Cyberangriffe verursachen Millionenschäden im Gesundheitswesen
Im August 2020 hatten die internationale kriminalpolizeiliche Organisation INTERPOL sowie verschiedene Sicherheitsorganisationen aus dem Vereinigten Königreich und den USA davor gewarnt, dass Cyberkriminelle ihre Angriffe in der Pandemie weniger auf Einzelpersonen, sondern mehr auf Regierungen und kritische Infrastrukturen richten könnten. Dazu gehörte nach Einschätzung der US-Behörden explizit auch der Gesundheitssektor. Etwa zur selben Zeit hatte die israelische Regierung als erste öffentlich erklärt, einen Cyber-Schutzschild für ihren Gesundheitssektor errichten zu wollen.
Tatsächlich hat sich die Zahl der Cyberangriffe auf Gesundheitseinrichtungen 2020 mehr als verdoppelt, wie ein Sicherheitsbericht des japanischen Dienstleisters NTT Ltd. zeigt. Entfielen 2019 noch 7 Prozent aller weltweit erkannten Angriffe auf die Branche, waren es 2020 bereits rund 17 Prozent – der höchste Wert seit Beginn der jährigen Sicherheitsberichte vor neun Jahren.
Auch der Lagebericht 2020 des deutschen Bundesinstituts für Sicherheit in der Informationstechnik (BSI) berichtet über eine Häufung der Zwischenfälle im Gesundheitsbereich. 2020 wurden insgesamt 419 Zwischenfälle in Einrichtungen der kritischen Infrastruktur gemeldet, mit 134 die meisten davon im Gesundheitsbereich. Neben technischem Versagen wurden darunter am häufigsten Cyberangriffe klassifiziert.
Ebenso 2021: In der ersten Jahreshälfte wurden weltweit nicht nur Automobilhersteller, Anwaltskanzleien, Energieversorger, Universitäten, Schulen, öffentliche Verwaltungen und Einzelhandelsketten Opfer von Cyberkriminellen, sondern auch zahlreiche Einrichtungen der Gesundheitsbranche – hier eine unvollständige Übersicht:
Januar: das belgische Krankenhaus Center Hospitalier de Wallonie Picarde (CHwapi)
Februar: die französische Krankenkasse Mutuelle Nationale des Hospitaliers (MNH) sowie das Krankenhaus Dax-Côte d‘Argent Hospital Center
März: die in Arizona ansässige Augenklinik Cochise Eye and Laser sowie der US-Gesundheitsdienstleister Allergy Partners
April: der weltweit tätige Aligner-Anbieter SmileDirectClub
Mai: die irische Gesundheitsbehörde HSE Ireland und angeschlossene Kliniken
Juni: Zwei Krankenhäuser der University of Florida Health, die US-Fruchtbarkeitsklinik Reproductive Biology Associates und Grupo Fleury, einer der größten Anbieter medizinischer Diagnostik in Brasilien
Ein Patient klagt gegen eine betroffene Klinik
Der Angriff auf HSE Ireland erreichte dabei eine neue Dimension: Wochenlang waren die Behandlungsmöglichkeiten in mindestens 41 Kliniken landesweit stark eingeschränkt. Termine mussten abgesagt werden, bildgebende Verfahren waren ausgesetz,t die Dokumentation erfolgte vorübergehend auf Papier. Allein die Behebung der IT-Schäden kostet geschätzt 400 Millionen Euro. Und nicht nur das: Weil Daten seiner Krebsbehandlung im Darknet veröffentlicht wurden, hat ein Patient Ende Juli gegen das Cork‘s Mercy Hospital Klage eingereicht. Medienberichten zufolge haben die Angreifer noch mehr Patientendaten geteilt.
Der Anwalt des Mannes sagte der Redaktion des Examiner, einige (aber nicht alle) Informationen aus der Krankenakte des Mannes seien im Darknet veröffentlicht worden. Außerdem vertrete er weitere Mandanten in ähnlicher Situation, die ebenfalls rechtliche Schritte einleiten wollen. Ein Sprecher des Cork‘s Mercy Hospital wollte sich mit Blick auf das kommende Gerichtsverfahren nicht zu dem Vorfall äußern.
Allem Anschein nach wurden die veröffentlichten Patientendaten des Krankenhauses bei dem Anfang Mai bekannt gewordenen Angriff auf der zentralen Serverstruktur der HSE gestohlen. Die Angreifer kompromittierten damals das gesamte System der Behörde und damit auch der angeschlossenen Kliniken. Nachdem die HSE und die irische Regierung die Zahlung eines Lösegelds von 16 Millionen Euro verweigerten, veröffentlichten die Diebe einen Teil der gestohlenen Daten – darunter sensible Patienteninformationen, Protokolle von Besprechungen und Korrespondenzen mit Patienten. Sollte dem Mann Schadenersatz zugesprochen und seine Klage zu einem Präzedenzfall werden, könnten sich künftig – wie in den USA bereits zu beobachten ist – Sammelklagen von Patienten gegen von Ransomware betroffene Unternehmen richten – und so die finanzielle Bedrohung durch Cyberkriminalität zusätzlich verschärfen.
Es geht zu wie im digitalen „Wilden Westen“
Mitte Juli 2021 erneuerte INTERPOL-Generalsekretär Jürgen Stock auf einem Kongress zum Thema Ransomware seine Warnung und forderte die Polizeibehörden weltweit auf, eine globale Koalition mit Industriepartnern zu bilden, um eine mögliche „Ransomware-Pandemie” abzuwenden. Es gebe zwar bereits einige nationale Lösungen oder Partnerschaften, für die effektive Verhinderung von Ransomware-Angriffen sei jedoch die gleiche internationale Zusammenarbeit erforderlich, wie es sie zur Bekämpfung von Terrorismus, Menschenhandel oder Mafiagruppen gibt.
Ransomware entwickele sich aktuell zum „Wilden Westen” des digitalen Raums, in dem jeder zu jedem Zeitpunkt Opfer werden kann, warnte auf derselben Veranstaltung auch Tal Goldstein vom Centre for Cybersecurity beim Weltwirtschaftsforum. Er betonte, die Eindämmung von Ransomware erfordere kollektive Anstrengungen.
Dass es die bislang noch nicht gibt, zeigen Vorfälle, die sich etwa zur selben Zeit ereigneten: Anfang und Mitte Juli haben Cyberkriminelle den Landkreis Anhalt-Bitterfeld sowie die Stadtverwaltung und das Klinikum Wolfenbüttel angegriffen. Als zur Sicherheit die Systeme heruntergefahren werden mussten, ging zwischenzeitlich nichts mehr: Im Klinikum musste die Dokumentation vorübergehend auf Papier und Hand umgestellt werden, teilte die Stadtverwaltung mit. Nach bisherigen Erkenntnissen wurden aber keine Patientendaten gestohlen.
"Kleine Unternehmen können als Kollateralschaden Opfer werden"
Mitarbeiter zu sensibilisieren, keine E-Mails unbekannter Absender oder Datei-Anhänge zu öffnen, genügt in (Zahn-)Arztpraxen nicht mehr, um sich vor Cyberangriffen zu schützen. Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt, warum die Gefahr real ist, was bei der Datensicherung zu beachten ist und wie sich Geschädigte verhalten sollten.
Wie hoch schätzt das BSI aktuell die Bedrohung der deutschen Gesundheitsinfrastruktur durch Cyberangriffe ein?Joachim Wagner:
Joachim Wagner: Ransomware-Angriffe sind aus Sicht des BSI derzeit die größte Cyber-Bedrohung für Unternehmen und Organisationen. Dazu zählen auch Einrichtungen des Gesundheitswesens. In der Regel erfolgen Erstinfektionen ungezielt, so dass alle Branchen gleichermaßen zum Ziel dieser Cyberangriffe werden. Dabei werden aus Sicht des BSI zunehmend Schwachstellen in IT-Infrastrukturen ausgenutzt, ohne dass eine Nutzerinteraktion nötig wäre.
Wie groß ist die Gefahr für kleinere Organisationsstrukturen (Medizinische Versorgungszentren und Praxen)?
Auch kleinere Organisationsstrukturen können Opfer von Ransomware-Angriffen werden. Cyberkriminelle setzen Lösegeldforderungen vermehrt individuell fest, so dass auch für kleinere Unternehmen gezielt Forderungen gestellt werden. Sie können zudem auch als „Kollateralschaden“ Opfer werden, also mitverschlüsselt werden, ohne das eigentliche Ziel gewesen zu sein. Dies kann beispielsweise über IT-Dienstleister geschehen, die das originäre Angriffsziel waren. Hierfür gibt es mehrere Beispiele aus der jüngeren Vergangenheit.
Welche Tipps zum Schutz vor Schadsoftware-Angriffen gibt das BSI Betreibern von solchen kleineren Strukturen?
Auch kleinere Unternehmen sollten ihre IT-Sicherheit organisieren. Dazu müssen klare Zuständigkeiten und Verantwortlichkeiten vergeben und von der Geschäftsleitung mitgetragen und befördert werden. Wenn dies nicht im Haus geleistet werden kann, empfiehlt es sich, einen geeigneten Dienstleister zu beauftragen. Regelmäßige Back-ups der Geschäftsdaten sind ein ganz wesentlicher Baustein und eine zentrale IT-Sicherheitsmaßnahme. Zudem sollte regelmäßig geübt werden, diese Back-ups auch wieder einzuspielen. Je nach Datenmenge und Häufigkeit bieten sich unterschiedliche Datenträger für die Back-ups an. Dies kann von einer Cloud-Sicherung über einen eigenen Server bis hin und zu einer externen Festplatte reichen. Allerdings muss sichergestellt sein, dass die externen Datenträger nicht dauerhaft mit dem Netzwerk verbunden sind, damit sie nicht mitverschlüsselt werden.
Welche Maßnahmen sollten Betroffene als erstes ergreifen?
Zuerst muss die Quelle beziehungsweise das Einfallstor einer Schadsoftware identifiziert werden. Erst dann können Wiederherstellungs- und Bereinigungsmaßnahmen eingeleitet und das Netzwerk wieder in Betrieb genommen werden. Dabei können IT-Dienstleister helfen. Darüber hinaus sollte Anzeige bei der Polizei erstattet werden.
Das Gespräch führte Marius Gießmann.
Anfang August 2020 schlug dann der Branchenverband Bitkom Alarm: Rund 223 Milliarden Euro Schaden seien der deutschen Wirtschaft hochgerechnet 2020 durch digitalen Diebstahl, Spionage und Sabotage entstanden, rund doppelt so viel wie in den beiden Vorjahren.
Haupttreiber des enormen Anstiegs seien Erpressungsvorfälle, verbunden mit dem Ausfall von Informations- und Produktionssystemen sowie der Störung von Betriebsabläufen. Diese seien meist unmittelbare Folge von Ransomware-Angriffen. Die so verursachten Schäden haben sich im Vergleich zu den Vorjahren 2018/2019 mehr als vervierfacht (+358 Prozent), berichtet der Verband und verweist auf eine repräsentative Umfrage, nach der 88 Prozent aller Unternehmen 2020 von Angriffen betroffen waren, heißt es. Und: Jedes elfte Unternehmen (9 Prozent) sieht seine geschäftliche Existenz durch Cyberattacken bedroht.
Mittlerweile hat die Politik reagiert. Im Oktober 2020 ist in Deutschland das Krankenhauszukunftsgesetz (KHZG) in Kraft getreten, das es dem Bund erlaubt, seit Januar 2021 3 Milliarden Euro bereitzustellen, damit Krankenhäuser in moderne Notfallkapazitäten, die Digitalisierung und ihre IT-Sicherheit investieren können. Die Länder sollen weitere Investitionsmittel von 1,3 Milliarden Euro aufbringen. Wie wichtig und gleichzeitig kleinteilig IT-Sicherheit ist, offenbaren im August 2021 vom Sicherheits-Dienstleister McAfee aufgezeigte Sicherheitslücken in Infusionspumpen des deutschen Herstellers B. Braun (siehe Kasten).
Google und Microsoft investieren 30 Milliarden
In den USA hat Präsident Joe Biden jüngst Führungskräfte aus den Bereichen Big Tech, Bildung, Finanzen und Infrastruktur zu einem Cybersicherheitsgipfel ins Weiße Haus geladen und verpflichtet, die Sicherheit kritischer Infrastrukturen zu stärken. Ergebnis: Die nationalen Behörden werden mit Unternehmen wie Apple, Amazon, Google, IBM und Microsoft zusammenarbeiten, um neue Standards für die Sicherung von Technologie und Open-Source-Software zu schaffen.
Apple will demnach auf die Masseneinführung von Multi-Faktor-Authentifizierungen, Schwachstellenbehebungen, Ereignisprotokollierung und Sicherheitsschulungen drängen. Google wiederum hat zugesagt, in den kommenden fünf Jahren 10 Milliarden US-Dollar zu investieren, um Sicherheitsprogramme auszubauen und die Risiken der Software-Lieferkette zu sichern. Microsoft will im selben Zeitraum sogar 20 Milliarden US-Dollar investieren, um seine Sicherheitslösungen und -initiativen zu verbessern. Als Sofortmaßnahme sollen 150 Millionen US-Dollar für Bundes-, Landes- und Kommunalregierungen zur Verfügung gestellt werden, um deren Schutz gegen Cyberkriminalität zu verbessern.
Beim Thema Sicherheitsschulungen kommen Amazon und IBM ins Spiel. Der Versandhandelsriese will die bisher nur von seinen eigenen Mitarbeitern genutzten Sicherheitsschulungen öffentlich kostenlos zur Verfügung stellen und seinen Cloud-Kunden ein kostenloses Multi-Faktor-Authentifizierungsgerät zur Verfügung stellen, um deren Konten zu sichern. IBM wird nach Angaben des Weißen Hauses in den kommenden drei Jahren 150.000 Menschen in Cybersicherheit ausbilden.
Aber was kann ich tun?
Profis wie der IT-Sicherheitsdienstleister Kaspersky geben Betreibern von Gesundheitseinrichtungen schon jetzt Tipps für wirksame Präventivmaßnahmen, die ebenfalls zeigen, wie wichtig entsprechend sensibilisiertes und geschultes Personal ist:
Machen Sie alle Mitarbeiter mit den Grundlagen von Sicherheitsbewusstsein vertraut – nicht nur Administratoren, sondern auch Ärzte und alle Personen, die während ihrer Arbeit mit Technologie in Berührung kommen. Das Bewusstsein für Cybersicherheit sollte genauso zur Routine gehören wie das Tragen eines Mund-Nasen-Schutzes bei der Durchführung einer OP.
Schützen Sie alle Geräte – nicht nur die Computer. Es ist erforderlich alles zu schützen, was Zugang zum Unternehmensnetzwerk und Internet hat, wie beispielsweise Unternehmenshandys, Tablets, Terminals, Kiosksysteme, medizinische Geräte und andere.
Halten Sie die Geräte immer auf dem neuesten Stand. Auch diese Empfehlung bezieht sich nicht allein auf die Computer, sondern auf alle Geräte (etwa Bildgebungsgeräte), die ein eigenes Betriebssystem und damit potenzielle Schwachstellen haben. Im Idealfall sollte die Sicherheit einen hohen Stellenwert bei der Auswahl der Geräte haben – mindestens sollte vor dem Kauf nachgefragt werden, ob der Hersteller regelmäßig Updates für die Software des Geräts veröffentlicht.
Installieren Sie Sicherheitslösungen für effektiven E-Mail-Schutz. Es ist von ausschlagender Bedeutung, die elektronische Kommunikation zu schützen – medizinische Organisationen erhalten in der Regel viele E-Mails, einschließlich Spam-Mails, die abgesehen von harmlosem Datenmüll auch gefährliche Anhänge oder Links enthalten können.
Bei vielen modernen Ransomware-Angriffen verwenden Cyberkriminelle ihre Malware nicht nach dem Gießkannenprinzip, sondern suchen gezielt nach Möglichkeiten, um sorgfältig ausgewählte Computer oder Server des Opfers zu infizieren. Für diese Art von Angriffen wird in vielen Fällen Social Engineering angewendet. Nach einer Netzwerkinfiltration wird häufig zuerst die Infrastruktur bis ins kleinste Detail ausgekundschaftet, um nach den wertvollsten Daten zu suchen. Um solche Angriffe zu entlarven, reicht der Schutz von IT-Endgeräten oft nicht aus. Darum ist es unter Umständen ratsam, einen sogenannten MDR-Service (Managed Detection and Response) in Anspruch zu nehmen, der eine Fernüberwachung Ihrer Infrastruktur ermöglicht.
Hacker können Medikationsmengen manipulieren
Der Sicherheitsdienstleister McAfee hat im August 2021 darauf hingewiesen, dass Angreifer aus der Ferne ohne Wissen von Krankenschwestern und Ärzten die Dosierungen von Medikamenten in Infusionspumpen des deutschen Herstellers B. Braun ändern könnten. Wie die Experten zeigten, prüft das Betriebssystem der Pumpen nicht die Herkunft eingehender Befehle. Außerdem kommen Protokolle zum Einsatz, die weder Verschlüsselung noch Authentifizierung kennen. Böswillige Akteure könnten mehrere Schwachstellen ausnutzen, um zum Beispiel die Medikamentendosierung drastisch zu erhöhen, warnte McAfee. Medizinische Einrichtungen sollten diese Bedrohungen „aktiv und mit besonderer Aufmerksamkeit überwachen, bis umfassende Patches erstellt und von den B.-Braun-Kunden effektiv eingesetzt werden“, heißt es in der Studie.
Die Sicherheitsexperten hatten den Hersteller vorab bereits im Januar 2021 informiert. Dass das aufgezeigte Sicherheitsdefizit kein Einzelfall ist, offenbart eine im Dezember 2020 veröffentlichte Cyber-Sicherheitsüberprüfung von vernetzten Medizinprodukten des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Behörde entdeckte mehr als 150 Schwachstellen in verschiedenen Geräten oder deren IT-Infrastruktur. Insgesamt zeige die große Anzahl von Schwachstellen viel Spielraum für Verbesserungen, merkte die Behörde an. Und: Der Umgang mit aufgedeckten Sicherheitslücken variiere erheblich zwischen den Herstellern. Darum seien ein international gültiger Offenlegungsrahmen sowie Regeln wünschenswert, die vereinbart und eingehalten werden.