Partner-Post Fachbeitrag

Cybersicherheit im Gesundheitswesen: So viel Aufholbedarf besteht

Uhr
von Urs Küderli, Partner und Leader Cybersecurity and Privacy, und Johannes Dohren, Partner, Head of Cyber Resilience and Defense, PwC Schweiz

Das Gesundheitswesen gehört zur zentralen kritischen Infrastruktur eines Landes. Spitäler und ­andere Gesundheitsorganisationen sind aber auch attraktive Angriffsziele für Cyberkriminelle. Müssen sie damit sicherstellen, dass ihre Cybersicherheit die höchsten Anforderungen erfüllt?

Urs Küderli (l.), Partner und Leader Cybersecurity and Privacy, und Johannes Dohren, Partner, Head of Cyber Resilience and Defense, PwC Schweiz. (Source: zVg)
Urs Küderli (l.), Partner und Leader Cybersecurity and Privacy, und Johannes Dohren, Partner, Head of Cyber Resilience and Defense, PwC Schweiz. (Source: zVg)

Spitäler gehören ebenso wie Energie, öffentliche Sicherheit, Kommunikation, Verkehr oder Wasserversorgung zur kritischen Infrastruktur unseres Landes. Nicht nur wenn Personal, sondern auch wenn die IT in Spitälern ausfällt, hat das schnell dramatische Folgen. Spitäler sind stark auf das Funktionieren von Technologie und auf das Zusammenspiel verschiedener digitaler Systeme angewiesen. Zudem ist die breite und umfassende Digitalisierung für jedes Spital eine zentrale Herausforderung, und Cybersicherheit einschliesslich des Schutzes der Daten ist dabei unerlässlich.

Nicht nur der Schutz, auch die Verfügbarkeit von Patientendaten und medizinischen Geräten ist entscheidend für Behandlungserfolg und Effizienz, im Notfall sogar für Leben und Tod. Da der Ausfall eines Spitals weitreichende Konsequenzen hat und öffentliches Aufsehen erregt, ist das Gesundheitswesen ein attraktives Ziel für Cyberakteure. Und leider wird die Bedrohungslage durch die Tatsache verschärft, dass Spitäler oft unzureichend gegen Cyberattacken gewappnet sind.

Die wichtigsten Bedrohungen kennen

Die Studie "Cyber Threats 2021: A Year in Retrospect" zeigt, dass die Angriffsszenarien im digitalen Raum komplexer, organisierter und immer schwerer zu identifizieren werden. Die zurzeit wichtigsten Bedrohungen stammen von Ransomware-Angriffen, Zero-Day-Schwachstellen, Sabotage und Spionage.

Ransomware
Die Zahl der Ransomware-Angriffe, bei denen Kriminelle versuchen, Organisationen des Gesundheitswesens zu erpressen, ist seit Beginn der Covid-19-Pandemie deutlich gestiegen. Einerseits bietet Covid-19 die Möglichkeit, überzeugende Köderdokumente zu erstellen, andererseits waren Spitäler während des Ausbruchs der Pandemie von grösster Bedeutung – die Bereitschaft zur Zahlung von Lösegeld scheint auch bei Spitälern hoch zu sein. Es gibt Fälle, in denen zusätzlich individuelle Patientinnen und Patienten mit der Veröffentlichung ihrer Krankenakten erpresst werden.

Zero-Day-Exploits
Zero-Day-Exploits sind Cyberattacken, die Systemschwachstellen ausnutzen, die bereits bekannt, aber durch die Lieferanten noch nicht behoben sind. Am Tag null (zero day) gibt es also noch kein Patch oder Update, mit dem die Sicherheitslücke geschlossen werden kann. Für Spitäler ist das besonders problematisch: Systeme können nicht einfach vom Netz genommen werden, weil der Ausfall kritischer Technologie schwerwiegende Folgen für die Patienten und Patientinnen hat.

Sabotage
Sabotageangriffe zielen in der Regel darauf ab, dem Opfer so stark wie möglich zu schaden, in betrieblicher und in finanzieller Hinsicht. Sie haben oft die Beschädigung kritischer nationaler Infrastruktur zum Ziel, wie verschiedene Beispiele aus dem Energie- und Kommunikationsbereich zeigen. Sabotageakte im Gesundheitssektor können zum Verlust von Menschenleben und zum Ausfall von Spitälern führen.

Spionage
Spionageangriffe im Gesundheitswesen sind besonders heikel. Das Sammeln von sensiblen Informationen – von Finanzdaten bis hin zu Patientendaten und medizinischen Aufzeichnungen – kann für verschiedene Zwecke verwendet werden, einschliesslich Erpressung oder politische Vorteile. Die Patientenakten von Persönlichkeiten aus Wirtschaft und Politik können für Nachrichtendienste und konkurrierende Unternehmen von Interesse sein.

Cyberangriffe im Gesundheitswesen: von Datendiebstahl zum Spitalkollaps

Zu den bekannten Gesundheitsorganisationen, die Opfer von Cyberattacken wurden, zählen grosse amerikanische Gesundheitsversorger, denen hunderttausende Patientenakten gestohlen wurden, die zusätzlich auch Daten zu Bankkonten enthielten. Andere Cyberkriminelle konnten in den USA durch ein Datenleck bei einem Cloud-Computing-Anbieter auf die Bankdaten und Passwörter von Millionen von Menschen zugreifen, wobei viele der betroffenen Organisationen Spitäler waren.

Ein aussergewöhnlich schwerer Ransomware-Angriff erfolgte auf die Health Service Executive (HSE). Sie verantwortet alle öffentlichen Gesundheitsdienstleistungen in Irland (an 4000 Orten, mit 54 Spitälern und mehr als 70 000 Geräten wie Laptops und PCs) und ist mit 130 000 Angestellten die grösste Arbeitgeberin des Landes.

Am 14. Mai 2021 wurden die IT-Systeme der HSE mithilfe der Ransomware "Conti" infiltriert. Um die Auswirkungen des Cyberangriffs einzudämmen und zu bewerten, hat die HSE im Rahmen ihres "Critical Incident Process" (Prozess für kritische Vorfälle) sofort all ihre IT-Systeme abgeschaltet und das nationale Gesundheitsnetz vom Internet getrennt. Dies hatte zur Folge, dass das Gesundheitspersonal keinen Zugang mehr zu den von der HSE bereitgestellten IT-Systemen hatte – einschliesslich Patienteninformationssysteme, klinische Versorgungssysteme, Laborsysteme und nicht-klinische Systeme wie Finanzen, Lohnabrechnung und Beschaffung. Es kam zu Unterbrechungen mit schwerwiegenden Folgen.

Cybersicherheit aufbauen und konstant überprüfen

Die HSE bat zunächst das Garda National Cyber Crime Bureau, Interpol und das irische National Cyber Security Centre um Hilfe bei der Reaktion auf die Attacke. Die HSE und die irische Regierung bestätigten am Tag des Angriffs, dass sie kein Lösegeld zahlen würden. Der Vorfall hatte weitaus grössere und langwierigere Auswirkungen als ursprünglich erwartet, und die Wiederherstellung aller Systeme dauerte mehr als vier ­Monate.

Eine unabhängige Überprüfung des Vorfalls und der Reak­tion darauf beinhaltet auch Lösungsansätze bei Cyberbedrohungen im Gesundheitswesen allgemein. Spitäler tun gut da­ran, das Thema Cybersicherheit zu priorisieren und die verschiedenen Gefahren im Zusammenhang mit ihrer Rolle als kritische Infrastruktur zu verstehen.

Zu bemerken ist, dass die Umsetzung von entsprechenden Sicherheitsdispositiven in der Schweiz noch nicht zwingend ist – dies im Gegensatz zu anderen Ländern, wie zum Beispiel Deutschland. Allerdings gibt es eine Sorgfaltspflicht, und das Kompetenzzentrum der Schweiz für Cybersicherheit (NCSC) publizierte "Empfehlungen zur Cybersicherheit im Gesundheitssektor".

----------

In fünf Schritten zu mehr Cybersicherheit

Moderne Cybersicherheit hat zwei Seiten: die Fähigkeit, Risiken und Bedrohungen zu erkennen und einzugrenzen, und die Fähigkeit, auf Vorfälle zu reagieren. Wir empfehlen Spitälern und anderen Gesundheitsorganisationen, ihre Cybersicherheit in fünf Schritten zu erhöhen:

  1. Risiken modellieren und verstehen
    Das Risikobewusstsein für die digitale Infrastruktur, die Prozesse und die Bedrohungslage muss geschaffen werden. Die Lage sollte regelmässig überprüft werden. Zudem sind ein Krisenplan und -teams essenziell, um im Falle eines Angriffs schnell reagieren zu können. Auch hilfreich ist die Kooperation mit anderen Spitälern, um von Cybervorfällen früh zu erfahren und zu lernen.

  2. Status quo analysieren und Umsetzung planen
    Basierend auf einem transparenten Ist- und Sollzustand können konkrete Massnahmen und eine konsequente Umsetzungsplanung abgeleitet werden.

  3. Regelmässige Angriffstests durchführen
    Regelmässige Tests, bei denen Cyberexpertinnen und -experten versuchen, in die Systeme einzudringen, liefern bei jedem Durchlauf neue Schwachstellen.

  4. Den Ernstfall vorbereiten
    Die Detektion laufender Cyberangriffe ist eine der notwendigen Schlüsselmassnahmen. Je schneller und effektiver die Reaktion auf einen Cyberangriff ausfällt, desto höher ist die Chance, den Schaden zu begrenzen. Zu den Incident-Response-Fähigkeiten gehören auch Backup- und Restore-Konzepte für Daten und Systeme genauso wie regelmässige Simulationen von Cybervorfällen.

  5. Patch-Management professionalisieren
    Aktualisierungen und Sicherheitsupdates von Software müssen unverzüglich identifiziert und möglichst schnell eingespielt werden. Veraltete Software macht es Angreifern oftmals wesentlich einfacher.

Webcode
DPF8_266050