Suchen

Wie das Gesundheitswesen an Cyberkrankheiten leidet Wenn sich ein Krankenhaus einen Virus einfängt

| Autor / Redakteur: Matthias Canisius* / Julia Mutzbauer

Die aktuelle weltweite Panik um das Coronavirus zeigt, dass die Gesundheit für jeden Menschen oberste Priorität hat. Und alles, was sie gefährdet, muss als ernsthafte Bedrohung betrachtet werden. Die vielleicht größere Herausforderung für unsere Gesundheitssysteme ist jedoch nicht notwendigerweise ein biologischer, sondern ein digitaler Virus.

Im Gegensatz zu normalen Unternehmen leiden Krankenhäuser unter unzureichenden Sicherheitsressourcen
Im Gegensatz zu normalen Unternehmen leiden Krankenhäuser unter unzureichenden Sicherheitsressourcen
(© titima157 - stock.adobe.com)

Zahlreiche Krankenhäuser, Kliniken und Gesundheitseinrichtungen wie Pflegezentren und sogar Zahnkliniken haben in den letzten Jahren unter Ransomware-Angriffen gelitten, die sie zwangen, ihre Arbeit einzustellen, Behandlungen zu verschieben oder Operationen mit Stift und Papier zu verwalten. Die jüngste Welle von Angriffen auf Gesundheitseinrichtungen begann mit der Wannacry-Infektion von 2017, aber obwohl es seitdem keine Cyber-Angriffe dieser Größenordnung mehr gab, haben wir seit diesem Wendepunkt einen stetigen Anstieg der Vorfälle erlebt.

Das Klinikum Fürth wurde beispielsweise erst kürzlich Opfer einer Attacke, die das Computersystem des Krankenhauses zum Erliegen brachte. Der finanzielle Schaden eines solchen Hacks übersteigt dabei sehr schnell die Kosten einer Sicherheitslösung, die ihn hätte verhindern können. Es ist ratsam zu analysieren, wie sich solche Angriffe manifestieren, und in die Verhinderung oder Neutralisierung dieser Angriffsvektoren zu investieren. Da Angriffe auf das Gesundheitswesen und andere Einrichtungen immer häufiger über physische Geräte erfolgen, sollte der größte Teil des Sicherheitsbudgets für die Sicherung von Endpunkten aufgewendet werden.

Cyber-Herausforderungen für das Gesundheitswesen im Jahr 2020

Krankenhäuser sind ein Spezialfall, was die Cybersicherheit angeht, da sie in komplexen IT-Umgebungen arbeiten, allerdings kaum in der Lage sind, die notwendigen Sicherheitskontrollen durchzusetzen. Dadurch leiden sie unter all den Problemen moderner Organisationen, wenn es um Cybersicherheit geht: Phishing, Lösegeld-Angriffe, Datendiebstahl und sogar Betrug. Aber im Gegensatz zu einem normalen Unternehmen leiden Krankenhäuser unter unzureichenden Sicherheitsressourcen, veralteten Systemen, mehreren Betriebs- und IT-Netzwerken, die oft nicht richtig segmentiert sind und zu allem Überfluss unter Fachkräftemangel.

Krankenhäuser sind komplexe Umgebungen

Eine der größten Sicherheitsherausforderungen in Krankenhäusern ist die Komplexität des Umfelds. Allein dadurch wird die Sicherheit viel schwieriger als im normalen Unternehmen. Ein Krankenhaus kann eine Reihe von IT-Netzwerken, Betriebsnetzwerken, angeschlossenen medizinischen Geräten, älteren IT- und OT-Systemen und anderen Industriemaschinen wie zum Beispiel Generatoren enthalten.

Viele dieser Systeme sind alt und wurden seit Jahren nicht mehr gepatcht. Es sind zudem immer noch viele Legacy-Systeme in Gebrauch, die mit an Sicherheit grenzender Wahrscheinlichkeit unter einer Vielzahl von Sicherheitsmängeln leiden.

Dann gibt es die medizinische Ausrüstung: sehr empfindlich, teuer und unternehmenskritisch. All diese Faktoren machen es schwierig, standardmäßige Security-Lösungen zur Sicherung der Umgebung einzusetzen.

„Service First“ ist ein Hindernis für die Sicherheit

Ein modernes Krankenhaus behandelt jeden Tag Tausende von Patienten und muss heute in der Lage sein, zusätzlich zu den physischen auch digitalen Dienstleistungen anzubieten. Das bedeutet, dass strenge Cybersicherheitsmaßnahmen nur schwer anzuwenden sind, da alles, was als Störfaktor wahrgenommen wird, die Kundenerfahrung beeinträchtigt und die Patienten dazu veranlasst, sich darüber zu beschweren, dass ihr Wohlergehen nicht an erster Stelle steht.

Das Personal ist darauf ausgerichtet, die beste medizinische Versorgung für die Patienten zu gewährleisten und ist meist weniger sicherheitsbewusst als Mitarbeiter in anderen Bereichen.

Es mangelt an Sicherheitsexpertise

Eine vor zwei Jahren durchgeführte Umfrage ergab, dass 84 Prozent der Krankenhäuser ohne einen dedizierten Sicherheitsverantwortlichen arbeiten. Das liegt unter anderem daran, dass die Gesundheitsbranche bei der Rekrutierung von Sicherheitspersonal unter den gleichen Herausforderungen leidet wie alle anderen, denn es ist schwierig, Sicherheitspersonal zu finden, teuer einzustellen und zu halten. Aber tatsächlich ist die Situation im Gesundheitswesen im Vergleich zu anderen Sektoren, die vor den gleichen Herausforderungen stehen, noch schlechter.

Organisationen im Gesundheitswesen verfügen in der Regel über ein geringeres Budget für die Sicherheit als andere Arten von Organisationen, was es ihnen angesichts der geringen Anzahl an verfügbaren Experten schwer macht, in Bezug auf attraktive Gehälter und Vergütungspakete konkurrenzfähig zu bleiben.

Darüber hinaus erschweren die große Bandbreite und der spezielle Charakter der im Gesundheitswesen verwendeten medizinischen Geräte die Suche nach Fachleuten mit den erforderlichen Fähigkeiten. Aufgrund des Fachkräftemangels wächst die Angriffsfläche im Gesundheitswesen mit der Zeit, da immer mehr unkontrollierte, ungepatchte Geräte mit unbekannten Fehlern im Netzwerk auftauchen.

Strikte Regulierungen sind Fluch und Segen zugleich

Die Gesundheitsbranche ist stark reguliert. Auf der einen Seite ist das, weil es die Einrichtungen zwingt, die Privatsphäre der Patienten ernst zu nehmen. Es bedeutet aber auch, dass der Wechsel von einer älteren, anfälligeren Infrastruktur zu einer modernen, gesicherten Cloud-Umgebung eine Herausforderung darstellt.

In einer Umfrage von Netwrix gab mehr als die Hälfte der Teilnehmer an, dass sie über 50 oder mehr Datenquellen verfügen, die inventarisiert und auf sensible Dateninhalte hin überprüft werden müssen. Dem zufolge übersteigt die schiere Menge, Vielfalt und Geschwindigkeit der Daten, die von den Gesundheitsorganisationen verbraucht werden, die Kapazität der ihnen zur Verfügung stehenden Zugriffs- und Überwachungswerkzeuge. Das macht es quasi unmöglich, die Vielzahl der persönlichen Daten im Netzwerk vollständig abzusichern.

Die Sicherheitsbedrohungen im Gesundheitswesen

Angesichts der Herausforderungen, die die Absicherung von Krankenhäusern, Kliniken und Co. mit sich bringt, ist es wichtig, eine klare Vorstellung davon zu haben, woher die Gefahren stammen. Die Sicherheitsbedrohungen für diesen Sektor lassen sich in zwei verschiedene Klassen einteilen: allgemeine und gezielte Bedrohungen.

Allgemeine Bedrohungen wie Lösegeldforderungen, Diebstahl von Ausweispapieren und Malware-Infektionen zielen nicht speziell auf den Gesundheitssektor ab, aber wie oben erläutert, macht die Art des Umfelds den Gesundheitssektor extrem anfällig für wahllose Angriffe. Wie in letzter Zeit anhand zunehmender Attacken zu sehen war, hat das Aufkommen von billiger Ransomware-as-a-Service es einer ganz neuen Klasse von unqualifizierten Bedrohungsakteuren ermöglicht, sich an kriminellen Unternehmungen zu versuchen.

Gezielte Angriffe sind noch bedrohlicher. Dazu gehört der Datendiebstahl bestimmter medizinischer Informationen ebenso wie die Manipulation von medizinischen Geräten. Bei Angriffen auf das Gesundheitssystem von Singapur wurden persönliche Daten von insgesamt 1,5 Millionen SingHealth-Patienten gestohlen, während von 160.000 von ihnen auch die Aufzeichnungen über die verabreichten Medikamente entwendet wurden. Unter den Opfern des Datendiebstahls befand sich auch der Premierminister des Landes, Lee Hsien Loong.

Angriffe auf medizinische Geräte haben sich als möglich und potenziell tödlich erwiesen. Im vergangenen Jahr warnte die US Food and Drug Administration (FDA) vor zwei Sicherheitsmängeln, die Dutzende implantierbare Defibrillatoren betreffen und auch die EU hat 2017 Richtlinien für die Cybersicherheit von medizinischen Geräten herausgegeben, die zeigen, dass die Regulierungsbehörden in der ganzen Welt diese Bedrohung ernst nehmen.

Im Gegensatz zu „traditionellen“ Bedrohungen liegt die Minderung des Risikos für medizinische Geräte jedoch fast ausschließlich bei den Geräteherstellern und in einigen Fällen kann es erforderlich sein, ein älteres Gerät durch ein neueres zu ersetzen. Das könnte eine unrealistische Erwartung sein, da einige medizinische Geräte – man denke nur an MRT-Geräte – so teuer sind, dass Krankenhausverwalter es auf Kosten der Sicherheit vorziehen werden, weiterhin anfällige Geräte zu betreiben, anstatt sie durch neuere, teurere Modelle zu ersetzen.

Probleme bleiben auch nach Sicherheitsverletzungen bestehen

Eine von Forschern von Vanderbilt und der University of Central Florida veröffentlichte Studie ergab höhere Sterblichkeitsraten für Herzinfarkte in Krankenhäusern, die von Cyber-Attacken betroffen waren. In diesen Krankenhäusern dauerte es in den Jahren nach einer Datenpanne 2,7 Minuten länger, um den Patienten ein EKG zu geben.

Dies ist wahrscheinlich auf eine doppelte Auswirkung zurückzuführen: eine psychologische, die sich daraus ergibt, dass Ärzte und Krankenschwestern das Vertrauen in ihre digitalen Geräte verlieren, und eine verfahrenstechnische, die sich daraus ergibt, dass sich das medizinische Personal an neue IT-Verfahren anpassen muss, die das Cyber-Risiko verringern sollen.

Baustelle Finanzierung

Regierungen geben ein Vermögen für das Gesundheitswesen aus, und diese Kosten wachsen jedes Jahr. Angesichts einer alternden Bevölkerung, der geringeren Effizienz von Behandlungen mit Antibiotika, der Zunahme neuer Krankheiten und des öffentlichen Aufschreis über die Kürzung von Budgets ist es nicht überraschend, dass Gesundheitseinrichtungen mit einem bereits knappen und weiterhin schrumpfenden Budget arbeiten.

Die Einführung neuer Cybersicherheitslösungen innerhalb dieses Budgets mag eine Herausforderung sein, aber es ist eine Notwendigkeit. Angesichts dessen sollten sich die Betreiber von Gesundheitseinrichtungen fragen, was es kosten würde, Opfer eines Cyberangriffs zu werden.

Fazit

Angesichts der riesigen Mengen an personenbezogenen Daten, des Mangels an Sicherheitsexpertise, des unzureichenden Budgets und der großen Angriffsfläche ist es kaum verwunderlich, dass das Gesundheitswesen im Fokus von Cyberkriminellen steht. Die Antwort auf diese Herausforderungen liegt darin, jeden Endpunkt, der geschützt werden kann, zu schützen und gleichzeitig vollen Einblick in das Unternehmensnetzwerk zu haben und es so vor Bedrohungen aus der Cyberwelt zu schützen.

*Der Autor: Matthias Canisius, Regional Director Central & Eastern Europe bei SentinelOne

(ID:46485270)