Österreichische Gesundheits­einrichtungen: Im Visier der Cyberkrieger

Österreichische Gesundheitseinrichtungen geraten verstärkt ins Fadenkreuz der Cyberkrieger. IT-Experten halten die Schutzmaßnahmen der Spitäler und Pflegeeinrichtungen für völlig ungenügend. Deren Firewalls hätten mehr von einem Maschendrahtzaun als von einer Schutzmauer.

Der Angriff kam aus dem nichts – und war erfolgreich. Die Hackergruppe Vice Society attackierte im vergangenen Juni die IT-Services der MedUni Innsbruck. Zunächst stand die Website der Universität einige Tage nicht zur Verfügung. Eine Woche später veröffentlichten die Angreifer Unterlagen im Darknet: darunter vermeintliche Vertrags- und Finanzdaten, Reisepässe und Krankmeldungen von Mitarbeiterinnen und Mitarbeitern.

So unangenehm diese Cyberattacke war – im Vergleich zu ähnlichen Angriffen in anderen europäischen Städten verlief sie noch einigermaßen glimpflich. So mussten im „Hospital Clínic“ in Barcelona vor einigen Monaten 150 Operationen infolge eines Hackerangriffs abgesagt werden. Ähnlich erging es dem römischen Krankenhaus „San Giovanni Addolorata“, das vor rund zwei Jahren mehrere Tage brauchte, um nach einem Angriff aus dem Netz wieder den Normalbetrieb aufnehmen zu können. Eines macht der Fall der MedUni Innsbruck aber deutlich: Die Cyberkriminellen nehmen mittlerweile auch das österreichische Gesundheitswesen ins Visier.

Safer Surfen. Die Digitalisierung bietet enorme Vorteile für das Gesundheitswesen. Aber sie muss von einer klaren IT-Sicherheits­strategie flankiert werden. Österreichs Spitäler sind hier nach Ansicht von IT-Experten stark säumig.

Hochkonjunktur für Hacker

Hackerattacken haben in Österreich Hochkonjunktur. Laut einer aktuellen Studie des Wirtschaftsprüfungs- und Beratungsunternehmens KPMG ist die Zahl der Cyberangriffe auf heimische Unternehmen im Jahr 2022 um 201 Prozent gestiegen. In anderen Worten: Sie hat sich verdreifacht. Eine weitere Erkenntnis der Studie, in deren Rahmen 903 Unternehmen aus dem privaten und öffentlichen Sektor befragt wurden, darunter auch Gesundheitseinrichtungen: Jedes der befragten Unternehmen wurde Opfer von zumindest einer Attacke. „Die Frage ist schon lange nicht mehr, ob man angegriffen wird, sondern nur noch, wann und wie man angegriffen wird“, so Studienautor Robert Lamprecht, Director Cyber Security bei KPMG.

Während Cyberangriffe für die Täter ein lukratives Geschäftsmodell mit überschaubaren Kosten und geringem Risiko darstellen, ist der Schaden für die betroffenen Unternehmen bei einer erfolgreichen Attacke hoch: Zum Reputationsverlust kommen der Stillstand des Betriebs und die Kosten für die Aufarbeitung des Angriffs. Laut der KPMG-Studie erlitt jedes zehnte der befragten Unternehmen einen finanziellen Schaden von mehr als einer Million Euro durch Hackerattacken. 55 Prozent der betroffenen Betriebe betrachten Cyberangriffe als existenzielle Bedrohung.

Eine wesentliche Ursache für den explosionsartigen Anstieg der Hackerangriffe sehen Experten im Ukraine-Krieg. „Dieser Konflikt wird auf vielen Ebenen ausgetragen: zu Land, zu Wasser, in der Luft, im Informationsraum und auch im Cyberraum“, so KPMG-Mann Lamprecht. Ziel von russischen Netz-Attacken ist dabei nicht nur die Ukraine selbst, sondern zunehmend auch Staaten, die das osteuropäische Land unterstützen – allen voran die USA, aber auch EU-Mitgliedstaaten. Experten sprechen hier von sogenannten Advanced Persistent Threat-Attacken (APT), mit denen systematisch und mit hohem finanziellen Aufwand die kritische Infrastruktur von Staaten attackiert wird. Dazu zählen vor allem Kraftwerke, Banken und Versicherungen sowie Krankenhäuser.

Freie Ressourcen nach Kriegsende

Die KPMG-Studie konstatiert einen deutlichen Anstieg dieser APT-Angriffe in Österreich. Sie haben neben den klassischen Cyberattacken mit Ransomware, bei denen Hacker die IT-Struktur eines Opfers lahmlegen, um dann Lösegeld zu erpressen, stark an Bedeutung gewonnen. Und auch ein Ende des Ukraine-Krieges wäre noch kein Grund zur Entwarnung. Dazu KPMG-Mann Lamprecht besorgt: „Mit dem Kriegsende werden bei den Hackergruppen Ressourcen frei. Diese werden sie in der einen oder anderen Form nutzen.“

Die Verantwortlichen des österreichischen Gesundheitswesens müssen sich Sorgen machen. Denn im Unterschied zu Energieversorgern und Banken haben die heimischen Gesundheitsbetriebe aus Sicht von Experten beim Thema IT-Security enormen Handlungsbedarf. Ihre Schutzmaßnahmen gegen Hackerattacken aller Art ähneln mehr einem Maschendrahtzaun als einer Firewall. Ulrich Kallausch, Managing Partner von Certitude, einem auf IT-Sicherheit spezialisierten Beratungsunternehmen aus Wien, findet klare Worte: „Die Gesundheitsbranche ist schlecht aufgestellt. Ein gezielter Cyberangriff könnte ganze Teilbereiche des österreichischen Gesundheitssystems zum Stillstand bringen.“ (siehe Interview Seite 46).

Wie die Beispiele aus Innsbruck, Rom und Barcelona zeigen, ist die Schwäche der Gesundheitsbetriebe auch den Angreifern nicht entgangen. Das gilt für politisch motivierte Hackergruppen ebenso wie für kommerziell getriebene, die vor allem auf Lösegeldzahlungen aus sind. Die Hacker folgen dabei einer perfiden Logik. „Weil Krankenhäuser besonders sensibel sind und es um Menschenleben geht, sind sie für die Hacker besonders attraktiv“, meint Georg Beham, Cybersecurity & Privacy Leader bei PwC Österreich. Und dabei gibt es offenbar keine Tabus. Die US-Sicherheitsfirma Mandiant zerrte unlängst die russisch-sprachige Hackergruppe FIN12 vor den Vorhang, die bereits eine Vielzahl von US-amerikanischen Spitälern erpresst und dabei auch vor Häusern mit Intensivstationen keinen Halt gemacht hat.

Vermeintlich stark. Robert Lamprecht ist Director Cyber Security bei KPMG. Er beobachtet eine dramatisch steigende Zahl an Hackerangriffen auf österreichische Einrichtungen und Unternehmen. Dies sei Teil der digitalen Kriegsstrategien im Gefolge des Ukraine-Konflikts.

Kriminelle mit Kalkül

PwC-Mann Beham betont, dass die Cyberkriminellen mit nüchternem kaufmännischen Kalkül vorgehen: „Die Angriffsbereitschaft der Angreifer sinkt mit dem Sicherheitsstandard der Ziele. Der Angreifer möchte mit einem Minimum an Aufwand das Maximum an Erlösen erzielen“, so Beham. Im Umkehrschluss bedeutet dies: Unternehmen, die einen starken Fokus auf die IT-Security legen und dies auch klar kommunizieren, sind aus Sicht der Hackergruppen nur mäßig attraktiv.

Genau dieser Fokus ist in der Gesundheitsbranche schwach ausgeprägt. Dies bestätigt eine Befragung des IT-Security-Anbieters Kaspersky aus dem Jahr 2021 unter IT-Entscheidungsträgern aus der Gesundheitsbranche. Nur 50 Prozent der österreichischen Organisationen verfügen demnach über einen Business Continuity Plan, der auch regelmäßig getestet wird – also einen durchdachten Notfallplan für den Fall, dass ein Cyberangriff die IT lahmlegt. Damit liegen die heimischen Gesundheitsbetriebe deutlich hinter ihren Pendants in Deutschland (67 Prozent) oder der Schweiz (64 Prozent). Und auch deren Werte sind nicht gerade überragend. Denn derartige Notfallpläne gehören in Indus­trieunternehmen oder bei Energieversorgern und Banken längst zum Standard.

Die Krankenhäuser kämpfen mit einer Reihe von strukturellen Schwierigkeiten, die den Schutz vor Hackerangriffen so kompliziert machen. Die Liste beginnt in vielen Fällen mit einer komplexen, unübersichtlichen IT-Infrastruktur, die über Jahre gewachsen ist. Teile dieser IT-Systeme sind zu einer Zeit entstanden, als der Schutz vor Malware aller Art nicht die höchste Priorität hatte. Vor allem die mächtigen Krankenhausinformationssysteme (KIS), mit denen die Patientendaten verwaltet werden, sind oftmals Eigenentwicklungen oder spezifisch auf die Bedürfnisse des Hauses angepasst. Sie durch moderne und damit sicherere Programme auszutauschen, erfordert daher in der Regel viel Zeit und Geld – ein großes Hindernis, da die IT-Teams der heimischen Krankenanstalten durch eine Reihe weiterer kritischer Projekte rund um die Digitalisierung und die Aufrechterhaltung des Betriebs in Anspruch genommen werden. KPMG-Experte Lamprecht formuliert das Dilemma höflich: „Die über Jahrzehnte gewachsenen IT-Strukturen machen den Schutz vor Cyberangriffen sicher nicht leichter.“

Neben den klassischen IT-Systemen zur Verwaltung des Krankenhaus-Betriebs setzen die Spitäler eine Unmenge von weiteren Geräten und Programmen ein. Experten sprechen hier von der OT (Operative Technologie). Die Palette reicht von Röntgengeräten über Dialysemaschinen bis hin zu Laborgeräten. Diese Maschinen haben eines gemeinsam: Im Zuge der Digitalisierung werden sie immer stärker miteinander vernetzt. Und auch die Wartung erledigt der Techniker des Herstellers im Normalfall nicht mehr vor Ort, sondern extern über eine Remote-Verbindung. Dazu kommen die Datenverbindungen mit den anderen Akteuren des Gesundheitswesens wie Arztpraxen, Labore oder Krankenkassen.

Albtraum für IT-Sicherheit

Das Ergebnis ist ein unüberschaubares Netzwerk von Verflechtungen, das mit dem Adjektiv „komplex“ nur unzureichend beschrieben werden kann – der absolute Albtraum für jeden IT-Sicherheits-Manager. „Die Kette ist so stark wie ihr schwächstes Glied. Eine kleine Sicherheitslücke bei einem Geräte-Lieferanten kann schon das Einfallstor in das IT-System des Krankenhauses sein“, so KPMG-Experte Lamprecht. Er will das nicht als Plädoyer gegen die Digitalisierung verstanden wissen. „Die Digitalisierung bietet enorme Vorteile für das Gesundheitswesen. Aber sie muss von einer klaren IT-Sicherheitsstrategie flankiert werden.“

IT-Experten fordern nun verstärkt nach mehr Regulierung durch Gesetzgeber und Aufsicht, um die IT-Sicherheit im Gesundheitswesen zu erhöhen. Ähnlich wie es bei Energieversorgern, Banken und Versicherungen schon seit Jahren der Fall ist. „Die Erfahrung aus anderen Branchen hat gezeigt: Das Wissen über die Risiken allein reicht nicht aus. Es braucht klare Vorgaben“, so PwC-Experte Beham. Nachsatz: „Und das am besten auf Bundesebene.“ Er wisse, dass dies aufgrund der föderalen Struktur des Gesundheitswesens schwierig umzusetzen sei. Aber: „Wir können globale Bedrohungen nicht mit regionalen Regeln bekämpfen.“