Einrichtungen im Gesundheitswesen bieten diverse Schwachstellen und dadurch Angriffsflächen für Cyberkriminelle. Einige Vorfälle in den vergangenen Monaten belegen die Dringlichkeit, sich besser vor Cyberangriffen zu schützen.
Auch in der Schweiz wurden ab Ende letzten Jahres mehrere Cyberangriffe auf Spitäler registriert. Davon betroffen war das Krankenhaus in Wetzikon, das Spital Limmattal und das Zentrallabor Zürich. Hinzu waren drei weitere Institutionen und auch ein Altersheim betroffen. Obwohl es bei den betroffenen Einrichtungen zu keiner Verschlüsselung oder dem Verlust von Patientendaten kam, waren die Spitäler Limmattal und Wetzikon auch Monate später damit beschäftigt, ihre Geräte zu kontrollieren und von der Schadsoftware zu befreien.
Die Sicherheitsrisiken im Gesundheitswesen
Einrichtungen im Gesundheitswesen bieten diverse potenzielle Angriffsflächen für Cyberkriminelle. Viele medizinische Geräte, die den Patienten untersuchen und überwachen, sind mit dem Internet verbunden. Diese Gruppe von Internet of Things-(IoT)-
Geräten bringt eine Reihe von Sicherheitsrisiken mit sich, insbesondere wenn es um
persönlich identifizierbare Informationen (PII) geht. So läuft beispielsweise eine Vielzahl
der Geräte auf unterschiedlichen Betriebssystemen und benötigt spezifische Sicherheitseinstellungen, um sie erfolgreich von der Aussenwelt abzuschirmen.
Medizinische Systeme kommen zudem vorwiegend von verschiedenen Anbietern, und in jedem Krankenhaus finden sich viele unterschiedliche Typen. Jedes hat sein eigenes Ziel, sein eigenes Benutzerhandbuch und sein eigenes Aktualisierungssystem. Für viele Altsysteme gilt die verheerende Faustregel, dass nichts umgestellt wird, solange es funktioniert. Das bedeutet, dass Software keine Patches oder Updates mehr erhält, selbst wenn es bekannte Probleme gibt. Die Angst vor einem Systemausfall wiegt schwerer als die Dringlichkeit, die neuesten Patches zu installieren. Und genau das ist ein Fehler. Ferner besteht ein Mangel an angemessenen Backups. Denn auch wenn ein Problem gelöst ist, dauert es viel zu lange, bis ein angegriffenes Ziel wieder einsatzbereit ist. Gesundheitseinrichtungen verfügen darüber hinaus häufig nicht über einen Sicherungsplan
– und vielleicht sogar Sicherungsgeräte und Server für die wichtigsten Funktionen –, um diese im Katastrophenfall am Laufen halten zu können. Zusätzliche Herausforderungen wie die Covid-19-Pandemie, Brände oder andere Naturkatastrophen lassen Gesundheitseinrichtungen wenig Zeit für Sicherheitsmassnahmen. Die Notwendigkeit von Aktualisierungen, Backups oder allgemeinen Überlegungen zur Cybersicherheit werden leider oft in den Hintergrund gedrängt.
Prioritäten setzen
Es ist sicherlich schwierig, im Gesundheitssystem Prioritäten zu diskutieren. Pflegepersonal und Ärzte priorisieren jeden Tag, und zwar selbstverständlich zugunsten der dringendsten und wichtigsten Patientenbedürfnisse. Das gilt gerade in Zeiten einer Pandemie. Doch auch in der IT-Administration muss priorisiert werden. Gesundheitseinrichtungen sollten festlegen, welche Systeme sofortige Aufmerksamkeit erfordern und welche im Ernstfall
weniger wichtig sind. Gerade in Zeiten von stark steigenden Covid-19-Fällen könnten Cyberangriffe auf Gesundheitseinrichtungen verheerende Folgen haben, da beispielsweise
auch die für stark erkrankte Covid-Patienten überlebenswichtigen Beatmungsgeräte oft mit dem Internet verbunden sind.
Ransomware und die Kosten
Ransomware-Angriffe auf Gesundheitseinrichtungen sind ein weltweites Problem. In den USA waren die Universal-Health-Service-(USH)-Krankenhäuser von Ryuk- (Verschlüsselungssoftware)-Lösegeldforderungen betroffen und das FBI warnte erst kürzlich vor einer erneuten Welle an Cyberangriffen auf US-amerikanische Krankenhäuser.
Dabei darf nicht vergessen werden, welche enormen Kosten ein Ransomware-Angriff verursachen kann. Man neigt dazu, nur den tatsächlich geforderten Lösegeldbetrag zu betrachten, doch die zusätzlichen anfallenden Kosten sind oft viel höher. Es braucht viele Arbeitsstunden, um alle betroffenen Systeme in einer Organisation wiederherzustellen und zu einem voll funktionsfähigen Zustand zurückzukehren. In einer Organisation, die
entsprechend vorbereitet ist, wird die Zeit zur Wiederherstellung geringer sein. Eine wichtige Aufgabe ist es, nach einem Angriff herauszufinden, wie er passiert ist und wie die entsprechende Sicherheitslücke behoben werden kann. Zudem ist eine gründliche Untersuchung erforderlich, um zu prüfen, ob der Angreifer Hintertüren für weitere Cyberangriffe hinterlassen hat. Die Spitäler Limmattal und Wetzikon gaben an, dass der Angriff für die Abwehr und neue IT-Sicherheitsmassnahmen bisher rund 300’000 Franken gekostet hat. Eine zusätzliche Herausforderung stellen die Medizingeräte mit ihren unterschiedlichen, oft nicht auf dem neuesten Stand befindlichen Softwares dar.
Ein Notfallplan ist Elementar
Vollkommene Cybersicherheit wird es auch im Gesundheitsbereich nicht geben. Es geht darum, vorausschauend zu denken und entsprechende Pläne für den Umgang mit einem Sicherheitsproblem vorzubereiten. Ganz gleich, ob es sich um eine Sicherheitsverletzung oder einen Cyberangriff handelt, der wichtige Teile der Sicherheitseinrichtungen lahmlegt: Nötig ist ein Plan. Wenn allen beteiligten Akteuren bekannt ist, was zu tun ist und in welcher Reihenfolge, kann viel Zeit bei der Notfallwiederherstellung eingespart werden. Folgende (präventive) Massnahmen helfen beim Schutz von Sicherheitseinrichtungen: zum
einen die Wiederherstellungspläne für verschiedene Szenarien wie Datenschutzverletzungen oder Ransomware-Angriffe vorzubereiten. Die elementaren Datei-
Backups, die auf dem aktuellsten Stand und leicht zu implementieren sind, sollten jederzeit zur Hand sein. Hinzu kommt, Backup-Systeme einzurichten, die schnell übernehmen können, wenn kritische Systeme lahmgelegt werden. Und zu guter Letzt sollten die relativ einfach umzusetzenden präventiven Massnahmen auf unterschiedlichen Ebenen eingeführt werden. Dazu gehören beispielsweise Schulungen für die Mitarbeiter, um sie mit den konkreten Schritten der Notfallpläne vertraut zu machen. So können besonders kritische Infrastrukturen, wie Krankenhäuser, auf künftige Cyberattacken besser vorbereitet sein und entsprechend reagieren – um Schäden für Patienten künftig zu verhindern.