Hackerangriffe auf Krankenhäuser finden inzwischen beinahe alltäglich statt. Das hängt auch damit zusammen, dass Cyberkriminelle vielerorts „einfach durch den Haupteingang“ gehen können, warnt im mednic-Interview der Datensicherheitsberater und Produktmanager Stefan Schachinger.
mednic: Krankenhäuser und Gesundheitszentren werden immer häufiger Opfer von Cyberangriffen. Was sind nach Ihrer Einschätzung die Gründe dafür?
Schachinger: Es scheint sich einfach auszuzahlen. Cyberattacken mit Ransomware sind ein Geschäftsmodell, dabei geht es um Geld, nicht um persönliche Befindlichkeiten der Angreifer. Die Angriffe, die wir im letzten Jahr gesehen haben, funktionieren aber anders als vor einigen Jahren. Es wird nicht mehr Schadsoftware mittels einer plumpen E-Mail-Kampagne verteilt, sondern die Opfer werden gezielt ausgewählt. Die Kriterien dafür sind vor allem die finanziellen Aussichten, das heißt, sind ausreichend Mittel vorhanden und wie groß ist der Druck auf diese Organisation oder wie wahrscheinlich ist es, dass bezahlt wird. In Kombination mit eventuell vorhandenen technischen Schwachstellen wird ein Opfer ausgewählt. Auf diese Art und Weise soll mit möglichst geringem Aufwand eine hohe Lösegeldsumme erbeutet werden. Wir nehmen sogar an, dass kriminelle Organisationen eine Liste möglicher Opfer pflegen, und bereits bekannt ist, wer als nächstes an der Reihe ist. Dass dabei vor dem Gesundheitswesen nicht Halt gemacht wird, überrascht wenig. Die öffentliche Wahrnehmung ist bei Vorfällen, die eine Bedrohung oder einen Nachteil für die Bevölkerung darstellen, wesentlich größer, und das steigert den Druck, den Betrieb schnell wieder aufzunehmen.
mednic: Wo sehen Sie derzeit die größten Probleme, wenn es um das Thema Sicherheit im Gesundheitswesen geht?
Schachinger: Im Gesundheitswesen finden wir sehr heterogene Umgebungen. Natürlich gibt es Unterschiede je nach Art der Einrichtung, aber in vielen Fällen gibt es kaum physische und logische Trennungen zwischen Verwaltung, IT-Geräten für die medizinische Verwendung, etwa PCs auf den Stationen im Krankenhaus, und medizinischem Equipment wie bildgebenden Geräten. Um eine hohe Summe zu erpressen, reicht es nicht aus, nur einzelne PCs oder Server zu infizieren. Das bedeutet, dass Angreifer nach dem Eindringen ins Netzwerk versuchen müssen, sich auszubreiten und eine möglichst große Anzahl von Geräten unter ihre Kontrolle zu bringen. Um dem entgegenzuwirken, sollte man natürlich vorrangig das Eindringen verhindern, aber trotzdem immer annehmen, dass ein Angreifer oder eine Schadsoftware einen Weg ins interne Netzwerk finden wird. Dafür gibt es vielfältige Möglichkeiten. Gerade im Gesundheitswesen ist die physische Security oft sehr gering. In einem Krankenhaus kann der Angreifer einfach durch den Haupteingang gehen. Essenziell ist dann, die Ausbreitung bestmöglich einzudämmen. Generell ist Security immer als kontinuierlicher Prozess zu sehen, der eine Vielzahl von technischen und organisatorischen Maßnahmen beinhaltet.
mednic: Stichwort IoT: Was gilt es bei der Einbindung medizinischer Geräte in eine umfassende Cyberabwehr-Strategie zu beachten?
Schachinger: Regelmäßige Patches und Updates sind essenziell, um Angreifern das Eindringen in das Unternehmen und die interne Ausbreitung zu erschweren. Bei IT-Systemen sollte immer darauf geachtet werden, bekannte Schwachstellen möglichst zeitnah zu patchen, um Exploits vorzubeugen. In der Medizintechnik und auch in anderen Betriebstechniknetzwerken gibt es aber Geräte, bei denen man nicht einfach selbst Hand anlegen darf. Bei medizinischen Geräten sollte man eng mit dem Hersteller zusammenarbeiten, um sicherzustellen, dass Updates ordnungsgemäß funktionieren und das Gerät auch nach dem Update uneingeschränkt eingesetzt werden kann. Versuche, eigenmächtig Patches zu installieren, können ernsthafte Probleme nach sich ziehen. Der Nachteil ist, dass es dabei oft sehr viel länger dauert, bis kritische Schwachstellen behoben werden können. Dazu kommt, dass medizinische Geräte oft einen deutlich längeren Produktlebenszyklus haben, als die darin verwendeten Softwarekomponenten. Bei älteren Geräten sind deswegen oft keine Sicherheitsupdates mehr verfügbar. Die Lösung dafür lautet Mikrosegmentierung. Geräte, die Verwundbarkeiten aufweisen, die nicht behoben werden können, müssen durch ein externes Gerät bestmöglich vom restlichen Netzwerk abgeschottet werden. Dabei wird nur notwendiger Netzwerkverkehr zugelassen, und dieser möglichst mit unterschiedlichen Sicherheitstechnologien inspiziert.
“Ich würde Awareness-Trainings nahelegen und zu einer gesunden Skepsis raten.”
Stefan Schachinger
mednic: Was sind die größten Gefahren in Bezug auf die Sicherheit, mit denen sich Krankenhäuser und andere Einrichtungen im Gesundheitswesen konfrontiert sehen?
Schachinger: Eine erfolgreiche Attacke beginnt oft mit Social Engineering. Moderne Angriffe funktionieren vielfach so, dass erst geheime Daten und Informationen von Benutzern erbeutet werden, damit der Angriff an anderer Stelle fortgesetzt wird und der Benutzer selbst oft gar nichts davon merkt. Das könnte zum Beispiel bedeuten, dass durch eine professionell gestaltete Phishing-E-Mail Benutzerdaten gestohlen werden, oder eine Software im Netzwerk deponiert werden kann, der Benutzer aber idealerweise nichts davon merkt und die Angreifer in Ruhe weitermachen können. Als Herausforderung dabei sehe ich vor allem die Benutzer-Awareness. Gerade im Gesundheitswesen ist es die primäre Aufgabe der Mitarbeiterinnen und Mitarbeiter, anderen zu helfen. Diese immanente Hilfsbereitschaft kann im Falle eines Cyberangriffs zur Achilles-Ferse werden. Daher würde ich an dieser Stelle Awareness-Trainings nahelegen und zu einer gesunden Skepsis raten, wenngleich das Patientenwohl dadurch keine Nachteile erleiden soll.
mednic: Welche Unterschiede sehen Sie diesbezüglich in Deutschland verglichen mit anderen Ländern?
Schachinger: Generell lässt sich feststellen, dass Cyberkriminelle vor Landesgrenzen keinen Halt machen. So hat beispielsweise kürzlich Irlands öffentlicher Gesundheitsdienst wegen eines massiven Angriffs alle IT-Systeme herunterfahren müssen. In Deutschland ist im Oktober 2020 das Krankenhauszukunftsgesetz (KHZG) in Kraft getreten, das auf eine Digitalisierung von Krankenhäusern und Kliniken abzielt. Eine wichtige Komponente des Gesetzes ist die Verbesserung der Cybersecurity, in die mindestens 15 Prozent der Fördermittel investiert werden müssen. Der Gesetzgeber reagiert mit der Maßnahme darauf, dass Krankenhäuser gerade in der Pandemie verstärkt Cyberattacken ausgesetzt sind.
mednic: Bitte nennen Sie uns fünf Sicherheitsregeln, die Krankenhäuser und ihre Mitarbeitenden Ihrer Erfahrung nach unbedingt befolgen sollten.
- Der am weitesten verbreitete Angriffsvektor ist nach wie vor E-Mail. Daher halte ich es für unumgänglich, eine moderne E-Mail Security Lösung einzusetzen, die die Benutzer vor Angriffsversuchen schützt und Phishing E-Mails gar nicht durchlässt.
- In vielen Fällen ist es trotzdem der Benutzer, der einen Angriffsversuch erkennt oder eben darauf hereinfällt. Technisch versierte und zielgerichtete Angriffe können wirklich schwer zu erkennen sein. Die Benutzer müssen auf eine solche Situation vorbereitet werden, und dürfen Zweifelsfall nicht davor zurückscheuen, lieber einmal nachzufragen als auf den Link klicken.
- Bei Hacking- Angriffen zeigen die Statistiken, dass mit Abstand Webapplikationen am häufigsten betroffen sind. Öffentliche Applikationen, wie etwa Webseiten oder Portale müssen entsprechend abgesichert werden. Applikationen, die nur für einen eingeschränkten Benutzerkreis gedacht sind, sollten unbedingt hinter einer sicheren Remote Access Lösung verborgen werden.
- Zugriffe von außen, etwa von Mitarbeitern im Homeoffice, oder Fernwartungszugriffe bei medizinischen Geräten, bedürfen spezieller Absicherung. Multifaktor-Authentifizierung halte ich für besonders wichtig, da damit gestohlene Zugangsdaten von Benutzern wertlos werden. Für Fernwartung sollten die Zugriffe so weit wie möglich eingeschränkt werden, idealerweise werden nur einzelne Applikationen erlaubt, und die Zugriffe sollten temporär begrenzt werden. Hinsichtlich der Vermeidung einer internen Ausbreitung, halte ich Netzwerksegmentierung sowie Mikrosegmentierung in Medizintechniknetzen für sehr wichtig.
- Als letztes sollte man sich die Frage stellen, was passiert, wenn es passiert? Sollte man mit einem erfolgreichen Ransomware-Angriff konfrontiert sein, muss schnell gehandelt werden, um noch größere Schäden zu vermeiden. Organisationen sollten einen Notfallplan erarbeiten, der festlegt, was in einer solchen Situation zu tun ist. Die Erfahrung der letzten Monate zeigt auch, dass oft außerhalb der normalen Arbeitszeiten – etwa an Feiertagen oder in der Nacht – zugeschlagen wird. Zuständigkeiten und Verfügbarkeiten müssen auch dann klar geregelt sein. Bei der Wiederherstellung kann sich eine Backup-Lösung, welche natürlich nicht anfällig für Ransomware sein darf, als äußerst hilfreich herausstellen. Selbst wenn sich eine Organisation dazu entschließt zu bezahlen, muss hinterher aufgeräumt werden, um nicht in wenigen Wochen wieder in der gleichen Situation zu sein.
mednic: Herr Schachinger, wir danken ihnen für das Gespräch!