KRITIS, geistiges Eigentum und Ransomware-Welle Wie sich das Gesundheitswesen gegen Cyberangriffe wappnen kann

Autor / Redakteur: Christian Milde / Ira Zahorsky

Die Dunkelziffer von Cyberangriffen auf Krankenhäuser ist hoch. Deshalb sollten die Betreiber die Fördergelder, die sie über das Krankenhauszukunftsgesetz (KHZG) beantragen können, auch in die IT-Sicherheit investieren.

Firmen zum Thema

Krankenhäuser werden oft mit Ransomware angegriffen
Krankenhäuser werden oft mit Ransomware angegriffen
(© ©asnidamarwani - stock.adobe.com)

Allein zwischen Januar und November letzten Jahres gab es 43 Cyberangriffe auf wichtige Einrichtungen des Gesundheitsbereichs mit einem Schwerpunkt bei Krankenhäusern. Im gesamten Jahr 2019 waren es noch 16, 2018 gar nur elf. Das mutmaßlich große Dunkelfeld ist dabei noch nicht berücksichtigt. Das ergibt eine Antwort der Bundesregierung auf eine Anfrage der FDP-Fraktion im November 2020 und zeigt, wie groß die Gefahrenlage für Deutschland allgemein und hier spezifisch für den Gesundheitssektor ist.

Zu einem ähnlichen Schluss kommt eine im Januar dieses Jahres veröffentlichte Studie, an der unter anderem auch die Universität der Bundeswehr beteiligt war. Hierfür wurde die IT-Sicherheitslage in mehr als 1.500 deutschen Krankenhäusern systematisch untersucht. Demnach gab es Schwachstellen bei insgesamt 36 Prozent aller Krankenhäuser; 900 davon werden als „kritisch“ eingestuft. Besonders oft betroffen sind dabei laut dieser Analyse Krankenhäuser, die nach der Einstufung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur kritischen Infrastruktur (KRITIS) gehören. Als Ursache werden die vielen veralteten, oftmals proprietären Systeme benannt, für die keine Patches mehr zur Verfügung stehen. Außerdem sind die Budgets der Kliniken für IT-Sicherheit oft viel zu gering.

Verstärkter Ransomware-Einsatz gegen Krankenhäuser

Insbesondere Kliniken und deren Betreiber müssen sich seit Beginn der Pandemie vermehrt gegen Ransomware-Attacken wehren. Bei dieser Form der Cyberkriminalität werden nach einem erfolgreichen Angriff, Daten verschlüsselt und die Geschäftsleitung dann mit der Drohung auf Veröffentlichung oder Verlust der verschlüsselten Informationen erpresst. Krankenhäuser sind ein höchst sensibles Ziel – denn ein Ausfall von IT-Systemen kann eine direkte Auswirkung auf die Versorgung der Patienten haben.

Welch drastische Folgen beispielsweise ein Aufnahmestopp bei Notfällen haben kann, zeigte im Dezember 2020 ein Fall aus Nordrhein-Westfalen. Dort wurden am Uniklinikum Düsseldorf 30 Server verschlüsselt. Ein Rettungswagen musste deshalb abgewiesen und nach Wuppertal umgeleitet werden. Die Patientin verstarb – möglicherweise auf Grund des durch den Cyberangriff notwendig gewordenen längeren Transports.

Im Januar 2021 traf es eine relativ kleine Urologische Klinik im Münchner Umland. Wieder war Ransomware im Spiel und wieder hatten sich die Angreifer Zugriff auf Patientendaten verschafft.

Schwachstellen in medizinischen Produkten zur Patientenbehandlung

Ein weiteres Problem im Gesundheitssektor sind digitale Geräte und Anwendungen, die zum Teil erhebliche Schwachstellen aufweisen. Das haben erst jüngst zwei Studien des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergeben, bei denen verschiedene Medizinprodukte zur Behandlung und Pflege von Patienten auf ihre IT-Sicherheit überprüft wurden. Demnach wurden bei den zufällig ausgewählten Herzschrittmachern, Defibrillatoren, Insulinpumpen, Beatmungsgeräten, Infusionspumpen und Patientenmonitoren rund 150 IT-Schwachstellen gefunden. Auch die oft in Pflege und Betreuung eingesetzten Geräte wie Hausnotrufsysteme oder Tablets für Senioren, offenbarten mittlere bis schwere Schwachstellen.

Impfstoffforschung: Geistiges Eigentum der Anbieter besonders schützenswert

Auch sollte – insbesondere seit der Beginn der Pandemie – das Gut „geistiges Eigentum“ als besonders schützenswert erachtet werden, besonders im Bereich der Medikamenten- und Therapieforschung. So griff etwa die WellMess-Kampagne verschiedene Einrichtungen im Bereich der Covid-19-Impfstoff-Forschung an. Hacker hatten es im Herbst 2020 mutmaßlich auf AstraZeneca-Mitarbeiter abgesehen. Kaspersky berichtete bereits im Dezember über zielgerichtete Angriffe auf Einrichtungen, die in Verbindung mit der Covid-19-Forschung stehen – darunter ein Gesundheitsministerium sowie ein Pharmaunternehmen. Die Angriffe könnten laut den IT-Sicherheitsexperten auf das Konto der berüchtigte Lazarus-Gruppe gehen.

Derartige Angriffe dürften sich auch in diesem Jahr fortsetzen und könnten sogar zum geopolitischen Druckmittel werden, so lange Impfstoff weltweit noch Mangelware ist. Der Bedarf scheint vorhanden. So haben Kaspersky-Forscher 15 verschiedene Marktplätze im Darknet untersucht und dort Angebote für drei bekannte Covid-Impfstoffe gefunden: Pfizer/BioNTech, AstraZeneca und Moderna. Es gab zudem Anbieter, die für nicht zertifizierte Covid-19-Impfstoffe warben.

Wie kann sich das Gesundheitswesen effektiver schützen?

Um geeignete Maßnahmen zum Schutz der Institutionen im Gesundheitsbereich zu ergreifen, lohnt ein Blick auf die vielfältigen Verbreitungswege von Malware. Sie wird über eMails mit schädlichen Links und Anhängen genauso verbreitet wie über infizierte Websites. Angreifer erschleichen sich zudem Anmeldedaten für das System durch plumpen Diebstahl oder Brute-Force-Methoden oder auch durch geschicktes Social Engineering einzelner Mitarbeiter.

Vorbeugen ist besser als Heilen.

Gegen all diese Angriffsmethoden hilft der alte medizinische Leitsatz „Vorbeugen ist besser als Heilen“. Viel zu oft wird er als Binsenweisheit abgetan, viel zu selten beherzigt. Dabei sind es vornehmlich fünf Präventivmaßnahmen, die schon für deutlich mehr IT-Sicherheit sorgen können – auch für die vielen vernetzten Geräte, die im Gesundheitswesen zum Einsatz kommen.

Präventivmaßnahmen

  • 1. Sämtliche Geräte berücksichtigen: Jedes Gerät mit Zugang zum jeweiligen Unternehmensnetz und Internet muss geschützt werden. Neben Computern sind das zum Beispiel auch Mobiltelefone, Tablets, Terminals, Kiosksysteme und medizinische Geräte, die durchaus als zweckgebundene Computer gesehen werden können. Die IT-Sicherheitsbranche bietet Lösungen, die alle verwendeten Endpoints in Einrichtungen und Unternehmen schützen.
  • 2. Updates, Updates, Updates: Die Software all dieser Geräte muss stets auf dem neuesten Stand sein. Diese Forderung ist gerade für medizinische Hardware gar nicht so leicht zu erfüllen. Daher muss bereits bei der Anschaffung neuer Geräte berücksichtigt werden, ob und wie lange die Hersteller Updates garantieren. Hinweise – nicht nur zum Patch-Management – gibt die Broschüre „Cyber-Sicherheitsbetrachtung vernetzter Medizinprodukte“ des BSI.
  • 3. Sicherheit für eMails schaffen: eMails sind im Gesundheitswesen eine tragende kommunikative Säule und werden entsprechend häufig genutzt. Umso wichtiger ist es, Spam-Mails mit teils gefährlichen Anhängen und Links in der eMail-Flut sicher zu orten und unschädlich zu machen. Ein effektiver eMail-Schutz ist daher ausschlaggebend für die Sicherheit der elektronischen Kommunikation.
  • 4. Mitarbeiter für Gefahrenpotenziale sensibilisieren: Jeder Mitarbeiter, der an seinem Arbeitsplatz mit Technologie in Berührung kommt, sollte über die damit verbundenen grundlegenden IT-Sicherheitsrisiken informiert sein. Im Gesundheitswesen sind das zum Beispiel auch Ärzte, Pfleger und medizinische Fachangestellte. Egal ob bei der Untersuchung am Computertomografen oder beim Bearbeiten von Patientendaten am PC: Das Bewusstsein für Cybersicherheit sollte genauso selbstverständlich sein wie das Tragen eines Mund-Nasen-Schutzes beim Umgang mit Patienten. Security-Awareness-Trainings helfen, dieses Bewusstsein maßgeschneidert an die Mitarbeiter zu vermitteln.
  • 5. Gezielte Angriffe mit Expertenwissen blockieren: Verteilten Cyberkriminelle früher Malware nach dem Gießkannenprinzip, sind viele moderne Cyberangriffe heute sehr gezielt und folgen einem individuellen Drehbuch. Das heißt, die zu infizierenden Geräte und Server sowie Institutionen und einzelne Mitarbeiter werden konkret ausgewählt und angesprochen, in vielen Fälle über raffinierte Tricks des Social Engineering. Einmal im System wird dieses systematisch nach den wertvollsten Daten durchsucht, bevor der Diebstahl oder eine Blockade erfolgen. Solche Angriffe sind nur schwer zu entlarven und können durch den vollständigen Schutz von IT-Endgeräten abgewehrt werden. Hierfür ist es ratsam, zusätzlich einen Managed Detection and Response Service (MDR) in Anspruch zu nehmen, der auch eine Fernüberwachung der Infrastruktur erlaubt.

Fazit

Mehr IT-Sicherheit im Gesundheitswesen ist ebenso unabdingbar wie umsetzbar. Gerade Pandemiezeiten bergen auch neue Gefahren für technologische Systeme in Sektoren, die bereits in anderen Bereichen an ihre Leistungsgrenzen stoßen. Umso wichtiger ist es, adäquate Schutzmaßnahmen zu ergreifen, die eine umfassende IT-Sicherheit gewähren. Die IT-Sicherheitsindustrie verfügt über professionelle Lösungen und eine tiefgehende Expertise, von der alle öffentlichen und privaten Institutionen des Gesundheitswesens erheblich profitieren können.

Wenn also wie von der Bundesregierung wie geplant vier Milliarden Euro in die Digitalisierung von Krankenhäusern fließen werden, sollten Krankenhausbetreiber die Gelegenheit nutzen und über die Förderung von Notfallkapazitäten und digitaler Infrastruktur in IT-Sicherheit investieren.

Christian Milde
Der Autor, Christian Milde, ist General Manager DACH bei Kaspersky

Bildquelle: Kaspersky

(ID:47460039)