Der kürzlich erfolgte Hackerangriff auf die Uniklinik Frankfurt machte noch einmal schmerzlich deutlich, wie massiv die Attacken der Cyberkriminellen auf die Gesellschaft sind. Welche Auswirkungen diese für die kritische Infrastruktur des Landes haben kann, erläutert Marc Fliehe, Cybersecurity-Spezialist beim TÜV-Verband, am Beispiel der verwundbaren Krankenhäuser.
Welche spezifischen Herausforderungen und Risiken gibt es in Bezug auf die IT-Sicherheit in Krankenhäusern im Vergleich zu anderen Branchen?
Anders als in einigen anderen Branchen kann ein Hackerangriff auf ein Krankenhaus für hilfsbedürftige Menschen unmittelbar lebensbedrohlich werden, wenn bestimmte Leistungen aufgrund technischer Probleme nicht sofort erbracht werden können. Krankenhäuser sind aufgrund ihres Renommees und ihrer Finanzkraft beliebte Angriffsziele für Hacker. Es gibt besonders viele sensible Daten (Patientendaten, Forschungsdaten) abzugreifen und gleichzeitig verfügen Krankenhäuser oft über sehr heterogene und große technische Infrastrukturen.
Innerhalb dieser werden verschiedene vernetzte Geräte und Systeme eingesetzt, die die Komplexität der Infrastruktur signifikant erhöhen. Einige dieser Geräte können nicht beliebig abgesichert und aktualisiert werden, da sie zum Beispiel für einen bestimmten Softwarestand zugelassen sind und andernfalls ihre Zertifizierung verlieren könnten. Gleichzeitig muss eine Vielzahl von Daten ausgetauscht werden: sei es zwischen Lieferanten und Krankenhaus, zwischen Abteilungen, Standorten, externen Ärzten, Dienstleistern oder anderen Behörden. Die Infrastruktur muss daher sowohl sicher als auch offen im Sinne der Datenschnittstellen sein.
Diese Infrastruktur hat auch Einfluss auf die Reputation des Krankenhauses.
Das Vertrauen der Patienten ist für Krankenhäuser von großer Bedeutung – dafür braucht es eine öffentliche Reputation. Hier wird deutlich, dass jedes Krankenhaus nicht nur mit seinen Patienten, sondern auch mit den Daten sorgfältig und verantwortungsvoll umgehen muss. Nicht nur Patienten erwarten das, auch Arbeitnehmern fällt es leichter, sich mit einem Arbeitgeber zu identifizieren, der für seine digitale Infrastruktur Verantwortung übernimmt. Kurz gesagt: Hohe und anwenderfreundliche IT-Sicherheit ist auch ein Merkmal attraktiver Arbeitgeber im Gesundheitswesen.
Welche aktuellen Entwicklungen in der Cybersecurity sind besonders relevant für Krankenhäuser und wie können sie sich am besten darauf vorbereiten?
Prävention reicht nicht aus – und die Frage ist nicht mehr „ob“, sondern nur wann und in welchem Ausmaß eine Klinik erfolgreich angegriffen wird. Daher ist es wichtig, auch die anderen Bereiche des Cybersecurity-Zyklus in den Blick zu nehmen.
Die „Identifikation“, bei der sich die Verantwortlichen fragen sollten: Habe ich alles erfasst, was schützenswert ist?
- Die „Detektion“: Habe ich genug Aufwand betrieben, um Angreifer rechtzeitig zu erkennen?
- Die „Respond“-Phase, d.h. wie schnell gelingt es mir, den Angriff zu stoppen oder einzudämmen? Wie gut gelingt es mir, meine geschäftskritischen Prozesse aufrechtzuerhalten (BCM)?
- Und der Punkt „Recover“, bei dem geklärt werden muss, wie schnell alle betroffenen Systeme und Prozesse wiederhergestellt werden können.
Vorbereitung ist und bleibt das A und O: das Thema Cybersecurity muss im Krankenhaus proaktiv gemanagt werden. Rechtlich relevant sind vor allem § 8a BSI-Gesetz „Sicherheit in der Informationstechnik Kritischer Infrastrukturen“, die EU-Datenschutz-Grundverordnung sowie die europäische Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau, NIS2-RL.
Und welche Zertifizierungen und Standards sind sinnvoll für Krankenhäuser, um eine robuste IT-Sicherheitsinfrastruktur zu gewährleisten?
Es gibt Standards, die bei der Umsetzung der rechtlichen Anforderungen helfen. Auch die Einführung und die Zertifizierung eines ISMS (Informationssicherheits-Managementsystem) nach ISO/IEC 27001 kann dabei helfen, die Resilienz eines Krankenhauses zu erhöhen. Zertifizierungen durch unabhängige Dritte, wie zum Beispiel die TÜV-Unternehmen, liefern auch gegenüber Partnern, Lieferanten und Kunden einen Nachweis, dass das Thema Informationssicherheit ernst genommen wird.
Inwiefern spielt die Schulung von Mitarbeitern eine Rolle bei der Prävention von Cyberangriffen in Krankenhäusern?
Die Mitarbeiter selbst wissen oft sehr genau, wo die Informationssicherheit noch verbessert werden kann. Dieses Wissen gilt es zu nutzen. Gleichzeitig ist es wichtig, die Identifikation jedes einzelnen Mitarbeiters mit dem Thema Cybersicherheit zu fördern. Jeder Mitarbeiter, der Zugang zu einem IT-System hat, muss sich verantwortlich fühlen – diese Verantwortung kann nicht nur an einzelne Mitarbeiter beziehungsweise eine einzelne Abteilung delegiert werden. Besonders wichtig ist es, das Thema immer wieder auf die Führungsebene zu bringen, um dort das notwendige Bewusstsein zu schaffen.
Die IT-Infrastruktur in Krankenhäusern war immer schon ein anspruchsvolles Thema. Sind Krankenhäuser noch in der Lage, mit eigenen Bordmitteln die Herausforderungen zu meistern.
Im Idealfall sind natürlich alle erforderlichen Cybersicherheitsexperten im Unternehmen vorhanden und verfügen über ausreichende Ressourcen, um im Schadensfall eingreifen zu können. Dieses Szenario entspricht jedoch nicht der Realität. Durch eine clevere Vernetzung und die richtigen Partner lassen sich vorab definierte vertragliche Leistungen auch extern einkaufen, falls die eigenen Ressourcen nicht ausreichen oder es am Wochenende zu einem Angriff kommt.
Externe Partner bringen oft eine gewisse Erfahrung im Umgang mit Cyber-Krisen mit, die wertvoll sein kann. Auch die branchenübergreifende Erfahrung sowie der „Blick von außen“ kann für Krankenhäuser wertvoll sein. Es ist wichtig, diese Partnerschaften rechtzeitig einzugehen – und nicht erst, wenn das Netzwerk bereits abgeschaltet ist.
Welches sind denn derzeit die am häufigsten anzutreffenden Cyberangriffe auf Krankenhäuser?
Die meisten gezielten Angriffe gehen von Angreifern aus dem Umfeld der organisierten Kriminalität aus und sind finanziell motiviert. Aktuell „beliebte“ Angriffsmethoden für Krankenhäuser sind Ransomware – Angriffe, bei denen Daten abgegriffen und dann verschlüsselt werden und somit für das Opfer nicht mehr nutzbar sind. Die Entschlüsselung wird gegen Zahlung eines Lösegelds angeboten. Weigert sich das Opfer zu zahlen, wird es mit der Veröffentlichung der erbeuteten Daten erpresst.
Ebenso können auch klassische Phishing-Angriffe zu Einfallstoren werden. Da auch Angreifer KI-Unterstützung nutzen, sind diese immer schwieriger zu erkennen und oft sehr genau auf das Arbeitsumfeld einzelner Mitarbeiter oder der Belegschaft abgestimmt. Eine weitere Möglichkeit sind sogenannte Supply-Chain-Angriffe auf Anbieter oder Lieferanten, also auf die etablierten Lieferketten eines Krankenhauses. Damit können kleinere Dienstleister zum Einfallstor in das Krankenhaus werden.
Und welche Maßnahmen sind im Falle eines Cyberangriffs zu ergreifen?
Die Maßnahmen lassen sich nicht pauschal benennen, sondern müssen immer auf die Infrastruktur, die Zeit, das Ziel, den Angriff und viele weitere Faktoren abgestimmt sein. Ganz grundsätzlich können die Punkte des BSI-Maßnahmenkatalogs zum Notfallmanagement – Fokus IT-Notfälle als Impuls dienen.
Mögliche Konsequenzen eines Cyberangriffes können sein, dass benötigte Geräte oder Dienstleistungen nicht zeitgerecht verfügbar sind, gesundheitsrelevante und andere persönliche Daten durch Angreifer veröffentlicht oder Daten manipuliert werden. Falsche Ergebnisse können im schlimmsten Fall zu falschen Therapien führen und das könnte massive Auswirkung auf die Patienten haben.
Mehr Beiträge zum Thema Cybersecurity findest du hier.
Aufbauende Studiengänge in Cybersecurity
Du willst helfen, die Gesellschaft vor Cyberangriffen zu schützen?
- Der Masterstudiengang „Entrepreneurial Cybersecurity“ der Uni des Saarlandes kombiniert Inhalte der Cybersecurity mit einem Gründungsprojekt.
- Der berufsbegleitende Masterstudiengang „Cyber Security Management” des BWI befähigt dich, komplexe Cyber Security-Projekte zu steuern.
- Mit dem dualen Diplom-Studiengang „Digital Administration and Cyber Security“ an der HS Bund lernst du, wie die Netze des Bundes vor Cyber-Attacken geschützt werden können.