„In den frühen Morgenstunden des heutigen Tages (13. Januar) wurde das IT-System des Medizin Campus Bodensee (MCB) gehackt. Von diesem cyber-kriminellen Angriff ist der Klinikverbund, also das Klinikum Friedrichshafen und die Klinik Tettnang, nach der ersten Bestandsaufnahme hauptsächlich administrativ betroffen. Vorsorglich wurden alle Server und Geräte heruntergefahren, um eine weitere Verbreitung der Schadsoftware zu verhindern.“ So beschrieb das MBC in einer eilig herausgegebenen Pressemitteilung vor Kurzem den GAU für ihre Einrichtung. Der Medizin Campus Bodensee hat rund 540 Betten, davon 370 im Krankenhaus Friedrichshafen. Operationen mussten in letzter Minute verschoben, Notfälle auf umliegende Kliniken verteilt werden. Was vorher digital ablief, musste plötzlich analog funktionieren – vom Laborbefund bis zur Essensbestellung. Vom E-Mail-Verkehr waren die Häuser längere Zeit abgeschnitten. Auch Wochen später lief noch längst nicht alles wieder so, wie es Patienten und Mediziner gewohnt waren.
Fälle wie dieser dürften sich in der Zukunft häufen, warnen Experten. Denn vor dem Hintergrund der Ukraine-Krise rückt auch das Internet als Kriegsschauplatz stärker ins kollektive Bewusstsein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkennt derzeit eine erhöhte Bedrohungslage auch für Deutschland. Das BSI hat die Bundesverwaltung sowie Betreiber kritischer Infrastrukturen, zu denen auch die mehr als hundert KRITIS-Kliniken gehören, sensibilisiert und zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft aufgerufen. Die ist auch dringend geboten: So führt die Seite patientenschutz-datenrechte de. eine – unvollständige – Liste mit mehr als 30 Datenpannen, Datenlecks und Mal- bzw. Ransomware-Angriffe, die Krankenhäuser, Arztpraxen und andere Einrichtungen des Gesundheitswesens in Deutschland in den Jahren seit 2015 betrafen. Darunter auch einen aktuellen Hackerangriff auf die Urologische Klinik München Planegg (UKMP) und ihre Patienten im Februar 2022.
Der Krieg im Cyberraum
Im „Allianz Risk Barometer 2022“ stehen Cyber-Vorfälle inzwischen auf Platz 1 der größten globalen Geschäftsrisiken. Cyber-Gefahren übertreffen damit Covid-19 und die Unterbrechung von Lieferketten. In Zukunft führt die zunehmende Digitalisierung zu neuen Gefahren, gegen die sich Unternehmen und Organisationen im Jahr 2022 entsprechend wappnen müssen. Denn: „Der Krieg Russlands gegen die Ukraine wird auch im Cyber-Raum ausgefochten – in einem Maß und einer Intensität, die es bisher noch nicht gegeben hat“, beobachtet Dominik Bredel, Security-Experte der IBM-Ausgründung Kyndryl in Deutschland.
Die Carmao GmbH, Spezialist für Unternehmensresilienz mit Schwerpunkten wie Informations, zeigt auf, auf welche Cyber-Vorfälle Unternehmen vorbereitet sein sollten. „Ein Mensch verstirbt, weil in einer Uniklinik Ransomware das System infiziert hat und so die Notaufnahme neuer Patienten verhindert. Dieses Schreckensszenario klingt wie im Film, wurde aber bereits in Düsseldorf Realität. Und es unterstreicht, dass die Gesundheitsbranche mittlerweile zu den beliebtesten Zielen cyberkrimineller Aktivitäten zählt“, sagt Ulrich Heun, Geschäftsführer der Carmao GmbH, Spezialist für Unternehmenssicherheit und Business Continuity Management.
Für 2022 sieht Carmao gleich mehrere Trends für Cybercrime-Gefahren: Ein steigendes Risiko ergibt sich durch die zunehmende digitale Vernetzung im Rahmen des Internet of Things (ioT). Auch im Gesundheitswesen steigt die Zahl der vernetzten medizinischen IoT-Geräte sprunghaft an. Dadurch ergeben sich auch neue Einfallstore für Cyber-Angriffe. Dennoch wird dieser Angriffsvektor oft noch vernachlässigt und vernetzte Geräte werden ohne die angebrachte Sorgfalt in Netzwerke integriert.
Hacker kennen zudem die spezifischen Risiken dieser Hardware: Sie wissen, wie sie die fest kodierten Passwörter der meisten Geräte herausfinden können – und können darüber ins Netzwerk eindringen. Erstaunlich häufig kommen Geräte zum Einsatz, die nur mangelhaft zertifiziert sind. Systeme mit veralteten, nicht mehr unterstützten Betriebssystemen sorgen mit der Zeit ebenso für neue Risiken. Cyber-Kriminelle entdecken zudem verstärkt die Vorteile der künstlichen Intelligenz (KI) für sich. Sie setzen zunehmend Multi-Ransomware und KI-Mechanismen ein, um unter anderem ihre Schadcodes zu verbessern. Das bedeutet, in Zukunft greift die künstliche Intelligenz an. Cybercrime wird automatisiert.
Mangelnde Sicherheitskultur
Grundsätzlich wird die Gefahr erkannt: 61 Prozent der Unternehmen in Deutschland schätzen ihr Risiko, von Computerkriminellen angegriffen zu werden, als „hoch“ oder „sehr hoch“ ein. Besonders bedenklich indes: Fast allen Unternehmen fällt es immer schwerer, erste Anzeichen einer Cyberattacke überhaupt zu erkennen (84 Prozent). Und mehr als die Hälfte geht davon aus, dass das Risiko eines Cyberangriffs in den nächsten zwei Jahren noch steigen wird. Das sind die Kernergebnisse einer Umfrage der Unternehmensberatung KPMG unter 1.000 repräsentativ nach Branche und Umsatz ausgewählten Unternehmen zu ihren Erfahrungen mit Computerkriminalität.
KPMG-Partner Michael Sauermann macht klar: „Computerkriminalität frisst sich wie ein Geschwür durch die deutsche Unternehmenslandschaft. Vor allem Mailserver stellen ein attraktives Angriffsziel dar. Phishing-Mails, Business E-Mail Compromise- oder Ransomware-Angriffe sind praktisch überall an der Tagesordnung. Dabei werden die Angriffe immer vielfältiger, durchschlagender, entsprechend brisanter und teurer für die Unternehmen. Die zunehmende Komplexität der eingesetzten Technologien stellt für über drei Viertel der Befragten eine große Herausforderung dar.“
Unachtsamkeit und unzureichend geschulte Mitarbeitende (95 bzw. 81 Prozent) zählen zu den meistgenannten Faktoren, die Computerkriminalität begünstigen. Zudem sehen die Unternehmen eine mangelnde Sicherheitskultur beziehungsweise ein mangelndes Risikoverständnis bei ihren Mitarbeitenden (86 Prozent) als wesentliche Risikofaktoren an. Michael Sauermann: „Angemessene Schulungen sowie Sensibilisierung der Mitarbeitenden sind von zentraler Bedeutung, um Computerkriminalität im eigenen Unternehmen zu verhindern. Ideal wäre es, wenn Menschen ein Bewusstsein ähnlich einer ‚Human Firewall‘ entwickeln könnten.“
Kliniken Jahrzehnte hinter dem Stand der Technik
Die zunehmende Gefährdung durch technologisch immer gewieftere Angreifer trifft auf eine Kliniklandschaft, die den Attacken zum Teil vergleichsweise schutzlos ausgeliefert ist, wie Jan Arfwedson, Leiter des eHealth-Hubs des Cyber-Sicherheitsrat Deutschland e.V. und Geschäftsführer des Datensecurity-Diensleisters Aurasec GmbH feststellt. „Das Thema IT-Sicherheit hat leider nicht den Stellenwert auf der Agenda der Kliniken, den es haben müsste“, macht er im ausführlichen Interview mit www.digitales-gesundheitswesen.de deutlich. „Allgemein sieht es so aus, als seien die Kliniken 20 Jahre zurück hinter dem Stand der Technik.“ Er arbeitet in der Praxis mit einem Anforderungskatalog und der Reifegradmessung nach einem ISO-Standard, der von Null bis Fünf reicht. Die von ihm untersuchten Kliniken haben im Durchschnitt einen Reifegrad von 1,01 – also gerade mal 20 Prozent erreicht. IT-Management und Betriebssicherheit sind in Bezug auf den branchenspezifischen Sicherheitsstandard also noch sehr weit vom Ziel entfernt.
Damit nicht genug: Insbesondere die rund 130 KRITIS-Häuser sind laut Gesetz verpflichtet, alle technischen und organisatorischen Sicherheitsmaßnahmen alle zwei Jahre durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüfen zu lassen. Dabei traten zuletzt allerhand Mängel zutage, teilweise sogar die Nicht-Umsetzung bestimmter Anforderungen. Im Schnitt aller Kliniken waren es 36,5 Mängel. Der höchste Wert einer Klinik lag bei 132 Mängeln. „Das ist schon erschreckend, zu sehen, wie schlecht die Sicherheitsstandards dort sind, wenn man bedenkt, dass das Sicherheits-Set insgesamt nur rund 200 Anforderungen hat“, so Cybersecurity-Experte Arfwedson.
Medizinische Unterlagen als begehrte Beute im Darknet
Ist der Angreifer erst einmal im System, hat er oft viel Zeit. Nach dem „Cost of Data Breach Report 2021“ von IBM dauert es im Schnitt 287 Tage, um eine Datenpanne zu identifizieren und einzudämmen. Der Hacker sucht sich in Ruhe die Daten aus, die er entweder außerhalb des Systems verstecken oder verschlüsseln will. Versucht ein Mitarbeiter oder Programm auf die Dateien zuzugreifen, erscheint ein Pop-up mit einer Lösegeldforderung.
Inzwischen ist das Gesundheitswesen einer der am häufigsten durch Hacker angegriffenen Bereiche, konstatiert auch Jörg von der Heydt, Regional Manager DACH bei Bitdefender, einem internationalen Anbieter von Cybersicherheitslösungen. „Die meisten Opfer im Gesundheitsbereichs sind aber oft völlig unvorbereitet. Es ist daher Zeit, lang aufgeschobene Hausaufgaben nachzuholen, um sich den neuen Ansprüchen und Risiken an ein digitalisiertes und geschütztes Gesundheitswesen zu stellen. Umfassende IT-Sicherheitstechnologien, mögliche Fördergelder und starke Partner können die Therapie einleiten, die gerade angesichts der aktuellen Krisenlage nötiger erscheint, denn je“, sagt er. Besonders begehrt ist die Datenbeute: Je nachdem, wie vollständig die Informationen sind, werden medizinische Unterlagen für bis zu 1.000 US-Dollar im Darknet verkauft, so von der Heydt. Schwacher Trost: Nur US-Reisepässe sind mit einem Stückpreis von 1.000 bis 2.000 US-Dollar noch teurer.
Jörg von der Heydt
Regional Manager DACH bei Bitdefender GmbH
