Cybersicherheit im Gesundheitsbereich
Von Dominic Bertram
Dieser Artikel ist der fünfte Teil der Artikelserie «Digitalisierung – Das Gesundheitswesen auf dem Weg der Besserung».
Der Gesundheitsbereich ist ein attraktives Ziel für Cyberangriffe. Als kritische Infrastruktur, eingebettet in geopolitische Herausforderungen, verschärft sich die Bedrohungslage weiter, wie jüngste Drohungen russischer Hacker zeigen.[1] Diesen neuen Herausforderungen muss man mit kosteneffizienten und effektiven Massnahmen, wie z. B. einem funktionierenden Cyber-Krisenmanagement mit Krisenkommunikation, Schulungen des Personals sowie Investitionen in die IT-Infrastruktur auf Grundlage eines Cybersicherheit-Assessments begegnen.
Im Gesundheitswesen haben zwischenstaatliche Cyberkonflikte, die Schattenökonomie der Cyberkriminalität und Cyberspionage unlängst Fuss gefasst. Nachdem 2007 die National Health Services (NHS) Grossbritanniens teilweise von WannaCry lahmgelegt wurde, könnten sie in naher Zukunft erneut Opfer russischer Hacker werden. Diese drohten damit, Beatmungsgeräte in allen Krankenhäusern des Vereinigten Königreichs zu sabotieren. Die steigende Anzahl der Angriffe und eine verschärfte Bedrohungslage, während der Covid-19 Pandemie haben gezeigt, dass Investitionen in die Cybersicherheit im Gesundheitswesen notwendiger denn je sind. Denn 2021 haben kriminelle Organisationen und staatsnahe Gruppierungen die Gesundheitsversorgung gezielt angegriffen. Dabei wurden schätzungsweise 104 Gesundheitsorganisationen mit Ransomware infiziert.[2] Viele der Angriffe stammen von staatsnahen Akteuren und Akteurinnen und Hackergruppen.[3]
Auch hierzulande gab es einen Ransomware-Angriff auf die Uniklinik Düsseldorf im Jahr 2020. Dort starb eine Patientin nach einem IT-Ausfall, weil sie daraufhin in ein anderes Krankenhaus verlegt werden musste.[4] In Mobile County, USA, wurde das Springhill Medical Center verklagt, weil 2019 ein Baby aufgrund nicht funktionierender IT-Systeme und mangelhafter Kommunikation bei der Geburt starb – auch hier war der Ursprung ein Ransomware-Angriff.[5] Das Resultat: Ein partieller Zusammenbruch der Spital-Infrastruktur sowie eine Störung der internen Kommunikation, sodass die leitende Krankenpflegerin und die Geburtshelferin die Informationen nicht austauschen konnten, die für die Geburt des Babys notwendig und potenziell lebensrettend gewesen wäre.
Das Gesundheitssystem ist aus zwei Gründen ein besonders attraktives Ziel für staatsnahe Akteure und Akteurinnen und Hackergruppen: Es verwaltet einerseits hochsensible Daten, die gestohlen, weiterverkauft und veröffentlicht werden können. Andererseits gehört das Gesundheitssystem zur kritischen Infrastruktur, weshalb dessen Angriffe Staaten erpressbar machen können – besonders in der aktuellen, globalen Konfliktlage. Die asymmetrische Verteilung der Ressourcen verstärkt die Bedrohungslage für die Krankenhäuser und Gesundheitsdienstleister, da diese auch ohne die Investitionen in Cybersicherheit bereits mit sehr begrenzten, finanziellen Ressourcen kämpfen.[6] Daher stellt sich die Frage nach den Massnahmen, die Krankenhäuser treffen können, um sich effektiv vor Cyberangriffen zu schützen.
4 Schritte zum Schutz vor Cyberangriffen
Schwächen und Bedrohungen erkennen
Als Basis für jegliche Massnahmen und Investitionen dient die Ermittlung des derzeitigen eigenen Reifegrades. Hierbei wird der Ausgangspunkt definiert, Schwächen ermittelt und Bedrohungen erkannt. Dabei wird evaluiert, welche Systeme speziell gefährdet sind und wie sich deren Beeinträchtigung auf die Bereitstellung der Gesundheits-Dienstleistungen auswirkt.
Danach müssen die effektivsten technischen Massnahmen zur Prävention oder Detektion identifiziert werden. Das hilft dem Krankenhaus-Management dabei, risikobasierte Investitionsentscheidungen zu treffen, knappe Ressourcen zuzuweisen und somit die Cyberrisiken zu minimieren. Während die hohen Investitionen in die IT-Sicherheit vor einem Cyberangriff für das Krankenhaus-Management oft schwer zu rechtfertigen sind, werden die Kosten nach einem erfolgreichen Cyberangriff jedoch enorm ansteigen. Das Lukaskrankenhaus in Neuss war aufgrund eines Ransomware-Angriffs tagelang nur noch begrenzt handlungsfähig und erlitt einen sechs- bis siebenstelligen Schaden – ganz zu schweigen von den lebensbedrohlichen Folgen für die Patienten und Patientinnen, welche sich nicht monetär beziffern lassen.[7]
Kommunikation um Leben und Tod
Am Beispiel Springhill Medical Center nimmt die Krisenkommunikation eine kritische Rolle ein. Zur Cyber-Krisenvorbereitung gehört, dass redundante Kommunikationskanäle aufgebaut werden, welche die externe und interne Kommunikation sicherstellen. Dabei müssen Dependenzen zwischen den gängigen Kommunikationskanälen, der Informationsbereitstellung und der zugrundeliegenden IT-Infrastruktur klar aufgezeichnet und «Single Points of Failure» identifiziert werden. Welche Informationen werden von der Belegschaft benötigt? Welche Systeme liefern diese Informationen und wie kann sichergestellt werden, dass die Informationen auch bei einem IT-Ausfall an die entsprechenden internen Zielgruppen gelangen?
Um die individuellen Gesundheitsnotfälle bewältigen zu können, ist das Personal auf ein funktionierendes Kommunikationssystem innerhalb des Krankenhauses angewiesen. Ein eingespielter Krisenkommunikations-Plan kann dabei helfen, den zusätzlichen Stress während eines Cyberangriffs zu reduzieren.
Verhinderung von Social-Engineering durch Schulungen und Trainings
Der Krisenmanagement- und Kommunikationsplan bleibt jedoch ein Papiertiger, wenn die Belegschaft nicht vorab informiert, geschult und durch die Notfall- und Krisenprozesse geführt wird. Krankenhaus-Management, Ärztinnen und Ärzte, Pflegefachkräfte, Administration und weitere interne Anspruchsgruppen müssen die verschiedenen Prozesse, Kommunikationsmittel und -wege in einer Notfall- oder Krisensituation kennen. Eine mögliche Schlussfolgerung aus der Drohung an die NHS könnte darin bestehen, neben der entsprechenden OT[8]-Absicherung der Lüftungssysteme in Krankenhäusern auch das Personal des Gebäudemanagements in branchenspezifische Security Awareness-Trainings miteinzubeziehen.
Auch bei der Prävention kann durch gezielte Massnahmen die Sicherheit erhöht werden, indem das Personal auf Social-Engineering-Angriffe geschult wird. Der Faktor Mensch ist ein kritisches Glied in der Präventionskette von Cyberangriffen. Die Mitarbeitenden müssen in die Lage versetzt werden, Social-Engineering-Angriffe zu erkennen und zu melden. Doch wo genau melden die Mitarbeitenden einen Vorfall oder einen Verdacht? Dazu braucht es eine zentrale Meldestelle und entsprechende Prozesse. Die Krankenhaus-Leitung kann zudem mit Richtlinien wichtige Akzente setzen. Ein Beispiel dafür wäre, Bilder in Sozialen Medien zu verbieten, auf denen der Krankenhaus-Personalausweis zu sehen ist.
Gesundheitssektor unter Zugzwang
Cyberangriffe auf den Gesundheitssektor gehören zur erschreckenden Realität. Zu lukrativ sind die Ransomware-Angriffe auf die Gesundheitsversorger, zu stark der geopolitische Hebel. Krankenhäuser, Dienstleister und viele weitere Akteur und Akteurinnen, darunter die Politik, stehen vor einem Berg an Herausforderungen, um das Risiko eines erfolgreichen Cyberangriffs in Gesundheitssektor zu reduzieren. Patienten und Patientinnen sollten sich neben ihren gesundheitlichen Beschwerden nicht auch noch um die Sicherheit ihrer Daten und der IT-Infrastruktur im Krankenhaus sorgen müssen.
Durch Massnahmen in der Prävention, Bereitschaft und gezielte Investitionen in die IT-Infrastruktur kann der Reifegrad erhöht werden, bevor man sich an eine komplette Erneuerung der IT-Infrastruktur wagt. Die Digitalisierung im Gesundheitswesen bringt grosse Chancen hinsichtlich der Effizienz und Qualität von Dienstleistungen, der Reduktion von Verwaltungskosten und der Zugänglichkeit. Dabei darf die Investition in die Sicherheit dieser digitalen Infrastruktur nicht vernachlässigt werden. Die Digitalisierung des Gesundheitssektors muss deshalb Hand in Hand mit der Stärkung der Cybersicherheit gehen, um die sensiblen Daten und Leben der Patienten und Patientinnen zu schützen.
[3] Crowdstrike: Global Threat Report 2021
[4]Düsseldorf: Ermittlungen nach Todesfall während Hackerangriff auf Uniklinik | ZEIT ONLINE
[5]https://www.wsj.com/articles/ransomware-hackers-hospital-first-alleged-death-11633008116
[6] The Cyber Peace Institute: 2021-03-CyberPeaceInstitute-SAR001-Healthcare.pdf
[8] OT= Operational Technology
