Wird der Klinikrechner zum Angriffsziel von Cyberkriminellen, stehen Menschenleben auf dem Spiel. Denn auch der Gesundheitssektor wird zunehmend digitalisiert: Patientendaten werden nicht mehr in Papierakten verwahrt, sondern auf Computern gespeichert. Daten von Herzschrittmachern und Insulinpumpen werden über WLAN auf Smartphones übertragen. Etliche medizinische Geräte sind mit dem Internet verbunden. Und durch die zunehmende Vernetzung entstehen immer mehr Einfallstore für Cyberangriffe, die tödliche Folgen haben können. Sind zum Beispiel die Patientendaten durch einen IT-Ausfall für Schwestern und Ärzte nicht mehr zugänglich, könnten unter anderem Medikamente falsch verabreicht werden. Welche Dosis von welchem Medikament bekommt Patient X zu welcher Zeit? Besonders bei Herz- oder Diabetesmedikamenten kann eine Überdosierung lebensgefährlich sein. Und auch im OP-Saal besteht eine immense Gefahr: schon eine minimale Manipulation eines medizinischen Gerätes kann bei einer Operation am Herzen oder Gehirn eines Patienten nicht nur zu irreversiblen Schäden, sondern auch zum Tod führen.

Vernetzte Maschinen in der Medizin – eine Gefahr?

Im Medizinsektor spielen die Digitalisierung und die Vernetzung eine zunehmend große Rolle – ob im Operationssaal, im Labor oder in der Pflege. Der Medizinroboter DaVinci wird zum Beispiel bereits in vielen US-Kliniken und deutschen Krankenhäusern für die minimal-invasive Chirurgie eingesetzt. Von einem Kontrollpult aus steuert der Chirurg die Instrumente, DaVincis Roboterarme setzen die Handbewegungen um.

Roboter, die Menschen im Labor beim Umgang mit potenziell gefährlichen Stoffen unterstützen und Nanoroboter, die durch Blutgefäße schwimmen und pharmazeutische Wirkstoffe zu dem Punkt im Körper bringen, an dem sie benötigt werden. Die Zukunft der Medizintechnik ist vielversprechend, aber einer stetigen Gefahr ausgesetzt: Denn jedes IT-System ist bei unzureichender Sicherheit angreifbar und stellt ein potenzielles Ziel für Cyberkriminelle dar.

Bereits 2015 fanden Sicherheitsforscher knapp 70.000 medizinische Geräte mit Sicherheitslücken, unter anderem aus der Nuklearmedizin, Infusionsgeräte, Anästhesie-Equipment und Geräte für bildgebende Verfahren. Die Lücken an medizinischen Geräten bleiben auch bei Cyberkriminellen nicht unentdeckt. Erst im Juli dieses Jahres wurde das Deutsche Rote Kreuz im Saarland und in Rheinland-Pfalz Opfer einer Ransomware-Attacke. Die Erpressersoftware verschlüsselte Datenbanken und Server und legte so das gesamte Netzwerk des DRK-Klinikverbundes lahm. Aus Sicherheitsgründen wurden die Server vom Netz genommen. Die Versorgung der Patienten sei aber zu jeder Zeit gewährleistet gewesen, Patientenaufnahmen und ärztliche Befunde wurden vorerst mit Stift und Papier durchgeführt. Nach einigen Tagen wurden die Server des DRKs wieder in Betrieb genommen. Die Daten konnten aus einem Backup wiederhergestellt werden.

Im darauffolgendem Jahr geriet das Klinikum Neuss ins Visier von Hackern. Ein Mitarbeiter öffnete den infizierten Anhang einer schädlichen E-Mail und lud so einen Erpressungstrojaner auf das interne IT-System herunter, welcher sich auf sämtlichen Rechnern des Krankenhauses ausbreitete. Binnen kürzester Zeit mussten die Mitarbeiter des eigentlich hochdigitalisierten Krankenhauses in Neuss wieder auf die analoge Dokumentationsweise umsteigen.

Große Sicherheitslücken in Gesundheitseinrichtungen

Die Sicherheitsmaßnahmen in Krankenhäusern und anderen Gesundheitseinrichtungen sind im Gegensatz zu denen großer Unternehmen weniger ausgereift. Der Klinikalltag ist hektisch, Computer werden beim Verlassen des Arbeitsplatzes nicht gesperrt, für Software-Updates ist kaum Zeit. Veraltete Geräte und Systeme werden untereinander vernetzt und mit dem Internet verbunden – Sicherheitslücken entstehen an etlichen Stellen. Der Angriff in Neuss zeigt, dass das Haupteinfallstor von Cyberattacken auch hier primär die E-Mail ist. Fehlende Sensibilisierung der Mitarbeiter gibt Angriffen mit schadhaften Anhängen in E-Mails die Möglichkeit, Daten zu verschlüsseln, kopieren oder zu stehlen. Für eine Entschlüsselung fordern die Hacker ein Lösegeld, meist in Form von Kryptowährungen wie Bitcoins. Bei dem Fall des Neusser Krankenhauses konnten die Daten dank eines Backups wiederhergestellt werden und es wurde kein Lösegeld gezahlt, doch die Systeme mussten trotzdem heruntergefahren werden. Trotz des Backups hat der Cyberangriff das Krankenhaus rund eine Million Euro gekostet.

Wie können sich Krankenhäuser schützen?

Cyberangriffe sind nicht mehr nur ein Problem von Großkonzernen in der Industrie, sondern sind laut dem Global Risk Report 2019 des Weltwirtschaftsforums eine der weltweit größten Bedrohungen. In Anbetracht der globalen Gefahren durch Cyberangriffe, vor allem bei Attacken auf Krankenhäuser und andere Kritische Infrastrukturen besteht ein hoher Handlungsbedarf zur Sicherung von IT-Systemen.

Das Problem: Cyberkriminelle wählen immer perfidere Vorgehensweisen, um Malware und andere Schadprogramme einzuschleusen. Ein einfaches Anti-Viren-Programm reicht nicht mehr aus, um die gesamte Unternehmens-IT zu schützen. Tiefgehende Filtersysteme mit ausgeklügelten Erkennungsmechanismen, mit denen schadhafte E-Mails frühzeitig erkannt werden, bilden die Grundlage für einen vollwertigen Schutz.

Um die Erfolgsquote von Social Engineering Angriffen wie CEO-Fraud oder Phishing zu verringern, können Krankenhaus-Mitarbeiter in Schulungen zum Thema IT-Sicherheit mehr über die Merkmale schädlicher E-Mails lernen – das verringert das Risiko einer Verbreitung von Malware durch Mitarbeiter und darauffolgende Schäden.

Doch die finanziellen Mittel für die Sicherung der IT-Systeme sind begrenzt. Und auch die aktuelle Gesetzeslage macht es für Krankenhäuser schwierig, Medizingeräte abzusichern, denn diese dürfen, nachdem sie einmal zertifiziert wurden, nicht mehr verändert werden – auch nicht mit Softwareupdates. Letztendlich gilt: Die Digitalisierung bietet bei nicht bedachten Sicherheitslücken mehr Angriffsvektoren für Cyberkriminelle. Zwar gab es noch keinen gezielten Cyberangriff auf ein Krankenhaus, der einem Patienten schadete, doch es müssen geeignete und wirksame Vorkehrungen getroffen werden, um dies vorsorglich zu vermeiden. Der Sicherheit der IT-Infrastruktur in Krankenhäusern muss ein höherer Stellenwert zugeschrieben werden – denn schlussendlich kann jeder Cyberangriff auf eine Einrichtung des Gesundheitssektors, nicht nur finanzielle, sondern auch gesundheitliche Folgen haben.

Quellen