Steigende Risiken auf dem OP-Tisch: Warum Krankenhäuser zunehmend ins Visier von Cyberkriminellen rücken

Hacker sind sich der Schwächen in der IT-Sicherheit von Kliniken bewusst. Dies ist einer der Gründe, warum Angreifer gezielt Gesundheitseinrichtungen als Ziel auswählen. Im Rahmen eines Advanced Persistent Threat (APT) investieren die Angreifer eine Menge Zeit und Ressourcen in die Vorbereitung einer Attacke. Hier wählen sie bewusst Ziele mit Schwachstellen in der IT-Sicherheit aus. Angriffe auf Krankenhäuser sind häufig erfolgsversprechend, da die IT-Sicherheit mit dem Digitalisierungstempo Schritt gehalten hat und daher häufig gefährlich lückenhaft ist.

Ein weiterer Grund, warum Hacker Krankenhäuser und Kliniken als Ziele auswählen, liegt in der Abhängigkeit des Gesundheitssektors von den digitalen Systemen. Fällt in einem Kiosk das digitale Bezahlsystem aus, ist dies zwar ärgerlich, der Betrieb läuft jedoch weiter beziehungsweise ist ein Ausfall für einen gewissen Zeitraum unproblematisch. Sind hingegen Systeme in Krankenhäusern betroffen, geht es nicht selten um lebenswichtige Dienste. So sind inzwischen netzwerkgesteuerte Infusionspumpen weit verbreitet. Ebenso ist die Patientenakte mittlerweile rein digital. Aus diesem Grund fallen bei einer Cyberattacke wichtige medizinische Geräte ebenso aus wie der Zugang zu Patienteninformationen. Ärzte und Pflegekräfte haben dann keine Möglichkeit mehr, den Patienten zu helfen. Bei lebenswichtigen Systemen kommt es im Extremfall auf Sekunden oder Minuten an. Deshalb sind Ausfälle dieser Systeme, aus welchem Grund auch immer, vollkommen inakzeptabel.

Die Angreifer sind sich bewusst, dass die zuständigen Personen im Krankenhaus zum schnellen Handeln gezwungen sind. Gibt es keine Möglichkeit, die digitalen Systeme umgehend wiederherzustellen, dann steigt die Chance, dass die Krankenhäuser auf die Erpressungsversuche eingehen, um so wieder Zugang zu den Daten zu erhalten.

Die Schwächen der IT Security von Krankenhäusern

Eine Untersuchung von IT-Experten der Universität der Bundeswehr, dem Beratungsunternehmen Alpha Strike Lab sowie Limes Security Ende des Jahres 2020 ergab, dass ein Drittel von über 1500 überprüften Krankenhäusern eine mangelhafte IT Security aufwiesen. Teilweise fanden die Experten eklatante Lücken in der IT-Sicherheit der Kliniken. So waren unter anderem Server mit dem Betriebssystem Windows 2003 im aktiven Einsatz. Diese Version des Windows Betriebssystems ist um mehrere Generationen veraltet und wird von Microsoft bereits seit dem Jahr 2015 nicht mehr mit Sicherheitsupdates versorgt.

Insgesamt wurden bei der Untersuchung über 900 kritische Schwachstellen in der IT Security der Krankenhäuser identifiziert. Dabei konzentrierten sich die Experten ausschließlich auf öffentlich erreichbare Bereiche der Netzwerke.

Ziele von Cyberkriminellen bei Angriffen auf den Gesundheitssektor

Die Ziele der Angreifer sind unterschiedlich. Wie bereits erwähnt, sind die Interessen häufig finanzieller Natur, jedoch ist dies nicht der einzige Grund für Cyberattacken auf Krankenhäuser. Angriffe zielen auch auf medizinische Unterlagen ab. Diese sind in digitaler Form auf den Servern von Krankenhäusern gespeichert. Solche Daten gehören ebenfalls zu den Zielen der Angreifer, die damit Identitätsdiebstähle vornehmen. Außerdem fallen einige Angriffe in den Bereich der Wirtschaftsspionage. Gerade seit Beginn der Corona-Pandemie stehen impfstoffbezogene Dokumente im Mittelpunkt der Aufmerksamkeit. Hier geht es den Angreifer darum, Informationen zu den Covid-19-Impfstoffen abzugreifen.

Folgen von Cyberangriffen auf Krankenhäuser

Cyberattacken auf Gesundheitseinrichtungen haben schwerwiegende Konsequenzen. Durch die Angriffe auf kritische Systeme ist die Versorgung von Patienten beeinträchtigt. Im September 2020 war das Universitätsklinikum in Düsseldorf betroffen. Hacker hatten die Notfallversorgung des Krankenhauses blockiert. Eine Patientin, die akut Hilfe benötigte, erhielt deshalb keine Versorgung und musste in das 25 Kilometer entfernte Wuppertal ausweichen. Kurz darauf verstarb die Patientin im Krankenhaus von Wuppertal. An diesem traurigen Beispiel zeigt sich, dass Cyberangriffe auf Krankenhäuser sowie die mangelhafte IT-Sicherheit von Kliniken konkret Leben bedrohen. Immer mehr Systeme innerhalb von Krankenhäusern sind vernetzt und funktionieren rein digital. Durch Cyberangriffe mit beispielsweise Ransomware fallen diese Systeme aus, wenn die IT Security der Krankenhäuser keinen ausreichenden Schutz bietet.

Mit diesen Methoden überwinden die Angreifer die IT Security in Krankenhäuser

Die Analyse von Cyberattacken auf Krankenhäuser zeigt, dass Hacker vor allem webbasierte Applikationen und anwendungsspezifische Angriffsmethoden einsetzen. Diese Angriffsvektoren nutzen die Schwachstellen in Client-Portalen und Schnittstellen für den Remote-Zugriff aus. In den letzten Jahren setzen Einrichtungen aus dem Gesundheitsbereich verstärkt Systeme ein, die diese Technologien nutzen. Dies sind unter anderem Technik aus dem Bereich Telemedizin und die Remote-Betreuung von Geräten. Analysen und Statistiken zeigen, dass etwa 97 Prozent der Angriffe auf Krankenhäuser über diesem Weg stattfinden. Gleichzeitig hat die Anzahl an Attacken auf Gesundheitseinrichtungen im Vergleich zum Vorjahr in 2020 um rund 200 Prozent zugenommen.

Mitte Juli 2021 war das Krankenhaus im niedersächsischen Wolfenbüttel das Ziel einer solchen Ransomware-Attacke. Offensichtlich versuchten die Hacker, das Krankenhaus zu erpressen. Durch die Attacke wurde das Krankenhaus vom Internet abgeschnitten. Digitale Systeme waren ebenfalls betroffen. So stellte das Krankenhaus vorerst die Dokumentation auf klassische Papiersysteme um. Unmittelbar nach dem Angriff konnte die IT-Abteilung keine Auskunft darüber geben, auf welchem Weg die Angreifer in die Systeme des Krankenhauses eingedrungen sind.

Immerhin waren aktuelle Backups vorhanden, sodass eine zeitnahe Wiederherstellung der digitalen Daten möglich war. Dennoch zeigt dieses Beispiel, welche Auswirkungen Cyberangriffe auf Krankenhäuser haben und dass die IT-Sicherheit in Kliniken viel zu oft nur reagiert, anstelle präventiv tätig zu sein.

Maßnahmen gegen die Schwächen der IT Security von Krankenhäusern

Die IT-Sicherheit in Kliniken muss sich schnellstens verbessern, um mit den weitreichenden digitalen Entwicklungen mitzuhalten. Es sind vor allem zwei Gründe, warum die IT-Sicherheit dieses Niveau noch nicht ereicht hat: Zum einen sind fehlende finanzielle Mittel dafür verantwortlich, was sich auch in anderen Bereichen der IT-Infrastruktur der Krankenhäuser zeigt. Server mit dem Betriebssystem Windows 2003 beispielsweise zeugen davon, dass Systeme seit Jahrzehnten im Einsatz sind, was auf einen Investitionsstau hinweist. Die IT-Abteilungen müssen dann Entscheidungen treffen, in welchen Bereichen sie die knappen zur Verfügung stehenden Mittel einsetzen. Das Thema IT-Sicherheit in Kliniken bleibt dann häufig auf der Strecke.

Zum anderen ist mangelndes Fachwissen ein Hindernis. Dies hängt zum Teil ebenfalls mit fehlendem Budget für die IT-Abteilungen der Krankenhäuser zusammen. Das vorhandene Personal ist bereits ausgelastet und somit bleibt keine Zeit, sich ausreichend mit der IT-Sicherheit auseinanderzusetzen. In solch großen und komplexen digitalen Infrastrukturen bedarf die IT-Sicherheit jedoch einer erhöhten Aufmerksamkeit. Dies zeigt sich in der privaten Wirtschaft, die eigene Security Operations Center (SOC) einsetzt, wo Mitarbeitende sich ausschließlich auf Aufgaben der IT-Sicherheit konzentrieren. In Krankenhäusern muss die IT-Abteilung diesen Aufgabenbereich hingegen häufig zusätzlich erledigen. In Kombination mit der fortschreitenden Digitalisierung steigt der Arbeitsdruck unverhältnismäßig. Im Endeffekt sorgt dies für überlastete IT-Abteilungen, die ihre Kernaufgaben nicht erfüllen können.

Im Oktober 2020 brachte der Bundestag das Krankenhauszukunftsgesetz auf den Weg. Teil des Gesetzes ist auch die Sicherstellung von zukünftigen Investitionen. Über das Gesetz ist ein Krankenhauszukunftsfond entstanden, der drei Milliarden Euro von der Bundesregierung sowie weitere 1,3 Milliarden Euro von den Bundesländern bereitstellt. Diese Gelder dienen vor allem dazu, die Digitalisierung und Anschaffung moderner technischer Ausstattung zu unterstützen. Krankenhäuser haben die Möglichkeit, Fördergelder aus diesem Topf für Investitionen zu beantragen. Anschaffungskosten in diesem Bereich unterstützt der Krankenhauszukunftsfond anteilig mit bis zu 30 Prozent.

Zusätzlich gelten inzwischen verbindliche Sicherheitsstandards für Krankenhäuser, die mehr als 30.000 vollstationäre Patienten pro Jahr behandeln. Diese zählen zu den kritischen Einrichtungen aus dem Gesundheitsbereich und müssen im Bereich der IT-Sicherheit die branchenspezifischen Anforderungen nach B3S erfüllen. Für diese Krankenhäuser gibt es zusätzlich den Krankenhausstrukturfond. Hier stellt die Bundesregierung weitere vier Milliarden Euro Fördergelder zur Verfügung, die für Investitionen in die IT-Sicherheit gedacht sind.

Experten empfehlen als weitere Maßnahe den Einsatz externer Dienstleister, um die IT Security der Krankenhäuser zu verbessern. Teure und arbeitsintensive Aufgaben aus dem Bereich der IT-Sicherheit lassen sich auf diese Weise outsourcen. Dies betrifft beispielsweise die aktive Überwachung von Netzwerken, die ansonsten ein SOC übernimmt. Das Budget vieler Krankenhäuser ermöglicht nicht die Einrichtung eines eigenen SOCs. Gleichzeitig ist es immer wichtiger, dass die IT-Sicherheit von Kliniken über Möglichkeiten verfügt, rund um die Uhr die Aktionen im Netzwerk in Echtzeit zu überwachen. Externe Dienstleister übernehmen exakt diese Aufgabe. Nur auf diesem Weg lässt sich eine ganzheitliche Cyber-Sicherheits-Strategie in Krankenhäusern etablieren.