Der IT-Security-Berater Ulrich Kallausch wundert sich über den schlechten Schutz der heimischen Gesundheitsbetriebe vor Hackerangriffen – und erklärt, was er machen würde, wenn er Gesundheitspolitiker wäre.
Herr Kallausch, laut einer Studie der KPMG hat sich die Zahl der Hackerangriffe auf österreichische Unternehmen im Vorjahr verdreifacht. Überrascht Sie das?
Ulrich Kallausch: Nein, Hacker haben Hochkonjunktur. Cyberangriffe mit anschließenden Lösegeldforderungen sind ein einträgliches Geschäftsmodell: Die Kosten sind niedrig, das Ertragspotenzial hoch. Zudem sehen wir im aktuellen Ukraine-Konflikt, dass Cyberattacken verstärkt eingesetzt werden, um die kritische Infrastruktur des Gegners zu beschädigen. Man spricht hier von APT-Attacken. Was mich überrascht, ist eher, dass die Zahl der Angriffe auf österreichische Gesundheitsbetriebe sich bislang noch in Grenzen hält.
Österreich ist nicht Kriegspartei …
Stimmt, aber die Angriffe der russischen Hackertruppen beschränken sich nicht auf die Ukraine. Sie greifen auch gezielt die Infrastruktur von neutralen Staaten im Westen an. APT-Angriffe sind Teil der hybriden Kriegsführung.
Das bedeutet: Mit einem Ende des Ukraine-Krieges würden auch diese Angriffe eingestellt werden?
Das bezweifle ich stark. Ich glaube nicht, dass wir den Höhepunkt der APT-Attacken schon erlebt haben – im Gegenteil. Nach dem Krieg kommt wahrscheinlich ein Kalter Krieg. Und es gibt ja nicht nur den Konflikt zwischen Russland und dem Westen. Denken Sie an die Spannungen zwischen China und den USA oder China und der EU. Nein, diese Form der Auseinandersetzung wird sich weiter intensivieren. Cyberattacken sind ideal geeignet, um die kritische Infrastruktur des Gegners anzugreifen und ihn damit finanziell zu schwächen.
Ulrich Kallausch ist Managing Partner von Certitude, einem auf IT-Sicherheit spezialisierten Beratungsunternehmen aus Wien. Vorher war Kallausch Vorstand bei Oppenheim Österreich und Osteuropa,
Vorstand der Deutschen Bank in Österreich und Mitinhaber und Stv. Vorstandsvorsitzender der Semper Constantia Privatbank.
Was verstehen Sie unter kritischer Infrastruktur?
Das ist jene Infrastruktur, die essenziell dafür ist, dass eine Gesellschaft funktioniert. Dazu gehören vor allem die Energieversorgung, Banken und Versicherungen – und das Gesundheitswesen. Im Bereich der IT-Sicherheit zeigen die Branchen große Unterschiede. Energieversorger, Banken und Versicherungen und viele Unternehmen aus der Industrie sind deutlich weiter als die Betriebe im Gesundheitswesen, vor allem als jene im öffentlichen Bereich.
Woran machen Sie das fest?
Ich gebe Ihnen ein Beispiel: Zu einem effektiven Sicherheitskonzept gehört, dass die IT-Struktur regelmäßig auf ihre Widerstandsfähigkeit gegen Hackerangriffe getestet wird. Man nennt das Penetration Testing. Dabei wird die IT des Unternehmens nach allen Regeln der Kunst technisch überprüft und bei der umfassenderen Variante, dem Red Teaming, über längere Zeit attackiert. Diese Tests werden in der Regel ausgeschrieben. Ich sehe aber bislang keine derartigen Ausschreibungen im österreichischen Gesundheitswesen – weder von den Krankenhausholdings in den Bundesländern noch von den Krankenversicherern.
Woran liegt es, dass andere Branchen hier weiter sind als das Gesundheitswesen?
Es gibt sicher verschiedene Ursachen. Aber die wichtigste lässt sich mit drei Worten festmachen: zu wenig Regulierung.
Sie wünschen sich mehr Regulierung?
Ich habe in meiner Vergangenheit als IT-Vorstand von Banken oft genug über Regulierungen geklagt, aber hier macht sie absolut Sinn. Unternehmen, bei denen die öffentliche Hand mittelbar in das Management involviert ist, fehlt der Druck. Dementsprechend ist mir auch keine Krankenhausholding eines österreichischen Bundeslandes bekannt, wo nennenswerte Initiativen zur Verbesserung der IT-Sicherheit stattfinden.
❝„Ich sehe bislang keine Ausschreibungen für Penetration Testing-Projekte – weder von den Krankenhausholdings noch von den Krankenversicherern.“
Im Jänner ist die EU-Richtlinie NIS2 in Kraft getreten, die Unternehmen ab Oktober 2024 zu konkreten Maßnahmen
zur Cyber-Sicherheit verpflichtet. Wie beurteilen Sie das?
NIS2 ist ein richtiger Schritt. Es ist gut, dass die EU das Thema IT-Sicherheit aufgegriffen hat. Aber das bedeutet ja nicht, dass man auf nationaler Ebene die Hände in den Schoß legen darf.
Die Richtlinie muss in nationales Recht umgewandelt werden.
Das ist das Eine. Zudem hindert niemand den Bund und die Bundesländer, selbst tätig zu werden und den Rückstand zu anderen Branchen aufzuholen. Wenn ich ein Gesundheitspolitiker wäre, wäre die IT-Sicherheit für mich die Prima Causa.
Sind Sie aber nicht.
Stimmt (lacht). Aber im Ernst: Ich bin wirklich erstaunt, dass hier nicht mehr unternommen wird, um den Schutz vor Hackerangriffen zu erhöhen. Wir sind derzeit schlecht aufgestellt. Ein gezielter Cyberangriff könnte ganze Teilbereiche des österreichischen Gesundheitssystems zum Stillstand bringen. Stellen Sie sich vor, ein Krankenhaus steht für eine Woche. Was machen Sie dann? Das Gesundheitssystem ist ein perfektes Ziel für Cyberattacken.
Was macht die Medizin, allen voran die Krankenhäuser, denn so anfällig für Cyberangriffe?
In den Krankenhäusern werden sehr komplexe, über Jahrzehnte gewachsene IT-Systeme eingesetzt. Früher hatte IT-Sicherheit nicht den Stellenwert wie heute. Zudem hat sich natürlich der Stand der Technik massiv weiterentwickelt. Dazu kommt die sogenannte Operational Technology oder OT. Damit ist die Vielzahl von Geräten gemeint, die in der Medizin eingesetzt werden – etwa in der Radiologie oder im Labor. Viele dieser Geräte werden remote angesteuert und vom Techniker des Herstellers extern gewartet.
Und dann gibt es noch die Wearables.
Richtig. Die kommen auch noch dazu. Die Zahl der Geräte, die die Patienten im oder am Körper tragen, wächst natürlich ständig – das reicht vom Herzschrittmacher bis zu den diversen digitalen Fitness-Devices. All diese IT-Systeme, Geräte und Devices sind in irgendeiner Form miteinander vernetzt und bieten unzählige mögliche Einfallstore für Hacker
und Viren.
Kann man diese Einfallstore überhaupt schließen?
Die schlechte Nachricht lautet: nicht zu hundert Prozent. Sie können Ihr IT-System so gut schützen, wie Sie wollen. Wenn der Angreifer Sie um jeden Preis attackieren will, dann wird er damit auch erfolgreich sein.
Das wollte ich jetzt eigentlich nicht von Ihnen hören.
Das war wie gesagt die schlechte Nachricht. Es gibt aber auch eine gute: Es gibt eine durchaus wirkungsvolle Möglichkeit, den Schaden eines Angriffs zu minimieren. Ich spreche von der Segmentierung. Man kann sich das wie die Schotten eines Schiffs vorstellen: Wenn die Schotten dicht sind, kann ein Bereich überflutet werden. Das Schiff schwimmt trotzdem noch. Und so können Sie auch die IT-Infrastruktur in einzelne, voneinander abgegrenzte Segmente einteilen, mit vertikalen Firewalls.
Wenn das so einfach ist, warum wird es nicht schon längst umgesetzt?
Die Segmentierung ist der große Wurf. Sie erfordert viel Aufwand. Und sie verlangt, dass Management und Eigentümer die IT-Sicherheit zur absoluten Chefsache machen und ein entsprechendes Budget zur Verfügung stellen. Davon sind wir im österreichischen Gesundheitswesen noch weit entfernt.
