Das Gesundheitswesen im Fadenkreuz der Cyberkriminellen

Gut, wer da auf technische Schutzmaßnahmen, auf qualifizierte und sensibilisierte Mitarbeiter sowie auf einen Notfallplan zurückgreifen kann.

Erst hatte es mehrere Einrichtungen des Deutschen Roten Kreuzes Süd-West getroffen, nur wenige Monate später dann das Klinikum Fürstenfeldbruck bei München. Cyberattacken auf das Gesundheitswesen gehören seit einigen Jahren zum Alltag. Gut in Erinnerung ist gerade der Ende vergangenen Jahres bekannt gewordene Fall aus Süddeutschland, bei dem kleine menschliche Fehler und Sicherheitslücken großen Schaden nach sich zogen.

Ein Krankenhausmitarbeiter hatte eine E-Mail geöffnet und sich damit unabsichtlich einen Trojaner eingefangen. In der Folge wurden Hunderte Computer lahmgelegt, Krankenwagen konnten die Klinik elf Tage lang nicht mehr anfahren. Andere Vorkommnisse von Erpressungssoftware, bei denen der Klinikbetrieb tagelang nur noch im Notbetriebmodus lief, Operationen verschoben und Tausende Behandlungstermine abgesagt werden mussten, zeigen Folgendes: Es sind keine Einzelfälle. Das bestätigt auch eine Studie der Roland Berger Stiftung, nach der 64 Prozent aller Kliniken in Deutschland bereits Opfer eines Hackerangriffs wurden.

Der Radware-Report 2018-2019 betrachtet den ganzen Gesundheitssektor und kommt zum Ergebnis, dass rund 39 Prozent der Organisationen täglich oder wöchentlich von Hackern angegriffen wurden. Nur sechs Prozent gaben an, noch nie Opfer eines Cyberangriffs geworden zu sein. Damit sei das Gesundheitswesen laut der Studie nach der öffentlichen Hand im vergangenen Jahr die am zweithäufigsten im Fadenkreuz von Cyberkriminellen stehende Branche.

Digitalisierung öffnet manche Lücke

Gerade die zunehmende Digitalisierung trägt zur Vergrößerung der Angriffsfläche der Branche bei. Waren bis vor Kurzem noch Medizingeräte im OP nicht ans Internet angeschlossen, sind sie jetzt immer mehr vernetzt. Gemeint sind die Einführung von Electronic Health Records Systems (EHRS), bekannter als elektronische Gesundheitsakte (eGA), die Integration von Internet-of-Things-Technologien (IoT) wie MRTs, EKGs und Infusionspumpen und die Migration zu Cloud-Diensten.

Man möchte sich gar nicht vorstellen, was für Hacker alles denkbar und machbar ist: Denn beispielsweise finden immer mehr schwierige Herz- oder neurologische Operationen per Internet statt. Was wäre, wenn dabei eine Datenverbindung angegriffen wird? Gleiches gilt für cloudbasierte Überwachungsdienste, die bei vielen Krankheiten zum Einsatz kommen.

Kritik an E-Gesundheitsakte

Dass das Thema Digitalisierung im Bundesgesundheitswesen ganz oben auf der Agenda steht, wird an den vielerorts gemachten Anstrengungen hinsichtlich der elektronischen Gesundheitsakte und einer kontrovers geführten Diskussion deutlich. Nach dem im März 2019 beschlossenen Terminservice- und Versorgungsgesetz (TSVG) sollen alle Krankenkassen ihren Versicherten bis zum Jahr 2021 eine elektronische Patientenakte (ePA) zur Verfügung stellen.

Daten über Befunde, Diagnosen, Therapiemaßnahmen und Behandlungsberichte sollen für eine fall- und einrichtungsübergreifende Dokumentation über den Patienten gespeichert werden. Per App, vom Smartphone oder Tablet aus soll auf strukturierte Daten zugegriffen werden können. Die Nutzung der ePA ist freiwillig, Patienten haben die Datenhoheit und können frei zwischen den Anbietern wählen – so die Vorgaben der  Gematik. Doch genau diese Spezifikation zur ePA kritisiert der Bundesverband Gesundheit-IT e.V. (bvitg). Die ePA sei lediglich ein Speichermedium für Dokumente. Ziel müsse es jedoch sein, dass in Arztpraxen datenbasiert gearbeitet werden kann, so der bvitg. Dieser nur begrenzte Anwendungsfall erschwere die Entwicklung von nutzenstiftenden Anwendungen. Im Hinblick auf Standards und Interoperabilität werde mit einem Format geplant, das mit international bewährten Lösungen nicht kompatibel ist.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Der Schutz reicht noch nicht

Für Peter Rost, Director Business Development and Strategy von Rohde & Schwarz Cybersecurity, eröffnet gerade das „smarte Krankenhaus“ immer mehr Angriffsflächen für kriminelle Hacker: „Krankenhäuser sind gegen Angriffe häufig nicht ausreichend geschützt, da sie unter einem enormen Finanzdruck stehen.“ Unter Zeitdruck sei es dem medizinischen Personal z.B. schwerlich zuzumuten, bei als „dringend“ markierten E-Mails zwischen echtem Notfall und Phishing-Attacke zu unterscheiden.

Den mangelnden Schutz führt Helge Scherff, Regional Vice President Central bei Nuvias, vor allem auf das für die IT-Security zu niedrig eingeplante Budget zurück: „Viele Firmen sind immer noch der Meinung, dass der Kauf einer Firewall sie ausreichend vor jeglichen Gefahren absichert. Doch die Unternehmenssicherheit geht inzwischen weit über eine Firewall hinaus.“

Erfahrungen, die Mario Emig, Head of Information Security Business Development bei Controlware, nur bestätigen kann. „Investitionen außerhalb von Basismaßnahmen werden in der Regel erst dann getätigt, wenn konkrete Sicherheitsvorfälle in Form von Hackerangriffen im eigenen Unternehmen vorliegen und diese auch erkannt werden. Präventionen in diesem Kontext sollten eher als eine Art Versicherung verstanden werden.“

Als einen Ursachenmix aus Überlastung der IT, daraus resultierenden fehlenden Möglichkeiten für Schulungen und Nachbesserungen sowie den Anforderungen, „dass Ärzte und pflegendes Personal die Patientendaten drahtlos auf dem Tablet zur Verfügung haben sollen“, sieht es Thomas Uhlemann, Security Specialist DACH bei Eset Deutschland. Er hat festgestellt, dass der oft wechselnde Mitarbeiterbestand zu gefährlichen Lücken führe, da vergessene Konten ehemaliger Mitarbeiter weiterhin aktiv seien und somit ein Sicherheitsrisiko darstellten.

Wie und warum trifft es die Branche?

Laut dem Radware-Report verzeichneten Gesundheitsorganisationen einen deutlichen Anstieg von Malware- und Bot-Angriffen und ein stetiges Wachstum beim Social Engineering und bei Distributed-Denial-of-Service-Attacken (DDoS). Zwar sind die Ransomware-Angriffe insgesamt nach dieser Studie zurückgegangen, Experten erwarten jedoch, dass gerade IoT-Geräte mit verfeinerten Methoden künftig zunehmend Zielscheibe von „Hijacking“-Attacken werden. Es verwundert daher nicht, dass Forscher von McAfee in ihrem Labs Threats Report enthüllt haben, dass es im ersten Quartal 2019 einen Zuwachs von 118 Prozent an neuer Ransomware gab.

Auffallend ist, dass Cyberkriminelle neue Handlungsmuster erkennen lassen. Neben dem üblichen Spear-Phishing wurden zunehmend gezielte Attacken auf Exposed Remote Access Points wie das Remote Desktop Protocol (RDP) beobachtet. Angreifer können sich dabei Administrationsrechte verschaffen, um anschließend Malware über das Netz zu verbreiten. McAfees Ergebnis: Mehr als 2,2 Milliarden gestohlene Anmeldedaten wurden im ersten Quartal 2019 auf illegale Plattformen im Darknet hochgeladen. Dass gerade die Gesundheitsbranche als Opfer ausgemacht wird, hat u.a. den Grund, dass sensible Gesundheitsdaten sehr lukrativ sind. So werden medizinische Daten im Darknet höher gehandelt als Passwörter und Kreditkartendaten. Zum Verständnis:  Die Gesundheitsausgaben weltweit machen einen Anteil von 20 Prozent oder mehr des Bruttoinlandsproduktes aus.

Ransomware den Kampf ansagen

Welche Sicherheitslösungen adäquat sind, um im Kampf gegen die Ransomware zu bestehen, darin sind sich die Security-Spezialisten einig. Marcel Kempe, Head of Governance and Standards bei Noris Network, fasst es so zusammen: „Eine ganzheitliche Implementierung von Awareness-Trainings und technischen Schutzmaßnahmen.“ Dazu käme ein Notfallplan (mehr dazu im vorstehenden Kasten auf Seite 26), der beschreibt, was im Fall eines Angriffs zu tun ist.

Mario Emig erklärt, wie sich Mitarbeiter gegenüber möglichen Angriffen sensibilisieren lassen: „Wenn Mitarbeiter potenzielle Infektionswege bei E-Mails, Web, Software-Downloads oder USB-Sticks kennen und sich der grundsätzlichen Vorgehensweise von Angreifern bewusst sind, haben es die Angreifer auf alle Fälle schwerer, ihr Ziel zu erreichen.“ Wie Emig sieht auch Helge Scherff die sogenannte „Sandbox“ als probates Mittel gegen Ransomware. Helge Scherff ergänzt: „Des Weiteren bietet auch eine Endpoint Protection Plattform, z. B. von Kaspersky Lab, eine gute und sichere Anti-Ransomware-Lösung.“

Datenschutz und Verschlüsselung

Wie eine Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) herausgefunden hat, besteht hierzulande zudem bei Ärzten und Apothekern ein erheblicher Nachbesserungsbedarf im Datenschutz. So setzen neun von zehn Ärzte auf einfach zu erratende Passwörter. Beliebt sind der Name des Arztes oder Wörter wie „Behandlung“.

Noch mehr Besorgnis erregt die Verschlüsselung personenbezogener Daten. Von den 1.200 im Rahmen der Studie befragten niedergelassenen Ärzte folgen gerade  0,4 Prozent den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Und das, obwohl die gesetzlichen Anforderungen durch die Datenschutz-Grundverordnung (DSGVO) klar die unverschlüsselte Übertragung sensibler Daten verbieten.

Flankierende Maßnahmen sind sinnvoll

Für Sicherheitsexperten wie Thomas Uhlemann ist dieser sorglose Umgang mit den schützenswerten Daten unverständlich: Gegen den Missbrauch von Daten, die bei einem Diebstahl in fremde Hände geraten, helfe Verschlüsselung äußerst effektiv. Cyberkriminelle könnten mit codierten Informationen schlichtweg nichts anfangen. Er rät IT-Sicherheitsabteilungen daher: „Das Team sollte neben Malware-Schutzlösungen eine entsprechend leicht zu administrierende und zu testende Backup-Lösung implementieren, welche saubere Sicherungskopien von durch Ransomware verschlüsselte Daten wiederherstellen kann.“ Ein gut ausgestattetes IT-Team, das sich regelmäßig fortbilden könne und Zeit zur Planung und Umsetzung bekomme, sei der Schlüssel zum Erfolg.

Marcel Kempe plädiert für ein ganzheitliches IT-Sicherheitskonzept: So sei eine ordnungsgemäße Implementierung bei der Verschlüsselung ausschlaggebend. „Wenn beispielsweise der Datenverkehr verschlüsselt ist, die entsprechenden Schlüssel jedoch auf einem Netzlaufwerk frei zugänglich sind, ist diese Maßnahme mehr oder weniger wirkungslos.“ Aus seiner Sicht sei weniger die „Manpower“ eines Sicherheitsteams entscheidend als mehr „eine gute Integration dieser Abteilung in die Unternehmensabläufe und Projekte“.

Für Peter Rost ist die Übertragung vertraulicher Daten mit einer Ende-zu-Ende-Verschlüsselung kein Thema, wenn sie über ein Computernetzwerk laufe. „Daten, die Unternehmen in der Cloud verarbeiten müssen, sollten soweit möglich mit intelligenten Gateways verschlüsselt oder wenigstens anonymisiert werden, um nicht in Konflikt mit der DSGVO zu geraten.“

Pro und Kontra von KI

Was kann eine in die Zukunft ausgerichtete Technologie wie Künstliche Intelligenz (KI) leisten? Sie wird zunächst einmal für IT-Sicherheit ambivalent gesehen. Sie kann als wirksames Gegenmittel im Kampf gegen Cyberkriminelle, aber auch als von Hackern genutzte Technologie für Attacken beurteilt werden. Vorteile bieten KI-Sicherheitslösungen z.B. beim Rechen- und Analyseaufwand der täglich bis zu 400.000 neuen Schadcodes. So können sie mittels Algorithmen bzw. mathematischer Methoden schnell agieren und präventiv das Ausmaß von Angriffen verringern.

Ein besonderes Gefahrenpotenzial sehen Sicherheitsexperten durch KI aber nicht. Bei dem Wettlauf zwischen Angreifern und Security-Industrie gehe es immer schon darum, schneller zu sein, die besseren „Waffen“ zu nutzen, so die breit vertretene Ansicht.

Bildquelle: Thinkstock/iStock/Nuvias/Controlware/Rohde & Schwarz Cybersecurity