Cyber-Security-Studie Zahlreiche Kliniken kranken an der IT-Sicherheit

Autor: Julia Mutzbauer

Eine Studie von drei IT-Sicherheitsexperten aus Deutschland und Österreich zeigt: Ein Drittel aller deutschen Krankenhäuser weist Cyber-Security-Schwachstellen auf. Dabei wurden mehr als 900 kritische Sicherheitslücken identifiziert.

Eine Cyber-Security-Studie zeigt, dass deutsche Krankenhäuser deutlichen Nachholbedarf bei der IT-Sicherheit haben
Eine Cyber-Security-Studie zeigt, dass deutsche Krankenhäuser deutlichen Nachholbedarf bei der IT-Sicherheit haben
(© leowolfert – stock.adobe.com)

Johannes Klick von Alpha Strike Labs, Robert Koch von der Universität der Bundeswehr und Thomas Brandstetter von Limes Security haben die Sicherheitslage der im Internet öffentlich zugänglichen Systeme und Informationen von deutschen Krankenhäusern untersucht. 32 Prozent der analysierten Dienste wurden in unterschiedlichem Ausmaß als verwundbar eingestuft. 36 Prozent aller untersuchten Krankenhäuser weisen Angriffspunkte auf. Insgesamt wurden mehr als 900 kritische Schwachstellen identifiziert.

Im Rahmen der Studie wurden mithilfe des Distributed Cyber Recon System (DCS) von Alpha Strike Labs 1.483 Gigabyte Daten aus 89 verschiedenen globalen Internet-Scans ausgewertet. Damit konnten 1.555 deutsche Krankenhäuser erfasst werden. Bei der Angriffsoberflächenanalyse wurden mehr als 13.000 Service-Banner der Krankenhäuser zur Versionsidentifikation und anschließender CVE-basierter Schwachstellenidentifikation (Common Vulnerabilities and Exposures: standardisierte Liste über Schwachstellen und Sicherheitsrisiken von Computersystemen) untersucht. 32 Prozent aller erreichbaren Netzwerkdienste waren mit Schwachstellen behaftet. In diesem Zusammenhang verweisen die Autoren der Studie darauf, dass unter anderem immer noch sehr alte Windows 2003 Server im Einsatz sind, die schon seit 2015 keine Sicherheitsupdates mehr von Microsoft erhalten.

„Die deutschen Krankenhäuser stehen vor zentralen Herausforderungen im Bereich der kritischen IT-Infrastruktur. Es gibt immer noch eine hohe Zahl veralteter, manchmal proprietärer Systeme, welche nur schwierig patchbar sind, sei es aufgrund von erforderlichen Re-Zertifizierungen oder dem Support-Ende von Software. Dem stehen sehr begrenzte Mittel für die IT-Sicherheit gegenüber,” erklärt Robert Koch.

Fazit

Die Studie zeigt, dass vor allem große Kliniken von Sicherheitslücken betroffen sind. Auffallend ist, dass Krankenhäuser, die nach der Einstufung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur kritischen Infrastruktur (KRITIS) gehören, eine erkennbar höhere Anzahl an Schwachstellen aufweisen als kleinere Krankenhäuser, so die Autoren. Entgegen der Erwartung wird die IT-Sicherheit bei den zu KRITIS gehörenden Kliniken mit mehr als 30.000 vollstationären Behandlungen pro Jahr offensichtlich nicht professionell gehandhabt.

„Der deutsche Gesundheitssektor bietet im Jahr 2020 trotz erhöhter Kritikalität und verstärkten Regulierungsbestrebungen zahlreiche sichtbare Angriffsflächen. Aus Sicht des nationalen Risikomanagements muss die Aufklärungsarbeit im Bereich IT-Security für KRITIS-Organisationen deutlich verstärkt werden”, betont Koch. „Durch Penetrationstests bei unseren Kunden wissen wir, dass Krankenhäuser häufig nicht ausreichend vor Cyberangriffen geschützt sind, oft fehlt es schlicht an Budget, Personal und vor allem Risikobewusstsein. Deshalb stellt sich die Frage, ob der Staat nicht selbst die Schwachstellensuche in die Hand nehmen sollte”, ergänzt Johannes Klick.

„In anderen Regionen der Welt ist der Schutz kritischer Infrastrukturen schon deutlich länger und intensiver Staatsthema, mit entsprechenden Regulatorien und Budgets. Es besteht deutlicher Nachholbedarf“, kritisiert Thomas Brandstetter. „Sowohl der Gesundheitssektor als auch der Staat müssen sich effektiver aufstellen, um den Schutz wichtiger kritischer Infrastrukturen wie Krankenhäuser auch von digitaler Seite sicherzustellen”, so Brandstetter.

(ID:47094051)

Über den Autor

 Julia Mutzbauer

Julia Mutzbauer

Redaktion, eGovernment Computing