Angriffsziel Krankenhaus
2022 waren drei Viertel der deutschen Gesundheitseinrichtungen Opfer von Cyberangriffen.
Viele Angriffe erfolgen meist niederschwellig: Hacker verschicken zum Beispiel E-Mails an Mitarbeiter, die auf Links klicken, arglos Anhänge öffnen oder auch manipulierte Webseiten ansteuern. So zuletzt geschehen beim Klinikverbund Soest, der nach Angriffen weitgehend lahmgelegt wurde.
Auch das Universitätsklinikum Pécs in Ungarn wurde 2023 Opfer eines Ransomware-Angriffs mit Lösegeldforderung. Die Klinik kam mit einem blauen Auge davon. Unser Forensik-Team konnte nach rascher Eindämmung keine gestohlenen Daten oder beschädigten Betriebsprozesse feststellen, aber IT und Management waren dennoch wochenlang überlastet und gestresst. Glück im Unglück: Durch die Attacke kam heraus, dass die IT-Infrastruktur veraltet und anfällig war – und nun auf den aktuellen Stand gebracht wird.
Warum Kliniken als Target? Zwischen Krieg & Erpressung
Warum ausgerechnet Kliniken und Gesundheitseinrichtungen fragt man sich. Zunächst der aktuelle, offensichtliche Grund: Nicht zuletzt mit dem Ukraine-Krieg sind Krankenhäuser hochattraktive Ziele nicht nur für physische Attacken, sondern auch Cyberangriffe geworden. Kliniken sind als offene, für alle Bürger zu erreichende, möglichst barrierefreie Einrichtungen mit großem Publikumsverkehr und zahlreichen Patienten-Daten und lebenserhaltenden Geräten in besonderem Maße verwundbar. Darüber hinaus attackieren Hacker vor allem deshalb vermehrt Kliniken, weil hier der Druck hoch ist, schnell wieder normal arbeiten zu können. Die Chance, mit der Erpressung erfolgreich zu sein und Lösegeld zu erhalten, ist hoch. Ein weiterer Anreiz für Hacker: Die gestohlenen Daten von Gesundheitseinrichtungen und Kliniken sind äußerst wertvoll und werden im Darknet sehr teuer gehandelt.
Was nun zu tun ist
Alle Krankenhäuser, unabhängig von ihrer Größe, sind schon heute verpflichtet, IT-Sicherheit nach dem aktuellen Stand der Technik umzusetzen. Dabei werden Zugriffsanfragen auf mehreren Ebenen über KI-gestützte Sicherheitslösungen geprüft und es wird permanent die Legitimation sichergestellt. Zu den Maßnahmen gehören auch sichere Klient-Umgebungen eine ausgereifte Backup-Strategie, um im Falle eines Angriffes die Wiederherstellung der Daten zu ermöglichen, und Schulungen für Mitarbeitende zur Sensibilisierung für Sicherheitsrisiken.
Bei der Auswahl der IT-Sicherheitslösungen im Krankenhaus gibt es klare Vorgaben. Aber nicht jedes Krankenhaus hat den Überblick und weiß, wie viele und welche Lösungen individuell benötigt werden. Das passende Sicherheits-Paket für Krankenhäuser ist von der jeweiligen Situation abhängig – der Digitalisierungsgrad, aktuelle Bedrohungen, Tech-Stack sind hier entscheidende Faktoren. Schon die elektronische Patientenakte erfordert zahlreiche Schutzmaßnahmen. In manchen Fällen muss punktuell aufgerüstet werden. Nicht selten ist ein umfassendes Maßnahmenbündel notwendig, das sich von der Firewall, über Endpoint Security, Notfallplanung, Datenschutz, SOC, SIEM bis zum Pentest erstreckt – externe Dienstleister sind hier eine gute Wahl.
NIS2 zwingt (endlich) zu Maßnahmen
Zum eigenen Glück und zur Sicherheit durch Digitalisierung zwingen. So könnte man die Gesundheitsbranche zusammenfassen. NIS2 könnte hier ein Hoffnungsschimmer sein, um sich nachhaltig sicher aufzustellen. Die neue Richtlinie legt fest, dass Krankenhäuser und Pflegeeinrichtungen ein angemessenes Risikomanagement für ihre IT-Systeme und -Netzwerke implementieren müssen. Dazu gehören u.a. Maßnahmen wie die Identifizierung und Bewertung von Risiken, Verschlüsselung sensibler Daten, regelmäßige Sicherheitsaudits sowie die Einrichtung eines Notfallplans für den Fall eines Cyberangriffs und Konsequenzen bei Nichteinhaltung. Krankenhäuser, die die NIS2-Richtlinie nicht einhalten, können mit Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes belegt werden.
Gergely Lesku
ist CEO bei SOCWISE.