Cybersecurity ist nicht nur ein IT-Problem

Cyberangriffe auf Krankenhäuser und andere Gesundheitseinrichtungen haben während der Pandemie stark zugenommen. Auch Schweizer Spitäler bleiben nicht verschont. Im Oktober 2019 schleusten Kriminelle den Trojaner Emotet über eine gefälschte E-Mail ins Netzwerk des Spitals Wetzikon. Am 21. Juli 2020 gelang es kriminellen Hackern, mithilfe der Schadsoftware Trickbot ins Netzwerk der Hirslanden-Gruppen einzudringen. Beide Angriffe gingen glimpflich aus. Zum Glück, denn unerwartete Ausfälle können gravierende Folgen haben. Spitäler stehen also in der Pflicht, ein ganzheitliches Cybersecurity-Konzept zu erarbeiten, um auch im Ernstfall weiter operieren zu können.

Das NIST Cybersecurity Framework dient dabei als Werkzeug zur Orientierung bei der Entwicklung eines solchen Konzepts. Ganz wichtig dabei: Der Fokus beim Ausarbeiten eines Konzepts sollte nicht strikt in der IT-Abteilung stattfinden, sondern auf Ebene der Geschäftsprozesse. Die Prozesse und das Geschäftsumfeld entlang der gesamten Wertschöpfungskette müssen in die Massnahmenplanung einbezogen werden. Deshalb ist die Entwicklung eines Cybersecurity-Konzepts auch kein reines IT-Thema, sondern betrifft auch Management, medizinisches Personal oder die Küche.

Schritt 1: Vorbereitung

Der erste Schritt in der Entwicklung eines Cybersecurity-Konzepts ist die Risikobeurteilung. Dafür müssen Spitäler kritische Kernprozesse definieren, die Risikowerte bezüglich Auswirkung und Eintrittswahrscheinlichkeit beurteilen sowie relevante Cyberrisiken ermitteln.

Schritt 2: Workshops

Aus diesen Informationen können konkrete Bedrohungsszenarien abgeleitet werden. Spitäler können diese dann im Rahmen von Intensivworkshops durchspielen, quasi als "Trockenübung" – beispielsweise eine Ransomware-Attacke. Dabei gilt es nicht nur die IT-Abteilung, sondern auch andere relevante Stake­holder zu involvieren. Je realitätsgetreuer und komplexer das Szenario, desto genauer können die Auswirkungen und der mögliche Schaden analysiert werden.

Schritt 3: Konkrete Massnahmen ableiten

Basierend auf den ermittelten Grundlagen bezüglich der Ausfallzeiten von Geschäftsprozessen, Systemen oder der kritischen Assets können Empfehlungen bezüglich der zu treffenden Massnahmen sowie der empfohlenen Strategien gemacht werden. Der Fokus dieser Empfehlungen liegt oftmals auf Prävention, Erkennung und Wiederherstellung.

Zu den präventiven Massnahmen gehören etwa die Stärkung der Best Practices im Bereich IT-Security wie die Isolation von OS-Versionen von medizinischen Geräten, die keine regelmässigen Sicherheitsupdates erhalten. Bei der Erkennung von Cyberangriffen drehen sich die Empfehlungen häufig um die Einführung effizienter Detektionsmassnahmen, das Training von Incident-Response-Prozessen oder den Echtzeitschutz von Clients durch XDR-Lösungen. Unter Wiederherstellung fällt auch die Aufrechterhaltung des Betriebs und beinhaltet deshalb auch Strategien zum Krisenmanagement, wenn die eigene IT ausfällt. Krankenhäuser sollten für die Wiederherstellung auch besonderen Wert auf den Schutz ihrer Backups legen. Zudem sollten Spitäler auch bestehende Krisenprozesse auf ihre "Robustheit» prüfen.

Fazit

Es gibt keine mustergültige Lösung für ein ganzheitliches Cybersecurity-Konzept. Denn jedes Spital hat andere Anforderungen. Doch eine Regel gilt universell: In der heutigen, digitalen Welt können es sich Spitäler nicht mehr leisten, Cybersecurity als reines IT-Thema zu betrachten.