Cyberangriffe auf Kliniken gehören mittlerweile zur Tagesordnung. Die Auswirkungen sind oft dramatisch. Es gibt Gründe, wieso vermehrt Krankenhäuser angegriffen werden.
Schon wieder sind Kliniken Opfer von Cyberangriffen geworden: Der Klinikverbund Soest liegt nach den Angriffen weitgehend lahm.
Immer häufiger sind Krankenhäuser und Kliniken Ziel von Cyberangriffen. Die Angreifer nutzen in der Regel Sicherheitslücken in der IT-Infrastruktur aus, suchen die eine gut auszunutzende Schwachstelle, um in die IT-Systeme einzudringen.
Ransomware verschlüsselt Daten und blockiert IT-Systeme
Gezielte Angriffe – oft auch per E-Mail
Meist erfolgen solche Angriffe zunächst niederschwellig: Die Cyberkriminellen verschicken zum Beispiel E-Mails an Mitarbeiter, die auf Links klicken, arglos Anhänge öffnen oder auch manipulierte Webseiten ansteuern. Das Arsenal der Cyberangreifer ist riesig – da es unzählige Sicherheitslücken gibt und viele davon nicht zeitnah geschlossen werden.
Erst mal in den Systemen, schauen sich die Cyberangreifer um, suchen nach weiteren Sicherheitslecks und installieren eigenen Programmcode, der ihnen eine vollständige Fernsteuerung erlaubt.
Ransomware-Angriffe nehmen zu
Häufig enden die Attacken mit Ransomware-Angriffen: Hier werden Daten verschlüsselt und manchmal vorher abgegriffen, um ein weiteres Druckmittel zu haben. Danach blockieren die Cyberangreifer IT-Systeme, sie manipulieren Datenbanken, schalten Webseiten ab und sperren Zugänge (damit IT-Personal nichts mehr unternehmen kann).
Oft ist das mit einer kompletten Deaktivierung gleich mehrerer IT-Systeme verbunden.
Die Folge: Der Zugriff auf die Patientenakten fällt aus, oft auch die Buchungssysteme für Operationen, die Zugriffe auf bildgebende Systeme (Röntgen) und vieles mehr. In der Zeit fordern die Cyberangreifer Lösegeld, nicht selten hohe Summen von mehreren hunderttausend EUR.
„Es wird zu wenig investiert“
Manuel Atug von der AG Kritis, der sich für den Schutz kritischer Infrastruktur einsetzt und regelmäßig die Bundesregierung berät, wundert sich nicht über die Zunahme der Fallzahlen: „Die meisten Kliniken haben einen enormen Investitionsstau in der IT. Wenn Geld investiert wird, dann nicht in die IT-Infrastruktur und schon gar nicht in IT-Sicherheit“.
Die Cyberangreifer attackieren vor allem deshalb vermehrt Kliniken, weil hier der Druck hoch ist, schnell wieder normal arbeiten zu können. Die Chance, mit der Erpressung erfolgreich zu sein und Lösegeld zu erhalten, ist hoch. Überall in der westlichen Welt, in den USA und in Europa, nehmen solche Angriffe bedrohliche Ausmaße an.
Cyberkriminelle betreiben Franchise-System
Nach Erfahrung von Atug steckt hinter vielen dieser Angriffe eine Bande namens „Lockbit“. Die Cyberkriminellen sind seit 2019 aktiv und haben ein perfides System eingeführt: Sie haben nicht nur reichlich Werkzeuge entwickelt, um in IT-Systeme einzudringen, Daten zu verschlüsseln und Lösegeld zu fordern (und kassieren), sondern sie bieten diese Werkzeuge sogar anderen Cyberkriminellen als fertigen Werkzeugkasten an.
Das funktioniert dann wie ein Franchise-System: Andere Cyberbanden nutzen das Know-how und die Technologie und teilen ihre Beute. Sie zahlen eine Provision. Die Angreifer kommen aus aller Welt. Schon allein aufgrund dieses Franchise-Systems nehmen die Ransomware-Angriffe zu.
Manuel Atug von der AG Kritis fordert mehr Awareness und Investment
Angriffe auf lebenserhaltende Systeme möglich
Auf Lebensunterstützende Hightech der Patienten, etwa auf der Intensivstation, haben es die Cyberkriminellen nach Erfahrung von Atug zwar in der Regel nicht abgesehen. Dabei gebe es auch hier, etwa bei manchen Infusionspumpen oder Geräten zum Auslesen und Programmieren von Herzschrittmachern, durchaus ernsthafte Sicherheitsrisiken.
Viel wahrscheinlich und auch häufiger sind nach Atug aber „Kollateralschäden“: Lebenswichtige Geräte fallen aus oder können nicht vernünftig arbeiten, weil die gesamte IT im Haus ausfällt. Darüber hinaus müssen Patienten verlegt werden oder Rettungswagen können betroffene Kliniken nicht anfahren. Auch diese Folgen sind in vielen Fällen lebensbedrohlich.
Auch manche lebenserhaltende Maschinen hängen am Netz
AG Kritis fordert mehr Investitionen
Manug fordert deshalb deutlich mehr Investitionen, um Angriffe auf die IT-Infrastruktur besser abwehren zu können. Neben gutem Personal und IT-Ausstattung gehört dazu auch eine solide Ausbildung und gutes Training aller Mitarbeiter. Denn jeder Mitarbeiter, der im stressigen Alltag einen Fehler begeht, ist ein potenzielles Sicherheitsrisiko.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt 20% des Budgets in IT-Sicherheit zu investieren. Davon sind die meisten Kliniken allerdings meist meilenweit entfernt (aber nicht nur die).
Nach Ansicht von Experten brauchen nicht nur Kliniken und Krankenhäuser Resilienz-Konzepte: Sollte ein Angriff erfolgen und gelingen, müssen schnell Notfallsysteme an den Start – und alle notwendigen Daten müssen verfügbar sein. Es reicht nicht, nur alle paar Wochen Backups anzufertigen.
EU-Regel NIS2 zwingt zu Maßnahmen
Doch Krankenhäuser und Kliniken müssen nachbessern. Dazu zwingt sie eine EU-Richtlinie namens „NIS2“ (Network and Information Security). Sie sieht vor allem in Hinblick auf Kliniken eine Verbesserung der Cybersicherheit für Betreiber kritischer Infrastrukturen (KRITIS) vor, zu denen Krankenhäuser gehören.
NIS2 ist seit 16. Januar 2023 in Kraft und fordert Krankenhäuser zu einem angemessenen Risikomanagement für ihre IT-Systeme und -Netzwerke auf. Die Umsetzungsfrist für die meisten Krankenhäuser endet am 17. Oktober 2024. Die Richtlinie legt fest, dass Krankenhäuser ein angemessenes Risikomanagement für ihre IT-Systeme und -Netzwerke implementieren müssen. Dazu gehören Maßnahmen wie:
- Identifizierung und Bewertung von Risiken
- Verschlüsselung sensibler Daten
- regelmäßige Sicherheitsaudits
- Einrichtung eines Notfallplans für den Fall eines Konsequenzen bei Nichteinhaltung
Krankenhäuser, die die NIS2-Richtlinie nicht einhalten, können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden. Neben finanziellen Strafen können schwerwiegende Sicherheitsverletzungen zu Folgen führen.
Manuel Atug von der AG Kritis befürwortet diese Verschärfungen. Allerdings hat Atug Sorge, dass es genügend IT-Fachkräfte am Markt gibt, die diese Aufgaben übernehmen könnten. „Wir bilden viel zu wenig aus. Das ist eine gesamtgesellschaftliche Aufgabe.“
