Dahinter steckt Kalkül: „Cyberkriminelle passen sich schnell gesellschaftlichen Notlagen an und nutzen diese gekonnt für ihre Zwecke aus“, heißt es im Bundeslagebild 2020 des deutschen Bundeskriminalamtes BKA. Hacker griffen deshalb Institutionen und Unternehmen mit gesellschaftlich hohem Stellenwert an. Die deutschen Cyber-Polizisten stellen seit dem dritten Quartal 2020 vermehrte Angriffe auf Unternehmen und öffentliche Einrichtungen fest, die bei der Bekämpfung der Corona-Pandemie relevant sind. So gab es in Deutschland neben den Angriffen auf Gesundheitseinrichtungen auch Attacken auf BioNTech und deren Zulieferer. Das FBI und das Department of Homeland Security gaben eine gemeinsame Warnung heraus, dass das Gesundheitswesen sich verstärkt auf Angriffe mit Ransomware vorbereiten müsse. Cyberkriminelle gehen davon aus, dass Gesundheitseinrichtungen während der Corona-Pandemie weniger Widerstand leisten, um schneller für die Patienten verfügbar zu sein.
Die Vorgangsweise ist perfide. Die US-Sicherheitsfirma Mandiant, unter IT-affinen Lesern besser bekannt als FireEye, zerrte dabei im firmeneigenen Blog die russisch-sprachige Hackergruppe FIN12 vor den Vorhang: Die Operationen von FIN12 zeigen, dass bei Ransomware-Angriffen kein Ziel tabu ist, einschließlich solcher, die Intensivpflegefunktionen bereitstellen. Bei ihren Angriffen legen die Hacker die Systeme ihrer Opfer vollständig lahm. So behindern sie den Zugang zu Patientenakten, zur Radiologie und zu allen anderen Bereichen. Bis das geforderte Lösegeld gezahlt wird, ist das Risiko für Patienten durch die Eingriffe der Kriminellen deutlich erhöht. Aktuell konzentrieren sich die Angriffe vor allem auf die USA. FIN12 sind allerdings global unterwegs: Laut Mandiant hat sich im ersten Halbjahr 2021 die Zahl der durchgeführten Angriffe in anderen Ländern verdoppelt. Die Sicherheitsforscher bezeichnen es als „besonders besorgniserregend“, dass es den Kriminellen offenbar völlig egal ist, wenn bei ihren Angriffen Menschen zu Schaden kommen. Die Hackerdetektive machten dabei eine spannende Beobachtung: „Wir glauben, dass der Jahresumsatz des Opfers der wichtigste Faktor im Targeting-Kalkül von FIN12 ist.“ Die überwiegende Mehrheit der bekannten FIN12-Opfer hatte einen Umsatz von mehr als 300 Millionen US-Dollar – was mit ein Grund ist, warum das russische Team eher wohlbestallte, privat gemanagte US-Kliniken aufs Korn nahm.
Löcher stopfen
Zunehmende Digitalisierung, aber auch Strukturschwächen und nicht zuletzt die Mitarbeiter, die die Computer und elektronischen Geräte bedienen, sind potenzielle Einfallstore in die Unternehmens-IT. Das liegt einerseits daran, dass die Digitalisierung und damit der IT-Einsatz durch Corona notwendigerweise vorangetrieben wurden; aber auch daran, dass die Anforderungen und Zugriffe von Mitarbeitern aus dem Home-Office auf die Unternehmens-IT zugenommen haben. Mitarbeiter bringen das größte Risiko mit sich, auf betrügerische E-Mails (siehe Kasten „Die Tricks der Hacker“) hereinzufallen, unbedacht infizierte Geräte zu verbinden oder manipulierten Webseiten zu vertrauen. Laut Kaspersky ignorieren 30 Prozent der österreichischen Belegschaften Sicherheitsvorschriften und -praktiken bei der Nutzung von Systemen und Technologien. Außerdem birgt die Nutzung von Software und Anwendungen („Bring-your-own-device“), die nicht durch die IT-Abteilung gekauft und installiert wurden, ein erhöhtes Sicherheitsrisiko.
Absicherung des Netzes
Die IT-Landschaft in Krankenhäusern beschreibt in den meisten Fällen immer noch eine Vielzahl an Insellösungen, die durch zarte Brücken miteinander verbunden sind. Das Einsatzfeld Krankenhaus reicht von verschiedenen Bereichen des Facility Managements, wie der automatischen Ermittlung des Wartungsbedarfs von Geräten und Anlagen über die Optimierung der Logistik bezüglich Verbrauchsgütern, bis hin zur Unterstützung von Ärzten in der Radiologie, aber auch bei Diagnose, Therapie und Forschung. Medizinische Geräte werden miteinander vernetzt und auf Cloud-Plattformen für viele weitere Anwendungen wie Datenanalyse, Speicherung und Visualisierung zugänglich gemacht. Aus Sicht der IT-Wächter sind dies Albtraumszenarien: Die hohe Anzahl der Zugriffsberechtigten bis hin zur Verletzlichkeit jedes einzelnen medizinischen High-Tech-Gerätes eröffnen Einfallstore für Hacker. Nur 30 Prozent der österreichischen Befragten haben laut Kaspersky das Gefühl, dass ihre IoT-Plattform ausreichend gesichert ist. Immerhin führen 83 Prozent der IT-Entscheidungsträger regelmäßige Sicherheits-Updates durch.
Viele Institutionen reduzieren das Gefährdungspotenzial durch Netzwerksegmentierung, wie ein IT-Manager einer österreichischen Krankenhaus-Betreibergesellschaft erzählt: Die IoT-Plattform sollte nicht über den gleichen Prozessor wie das Büronetzwerk laufen! KAGes-Manager Helmut Brückler: „Kritische Infrastrukturen wie das Gesundheitswesen müssen dafür sorgen, dass Cyberkriminelle so wenig Angriffsflächen wie möglich geboten werden. Patientendaten verdienen das höchste Maß an Schutz.“ //
Die Tricks der Hacker
- Spyware (in Ö 41,1 %*): Spioniert das Verhalten eines Computernutzers aus, kann damit zusätzliche Sicherheitslöcher in einem System erzeugen, die dann sicherheitsrelevante Softwareaktualisierungen verhindern, dafür das Hinzuladen weiterer Schadinhalte fördern.
- Spear-Pishing (38,4 %): Über gefälschte Webseiten, E-Mails oder Kurznachrichten versucht der scheinbar vertrauenswürdige Kommunikationspartner, aber in Wirklichkeit Betrüger (in letzter Zeit z.B. oft Paket-Dienstleister), an persönliche Daten eines Internet-Users zu gelangen oder diesen zur Ausführung von einer schädlichen Aktion (z.B. Installation einer Schad-Software) zu verführen.
- DDoS (37 %): Umgangssprachlich als Serverüberlastung bekannt, wird diese Attacke von Cyberkriminellen zum Kauf angeboten, um Konkurrenten zu schädigen. Oder es werden Serverbetreiber zu einer Geldzahlung erpresst, damit ihr Internetangebot wieder erreichbar ist. Denn da bei einem DDoS-Angriff die Anfragen von einer Vielzahl von Quellen ausgehen, ist es nicht möglich, den Angreifer zu blockieren, ohne die Kommunikation mit dem Netzwerk komplett einzustellen.
- Ungepatchte Programme (30,1 %): Auf Computern installierte Software wird nicht rechtzeitig mit dem neuesten Sicherheitsupdate der Hersteller nachgerüstet und öffnet Hackern damit Tür und Tor.
- Ransomware (26 %): Schad-Software, die den Zugriff auf Geräte sperrt oder darauf enthaltene Daten verschlüsselt und anschließend vom Opfer ein Lösegeld für die Wiederherstellung verlangt.
*In Klammer die von Kaspersky erhobene Häufigkeit des Auftretens in Österreich.