Cyberangriffe: So gefährlich sind Hacker für die Kliniken

Unterschätztes Risiko: So gefährlich sind Cyber-Angriffe

Eine Gas-Pipeline, ein ferngesteuertes Ventil, und dann die Katastrophe: Der Druck steigt rapide an, die Anlage explodiert. Und das alles, weil sich Cyber-Terroristen in das digitale Steuerungssystem gehackt haben. So oder so ähnlich soll es vor einigen Jahren in Sibirien passiert sein. Und dies ist nur eine von vielen Möglichkeiten, wie Hacker vernetzte Anlagen und Unternehmen manipulieren oder außer Gefecht setzen können. Der jüngste Angriff auf den französischen Sender TV5 Monde hat das Thema Internet-Sicherheit wieder einmal prominent ins Rampenlicht befördert.

Auch hierzulande sind Hacker-Angriffe quasi an der Tagesordnung: Im vergangenen Jahr ist fast jedes dritte Unternehmen in Deutschland Ziel eines Datenangriffs geworden. In den letzten Wochen sollen beispielsweise die Lufthansa und ihre Kunden Opfer einer Cyber-Attacke geworden sein – Unbekannte hatten sich unbemerkt Zugriff auf Meilenkonten verschafft. Branchen-Umfragen zufolge sind besonders häufig kleine und mittelständische Firmen betroffen, die weniger Geld für IT-Sicherheit ausgeben.

Aber auch namhafte Konzerne wie EADS, Thyssen-Krupp, Vodafone, Sony oder eben die Lufthansa werden immer wieder Ziel von Hacker-Angriffen. Mal werden Kundendaten abgegriffen, mal Firmen-Netzwerke geentert. Auch viele große Stromnetzbetreiber werden immer wieder attackiert, bislang jedoch relativ erfolglos. Obwohl das Risiko mittlerweile allseits bekannt ist, wird noch immer zu wenig in die Sicherheit investiert, findet Marc Bachmann vom Digitalverband Bitkom. Er beklagt: "Nur jedes zweite Unternehmen verfügt über einen Notfallplan." Die großen Unternehmen seien zwar in der Regel etwas besser aufgestellt als die kleineren, Nachholbedarf gäbe es jedoch in fast allen Unternehmen. Der Angriff auf TV5 Monde hat eindrucksvoll gezeigt, wie schnell es gehen kann.

Cyberangriffe im Gesundheitswesen sind lebensgefährlich

Cyberangriffe machen auch vor dem Gesundheitswesen nicht halt. Dass die dabei angerichteten Schäden nicht auf finanzielle Verluste oder Reputationsschäden beschränkt bleiben, belegt eine neue Studie des Ponemon Institute. Demnach führen Cyberangriffe bei mehr als 20 Prozent der betroffenen US-Gesundheitseinrichtungen zu einer erhöhten Sterblichkeitsrate.

Proofpoint, Inc. und das Ponemon Institute, ein führendes Forschungsinstitut für IT-Sicherheit, stellen die Ergebnisse einer neuen Studie über die Folgen von Cyberattacken im Gesundheitswesen vor. Der Bericht mit dem Titel „Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care“ ergab, dass 89 Prozent der befragten Organisationen in den letzten 12 Monaten durchschnittlich 43 Angriffe erlebt haben – also fast einen Angriff pro Woche. Mehr als 20 Prozent der Organisationen, die von den vier häufigsten Angriffsarten (Cloud Compromise, Ransomware, Supply-Chain-Attacke oder Business Email Compromise (BEC)) betroffen waren, verzeichneten einen Anstieg der Patientensterblichkeit.

Für die Studie wurden 641 IT- und Sicherheitsexperten im Gesundheitswesen befragt. Laut der Studie sind Verzögerungen bei Behandlungen und Tests die häufigsten Folgen von Angriffen sind. Dies führt bei 57 Prozent der US-Gesundheitsdienstleistern zu schlechteren Ergebnissen für die Patienten und bei fast der Hälfte zu vermehrten Komplikationen bei medizinischen Verfahren. Die Art von Angriffen, die sich am ehesten negativ auf die Patientenversorgung auswirkt, ist Ransomware. Sie führt bei 64 Prozent der Organisationen zu Verzögerungen bei Behandlungen oder Tests und bei 59 Prozent der Organisationen zu längeren Patientenaufenthalten.

Auswirkungen auf die Patientensicherheit und Pflege im Gesundheitswesen

„Die von uns analysierten Angriffe stellen eine erhebliche Belastung für die Ressourcen im Gesundheitswesen dar. Sie verursachen nicht nur enorme Kosten, sondern haben auch direkte Auswirkungen auf die Patientenversorgung und gefährden die Sicherheit und das Wohlergehen der Menschen“, erklärt Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute. „Die meisten IT- und Sicherheitsexperten halten ihre Unternehmen für anfällig für diese Angriffe, und zwei Drittel sind der Meinung, dass Technologien wie Cloud Computing, Mobile Computing, Big Data und das IoT die Risiken für die Patientendaten und die Sicherheit weiter verschärfen.“

Weitere wichtige Ergebnisse der Studie:

Das unsichere Internet of Medical Things (IoMT) ist ein großes Problem. Organisationen im Gesundheitswesen haben im Durchschnitt mehr als 26.000 Geräte, die mit dem Netzwerk verbunden sind. Obwohl 64 Prozent der Befragten die Sicherheit medizinischer Geräte Sorgen bereitet, beziehen nur 51 Prozent diese in ihre Cybersicherheitsstrategie mit ein.

Unternehmen aus dem Gesundheitswesen fühlen sich sowohl am stärksten gefährdet als auch am besten auf Cloud-Risiken vorbereitet. 75 Prozent der Befragten gaben an, dass ihre Organisation durch Angriffe auf die Cloud gefährdet ist, und 54 Prozent bestätigten, dass ihre Organisation in den letzten zwei Jahren mindestens eine durch eine erfolgreiche Attacke auf die Cloud getroffen wurde. Die Unternehmen dieser Gruppe waren in den letzten zwei Jahren durchschnittlich mit 22 solcher Fälle konfrontiert. Einerseits sind sie am stärksten gefährdet, andererseits aber am besten auf eine Cloud-Kompromittierung vorbereitet: 63 Prozent der Befragten konzentrieren sich darauf, Maßnahmen zur Vorbereitung und Reaktion auf diese Angriffe zu ergreifen.

Ransomware ist die zweitgrößte Gefahr. 72 Prozent der Befragten glauben, dass ihre Organisationen durch Ransomware-Angriffe gefährdet sind, und 60 Prozent sagen, dass diese Art von Angriffen ihnen am meisten Sorgen bereitet. Entsprechend haben 62 Prozent Maßnahmen zur Vorbeugung und Reaktion auf Ransomware-Attacken ergriffen.

Mangelhafte Vorbereitung gefährdet Patienten. Obwohl 71 Prozent der Befragten der Meinung sind, dass sie durch Angriffe über die Lieferkette gefährdet sind, und 64 Prozent dasselbe über BEC und Phishing denken, haben nur 44 Prozent bzw. 48 Prozent eine definierte Methode, auf diese Angriffe zu reagieren.

Die finanziellen Schäden durch Cyberangriffe sind gewaltig. Der teuerste Cyberangriff kostete die betroffenen Organisationen in den letzten 12 Monaten durchschnittlich 4,4 Millionen US-Dollar, wobei der Produktivitätsverlust die größten finanziellen Auswirkungen hatte (1,1 Millionen US-Dollar).

Schulungen und Sensibilisierungsprogramme sowie die Überwachung der Mitarbeiter sind die wichtigsten Schutzmaßnahmen. Organisationen erkennen zunehmend, dass unvorsichtige und nachlässige Mitarbeiter ein erhebliches Risiko darstellen. 59 Prozent ergreifen Maßnahmen, um dem mangelnden Bewusstsein der Mitarbeiter zu begegnen, wobei 63 Prozent von ihnen regelmäßige Schulungs- und Sensibilisierungsprogramme durchführen und 59 Prozent die Aktivitäten der Mitarbeiter im Auge behalten.

Fehlende finanzielle Mittel und Ressourcen stellen weiterhin eine Herausforderung dar. 53 Prozent der Teilnehmer gaben an, dass ein Mangel an internem Fachwissen eine Herausforderung darstellt, und 46 Prozent sagten, dass sie nicht über genügend Personal verfügen, wobei sich beide Faktoren negativ auf die Cybersicherheit auswirken.

„Das Gesundheitswesen hat im Vergleich zu anderen Branchen traditionell einen Nachholbedarf, wenn es darum geht, Schwachstellen zu beseitigen. Und diese Untätigkeit hat direkte negative Auswirkung auf die Sicherheit und die Gesundheit der Patienten“, betont Ryan Witt, Healthcare Cybersecurity Leader bei Proofpoint. „Solange die Cybersicherheit eine geringere Priorität hat, werden Dienstleister im Gesundheitswesen ihre Patienten gefährden. Um fatale Auswirkungen zu vermeiden, müssen Organisationen aus dem Gesundheitswesen verstehen, wie sich die Cybersicherheit auf ihre Patientenversorgung auswirkt, und Maßnahmen treffen, die Menschen und Daten beschützen.“

Weitere Informationen:

Hier finden Sie den vollständigen Bericht mit dem Titel „Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care“.

Cyberangriffe: So gefährlich sind Hacker für die Kliniken

Die allge­meine Bedro­hungs­lage für Kranken­häu­ser in Sachen Cyber­si­cher­heit hat sich in den letzten Jahren verschärft. Zuletzt gab es Angriffe der Hacker auf Klini­ken in Düssel­dorf und Wolfen­büt­tel. Doch nicht nur die Anzahl der Angriffe ist gestie­gen, auch in Sachen Quali­tät werden Krimi­nelle immer besser. So zeigt der Schub, den die Pande­mie für die Digita­li­sie­rung ausge­löst hat, auch seine Schat­ten­sei­ten, indem er gleich­zei­tig neue Möglich­kei­ten für Angriffe schafft.

Anzeige

Hacker greifen immer öfter Klini­ken an und legen den Betrieb lahm

Hacker greifen an

Es herrscht an diesem Sommer­tag Alarm­stufe Dunkel­rot im Univer­si­täts­kli­ni­kum einer kleine­ren Großstadt, gelegen in der Mitte Deutsch­lands. Vor dem Haupt­haus des Kranken­hau­ses, das mit seinen medizi­ni­schen Spezi­al­ge­bie­ten und seiner hohen Betten­ka­pa­zi­tät ein riesi­ges Einzugs­ge­biet versorgt, sind Kranken‑, Notarzt- und Rettungs­wa­gen aufgefahren.

Von überall her hört man Martins­hör­ner. Panische Schreie und ein Stimmen­ge­wirr dringen aus dem Innern des Gebäu­des. Die Bevöl­ke­rung wird über Radio und Lautspre­cher­wa­gen dazu aufge­ru­fen, das Gebiet rund ums Unikli­ni­kum großräu­mig zu meiden, um die Rettungs­kräfte nicht zu behindern.

Viele Hundert Patien­ten gilt es zu evaku­ie­ren und auf andere Kranken­häu­ser in der Großre­gion zu vertei­len. Sogar über einen Abtrans­port per Hubschrau­ber in andere medizi­ni­sche Spitzen­ein­rich­tun­gen Deutsch­lands wird für die dringends­ten Fälle, die eine hochspe­zia­li­sierte Behand­lung benöti­gen, nachge­dacht. Rette sich wer kann, ist die Devise. Nur heraus aus dem Gebäude!

Denn um ihrer Lösegeld-Forde­rung Nachdruck zu verlei­hen, hatten die anony­men Hacker um die Mittags­zeit sämtli­che Rechner und Appara­tu­ren des Klini­kums auf einen Schlag außer Funktion gesetzt. Mehrere Patien­ten verstar­ben auf der Inten­siv­sta­tion oder im Opera­ti­ons­saal noch auf dem Behand­lungs­tisch; das Leben vieler weite­rer steht derzeit auf der Kippe. Einhei­ten der Bundes­wehr bahnen sich mit Schein­wer­fern und schwe­rem Gerät einen Weg ins Gebäude – denn sämtli­che Türen sind wie von Geister­hand verriegelt.

Kein Licht brennt mehr auf den langen Korri­do­ren des Gebäu­des, und vor allem in den Kellern, mit seinen EDV- und Haustech­nik-Einrich­tun­gen. Zu allem Überfluss sind die Sprink­ler-Anlagen in Gang gesetzt und überschwem­men mit ihrem Lösch­was­ser die Räume und Flure.

Auf dem mittler­weile leeren Parkplatz haben Rotes Kreuz und Techni­sches Hilfs­werk notdürf­tige Behand­lungs- und Erste-Hilfe-Zelte aufge­baut, um die Patien­ten bis zum Abtrans­port zu stabi­li­sie­ren. Wie hoch die Zahl der Todes­op­fer am Ende des Tages sein wird, ist zu diesem Zeitpunkt noch nicht einmal näherungs­weise zu bezif­fern. Und Ursache allen Übels wären diese Hacker.

Troja­ni­sche Pferde ermög­li­chen Zugang

Das furcht­bare Gesche­hen hatte vor wenigen Tagen seinen Anfang genom­men – auf ganz unauf­fäl­lige Art und Weise. Eine Reihe von Beschäf­tig­ten der Kranken­haus­ver­wal­tung hatte unver­däch­tige E‑Mails mit Datei­an­hän­gen bekom­men – und Betreff­zei­len wie „Anamnese Patient Peter Schmidt“ oder „GKV-Unter­la­gen Frau Meier, * 31.01.1962“. Tatsäch­lich verbar­gen sich in den Datei­an­hän­gen troja­ni­sche Pferde, umgangs­sprach­lich „Troja­ner“ – Schad­pro­gramme, mit denen sich die Angrei­fer Zugang zur Kranken­haus-EDV verschaff­ten. Fast niemand schöpfte Verdacht, denn die E‑Mails hatten persön­li­che Anreden der Mitar­bei­ter, Betriebs­an­ge­hö­rige des Klini­kums als angeb­li­che Verfas­ser; sogar die insti­tuts­ei­ge­nen Absen­der-E-Mails stimm­ten schein­bar – die Adress­zei­len waren manipuliert.

Nach der System-Infil­tra­tion melde­ten sich die Cyber-Erpres­ser mit einer Forde­rung von drei Millio­nen US-Dollar bei der Klinik­lei­tung, zahlbar binnen 48 Stunden in digita­ler Bitcoin-Währung. Das Klini­kum entschied sich dafür, den Fall zunächst nicht in die Öffent­lich­keit zu tragen, und verstän­digte die Polizei. Zugleich begann in der IT-Abtei­lung ein fieber­haf­ter Wettlauf gegen die Zeit. Doch die Hacker hatten das System bereits komplett in der Hand.

Niemand bemerkt zunächst, wie sich Hacker in die Systeme einschleichen

Nach Ablauf des Ultima­tums melde­ten sich die Hacker zurück. Ihre Forde­rung betrug nun sechs Millio­nen Dollar. Zugleich begann das Gebäude verrückt zu spielen: Die Lichter in mehre­ren Räumen schal­te­ten sich immer wieder an und aus. Die Klima­an­la­gen auf diver­sen Statio­nen stell­ten ihren Dienst ein, statt­des­sen spran­gen die Heizun­gen an. Die Öffent­lich­keit und die Presse began­nen Notiz von den seltsa­men Vorkomm­nis­sen zu nehmen.

Wenn man der Zahlungs­auf­for­de­rung inner­halb der nächs­ten 24 Stunden immer noch nicht nachkomme, hieß es in der zweiten E‑Mail an die Klinik­lei­tung, werde dies Menschen­le­ben kosten. Einen Tag später eröff­ne­ten die Erpres­ser dann die „heiße Phase“ ihres Angriffs. Schnell wurde klar: Um ihre Forde­rung durch­zu­set­zen, nehmen die Cyber-Krimi­nel­len tatsäch­lich den Tod von Patien­ten billi­gend in Kauf. Sie gehen buchstäb­lich „über Leichen“.

Ein fikti­ves Szena­rio, aber wahrscheinlich

Diese Geschichte hier ist ein extre­mes Albtraum-Szena­rio, das hoffent­lich niemals wahr werden wird. Wahrschein­li­cher jedoch ist es, dass es in den nächs­ten Jahren in dieser oder ähnli­cher Form tatsäch­lich eintritt. Denn im Rahmen des Kranken­haus­zu­kunfts-Geset­zes wird die Digita­li­sie­rung und Vernet­zung der etwas mehr als 1900 Kranken­häu­ser in Deutsch­land massiv voran­ge­trie­ben. Mit insge­samt rund vier Milli­ar­den Euro Bundes- und Landes­mit­teln sollen die Klini­ken digital aufge­rüs­tet werden, unter anderem für die elektro­ni­sche Dokumen­ta­tion von Pflege- und Behand­lungs­leis­tun­gen, dem digita­len Medika­ti­ons­ma­nage­ment, sowie sekto­ren­über­grei­fen­den teleme­di­zi­ni­schen Netzwerkstrukturen.

Auch Maßnah­men zur IT -Sicher­heit sind zwar durch den Fonds förder­bar – doch anhand der bishe­ri­gen Erfah­run­gen zu befürch­ten ist, dass in einigen Fällen bei der digita­len Aufrüs­tung Schnel­lig­keit vor Sorgfalt gehen wird. Hinzu kommt der Trend, neben der Kern-EDV auch die Haustech­nik – etwa Licht, Wärme- und Kälte­ver­sor­gung, Zutritts­sys­teme – zu digita­li­sie­ren, damit sie sich zentral steuern lassen.

Damit aber wird sie ebenfalls angreif­bar. 2017, als der Cyber­an­griff mit der „WannaCry“-Verschlüsselungs-Software weltweit für Chaos und Aufse­hen sorgte, gehörte der briti­sche Natio­nal Health Service (NHS), der etliche Kranken­häu­ser betreibt, zu den Haupt-Betrof­fe­nen. Kranken­häu­ser mussten schlie­ßen, Patien­ten- und Behand­lungs­da­ten waren nicht abrufbar.

Wegen Sicher­heits­män­gel durch Cyber­kri­mi­nelle mussten Klini­ken schon Patien­ten abweisen

Attacken gegen deutsche Krankenhäuser

Und in jünge­rer Zeit hat es bereits einige ganz reale Fälle von Cyber­at­ta­cken gegen deutsche Kranken­häu­ser gegeben: So musste das Klini­kum im mittel­frän­ki­schen Fürth im Dezem­ber 2019 nach einem Angriff auf die Haus-IT kurzzei­tig Patien­ten abwei­sen. Anfang Septem­ber 2020 wurde das Univer­si­täts­kli­ni­kum Düssel­dorf Opfer einer „Ransomware“-Attacke. Die Angrei­fer hatten System­da­ten verschlüs­selt und Lösegeld für deren Wieder­frei­gabe gefordert.

In der Folge musste sich das Klini­kum von der Notfall­ver­sor­gung abmel­den, planbare und ambulante Behand­lun­gen verschie­ben sowie bereits verein­barte Patien­ten­ter­mine und Aufnah­men absagen. Erst nach mehre­ren Tagen beruhigte sich die Lage wieder. Der Angriff hatte sogar einen – indirek­ten – Todes­fall zur Folge: Eine Notpa­ti­en­tin, die das Unikli­ni­kum Düssel­dorf wegen des Cyber­an­griffs abwei­sen musste, wurde ins Klini­kum Wupper­tal umgelei­tet. Unmit­tel­bar nach der Ankunft dort verstarb die Frau jedoch. Vermut­lich wurden ihr die 30 zusätz­li­chen Minuten Fahrzeit zum Verhängnis.

Auf Anfrage der „Rechts­de­pe­sche für das Gesund­heits­we­sen“ wollte das Düssel­dor­fer Unikli­ni­kum das Themen­ge­biet IT-Sicher­heit nicht kommen­tie­ren. Wie es jedoch in den Medien laut Polizei­an­ga­ben hieß, hätten die Hacker ursprüng­lich die Univer­si­tät Düssel­dorf treffen wollen, nicht das Unikli­ni­kum. Als sie erfah­ren hatten, dass Patien­ten wegen ihrer Attacke erheb­lich gefähr­det seien, hätten sie dem Klini­kum den digita­len Schlüs­sel ausge­hän­digt, mit dem die Daten wieder entschlüs­selt werden können. Dass die Täter solche Skrupel zeigten und den Angriff von sich aus abbra­chen, kann man im Nachhin­ein nur als geradezu unvor­stell­ba­res Glück im Unglück werten.

Erst Mitte Juli 2021 dann der nächste spekta­ku­läre Angriff, diesmal aufs Städti­sche Klini­kum im nieder­säch­si­schen Wolfen­büt­tel bei Braun­schweig. Auch hier hatten Hacker die Kranken­haus-EDV mit Schad­soft­ware infil­triert und Lösegeld gefor­dert. Durch eine Schnell­ab­schal­tung des Inter­net­zu­gangs konnte die Einrich­tung jedoch offen­bar Schlim­me­res verhin­dern und die Systeme mittler­weile wiederherstellen.

Dennoch scheint klar: Die Serie von Cyber­an­grif­fen gegen Gesund­heits-Einrich­tun­gen scheint erst an ihrem Anfang zu stehen. „Die Fälle Fürth, Düssel­dorf und Wolfen­büt­tel unter­strei­chen eindrucks­voll, dass die Gefah­ren, die aus Cyber­at­ta­cken erwach­sen können, durch­aus real sind“, konsta­tiert Michael Schanz, Chefre­dak­teur der „Rechts­de­pe­sche für das Gesundheitswesen“.

Der einzige Ausweg: digital aufrüsten?

Kranken­häu­ser rüsten digital auf

Bereits 2017 hatte die Unter­neh­mungs­be­ra­tung Roland Berger, im Rahmen ihrer jährli­chen Kranken­haus­stu­die, 500 Kranken­häu­ser befragt, ob sie schon mal Ziel von Hacker­an­grif­fen gewor­den seien. Dies bejah­ten schon damals 64 Prozent der Klini­ken. Als Konse­quenz reagier­ten fast alle betrof­fe­nen Insti­tute mit der Verbes­se­rung ihres Firewall-Schut­zes (98 Prozent), ferner mehrheit­lich mit der Ausar­bei­tung von Notfall­plä­nen, Mitar­bei­ter-Schulun­gen zur System­si­cher­heit und der Begren­zung des Zugriffs auf externe Inhalte. Knapp jedes dritte Kranken­haus (31 Prozent) verstärkte seine IT-Abtei­lung auch perso­nell. Alles zum Schutz gegen die aggres­si­ven Hacker.

„Hacker, die sich von außer­halb Zutritt in ein Klinik­sys­tem verschaf­fen, können im Prinzip alles kontrol­lie­ren – einschließ­lich der Haustech­nik“, erläu­tert Robert Nussholz. Der selbst­stän­dige IT-Fachmann aus Köln ist mit seiner Firma work4med GmbH auf EDV-Systeme und Netzwerk-/Sicher­heits­tech­nik im Gesund­heits­we­sen, etwa für Arztpra­xen, spezia­li­siert. „Die Täter gehen sehr geschickt vor. Oft forschen sie das Umfeld ihres Angriffs­ziels lange im Voraus aus.“ Auch der zweite Schritt, nachdem ein Beschäf­tig­ter einen Datei­an­hang mit dem Schad­pro­gramm geöff­net hat, läuft sehr perfide ab.

„Dabei spielt es keine Rolle, wenn der einzelne Mitar­bei­ter keine Adminis­tra­tor-Rechte besitzt. Diese erschlei­chen sich die Täter, in dem sie beispiels­weise den Drucker am Arbeits­platz des Mitar­bei­ters lahmle­gen – das ist von der Ferne aus möglich. Der Betrof­fene ruft dann die EDV oder System­tech­nik des Hauses zur Hilfe, die dann am Rechner des Mitar­bei­ters ihr Admin-Passwort, um den Drucker neu zu instal­lie­ren, einge­ben. Auf diese Eingabe wartet die im Hinter­grund aktive Schad­soft­ware und schon haben es die Hacker in den Händen, und können fortan schal­ten und walten, wie sie wollen.“