Spitäler rücken ins Visier von Cyberkriminellen

«Ransomware-Virus legt Krankenhaus lahm» (Heise online). «Im Jahr 2015 112 Millionen Datensätze im Gesundheitswesen entwendet» (Forbes). Das sind nur zwei der Schlagzeilen, die Sicherheitsprobleme in Spitälern ans Licht der Öffentlichkeit rückten.

IBM Security bezeichnete das vergangene Jahr in einem Bericht über Sicherheitstrend sogar als «Year of the Healthcare Security Breach». Folgerichtig landete der Bereich Healthcare im aktuellen «Cyber Security Intelligence Index» von IBM Security auf dem ersten Platz. 2014 befand sich Healthcare nicht einmal unter den Top 5, und Finanzdienstleistungen lagen klar an der Spitze. Der Finanzsektor belegt im Index nur noch Platz drei. Laut IBM sank hier die Bedrohungslage sogar etwas, obwohl der Bereich immer noch ein sehr attraktives Ziel für Angreifer ist. Als Grund für den Spitzenplatz von Healthcare nennt IBM die vielen bekannt gewordenen Sicherheitslücken. 2015 wurden nach Schätzung von IBM mehr als 100 Millionen Gesundheitsdaten entwendet. Fünf der acht grössten Vorfälle seit 2010 fanden zudem im ersten Halbjahr 2015 statt. Laut dem «Healthcare Internet Security Threat Report» von Symantec für das Jahr 2015 entfallen auf den Gesundheitsbereich 39 Prozent aller Sicherheitsbrüche.

IBM Security macht mehrere Gründe für diese Entwicklung verantwortlich. Zunächst würden Gesundheitsinformationen auf dem Schwarzmarkt einen vergleichsweise hohen Preis erzielen. Die Sicherheitsexperten von Trapx Security schätzen, dass Gesundheitsdaten 10- bis 20-mal wertvoller sind als Kreditkarteninformationen. Im Gegensatz zu Kreditkartennummern oder Adressen blieben Gesundheitsdaten lange gültig, könnten nicht geändert werden und erlaubten einen tiefen Einblick in die Privatsphäre. Cyberkriminelle würden diese Informationen nutzen, um gezielte Phishing-Angriffe zu fahren, einen Betrug zu begehen oder medizinische Identitäten zu stehlen.

Problematik ist bekannt

In der Erhebung «The State of Cybersecurity in Healthcare Organizations in 2016» befragte der Sicherheitsspezialist Eset rund 350 IT-Verantwortliche verschiedener Gesundheitsorganisationen in den USA. Dabei zeigte sich, dass Gesundheitseinrichtungen im Durchschnitt fast jeden Monat angegriffen werden. Zahlen für die Schweiz liegen zwar keine vor. Stefan Juon, ICT-Sicherheitsbeauftragter des Kantonsspitals Graubünden, vermutet aber, dass dieser Wert hierzulande niedriger sei. Als Grund nennt er den eher konservativen Einsatz von neuen Technologien, gerade im Vergleich zu den USA. Spitäler seien etwa noch nicht so stark exponiert wie in den USA, was die Angreifbarkeit verringere. Neue Anwendungen würden erst dann eingeführt, wenn sie eine gewisse Reife erreicht hätten. Daher sei die Gefährdungslage in Europa, wie auch in der Schweiz, tendenziell geringer, aber durchaus existent.

Laut Juon sind die nun bekannt gewordenen Sicherheitsprobleme nicht neu. Es ging nicht von 0 auf 100, wie er betonte. «Die Durchschlagskraft hat sich aber verstärkt.» Dies werde in der gestiegenen Kadenz und der grösseren Verbreitung von Angriffen deutlich. So schnell verschwinden wird die Problematik gemäss Juon auch nicht, die «Vorzeichen stehen eher auf einem starken Wachstum», sagt er weiter.

Die erfolgreichen Hacks auf Gesundheitseinrichtungen waren laut Juon «wohl eher ungezielte Angriffe». Auch die Melde- und Analysestelle Informationssicherung (Melani) bestätigt diese Einschätzung, «Ein Muster bezüglich systematischer Angriffe, spezifisch auf das Gesundheitswesen, konnten wir bisher nicht erkennen», teilt die Behörde auf Anfrage mit. Dennoch ist die Gesundheitsbranche gemäss Juon mehr in den Fokus der Angreifer gerückt. Im Gegenzug hätte die Finanzbranche und auch Regierungen mit Massnahmen stärker auf die Bedrohungen reagiert.

Bisher seien gezielte Angriffe eher selten zu beobachten. In der Regel seien Spitäler bei Massenmailings von Cryptologgern eher Beifang. Juon betont aber, dass dies nur eine Momentaufnahme sei und sich dies ändern könne. «Wir werden in Zukunft gezielte Angriffe auf Personen sehen», zeigt sich Juon überzeugt.

Das Problem der Legacy-Anwendungen

Eines der grössten Sicherheitsprobleme im Gesundheitswesen sind die vielen Legacy-Anwendungen. Der lange Lebenszyklus von medizinischen Geräten ist ein weiteres Problem, wie Martin Darms, Inhaber und Gründer von Darms Engineering, betont. Nur wenige Betriebssysteme werden auch über einen solch langen Zeitraum weiterentwickelt und regelmässig mit Sicherheits­updates versorgt.

Zudem könnten diese Geräte nicht einfach bei laufendem Betrieb aktualisiert werden, so wie etwa in anderen Wirtschaftbereichen. Ein Reboot einer laufenden Herz-Lungen-Maschine sei einfach nicht denkbar. Zudem seien viele der Geräte vom Hersteller zertifiziert, und Updates müssten auf diese Konfigurationen abgestimmt sein. Daher brächten sie häufig einen sehr hohen Testing-Aufwand mit sich, sagt Darms.

Er rät daher, alte Geräte möglichst entkoppelt vom Internet zu betreiben. Wenn dies nicht möglich sei, dann sollte der Datenverkehr kontrolliert werden. Zudem sollten die Rechte der Maschinen genau betrachtet werden. So sollte das Röntgengerät etwa nur auf die Datenbank für Röntgenbilder zugreifen dürfen, es braucht keine Lese- und Schreibrechte auf das Buchhaltungssystem oder den Exchange-Server, wie Darms veranschaulicht.

Juon spricht zudem die Herausforderungen der vielen Legacy-Geräte an. IT-Verantwortliche müssten sich bewusst sein, dass die Geräte nicht einfach 15 Jahre ohne Updates betrieben werden könnten. Es brauche eine ähnliche Philosophie wie bei PCs, deren Software regelmässig auf den neuesten Stand der Technik gebracht würden. In der Vergangenheit hätten sich die Hersteller auch zu wenig darum gekümmert, sagt Juon weiter. Er sieht aktuell aber einen Wandel. Neu ausgelieferte Geräte würden jetzt schon vom Werk mit den neuesten Sicherheitsanforderungen ausgestattet. Es bewege sich in die richtige Richtung, aber das Tempo sei zu langsam.

Pascal Walliser, CEO von Fluance, bemängelt die Sicherheitspolitik vieler Gerätehersteller. Die Passwörter seien teilweise viel zu einfach. Aber auch er sieht Bewegung hin zu mehr Sicherheitsbewusststein in der Branche. Der Erfahrung Wallisers zufolge stürzen sich Angreifer typischerweise auf die neuesten Geräte. Dennoch unterstützt er den Trend, dass Legacy-Geräte vermehrt in nicht-rootbaren Netzen verwaltet werden.

Sensibilisierung auf allen Ebenen nötig

Gerade beim Personal gebe es noch viel Aufklärungsarbeit zu leisten, sagt Darms weiter. Es brauche Schulungen, um ein Bewusstsein bei den Mitarbeitern zu schaffen. Hier unterschieden sich Spitäler nicht von anderen Unternehmen. Walliser sieht auch beim Personal einen wichtigen Ansatzpunkt. Seiner Meinung nach sind die IT-Kompetenzen beim Personal in Spitälern «eher schlecht». Hinzu komme teilweise eine Ignoranz der Betroffenen. Walliser hat sogar die Erfahrung gemacht, dass Teilnehmer Fortbildungskurse boykottierten. Fehlende Sensibilität sieht Darms gerade auch im Management. «Die sind froh, wenn es läuft, sie fragen aber nicht, wie sicher es läuft.» Denn die Hard- und Softwarelandschaft in Spitälern sei ein sehr komplexes Gebilde.

Momentan fehlt es laut Juon in der Gesellschaft noch an der nötigen Sensibilität. Gesundheitsdaten würden subjektiv als weniger wichtig eingeschätzt als etwa Bankdaten, sagt er. Beim Banking wisse jeder, was alles mit den Daten passieren könnte, bei den eigentlich viel sensibleren Gesundheitsdaten sei dies oft nicht der Fall, sagt er. Besonders auch bei den Patienten sei dieses Unwissen zu beobachten. Kritisch beurteilt Juon aber auch die Hersteller und Anbieter.

Konzentrieren soll sich die Strategie, abgesehen von den technischen Unzulänglichkeiten, vor allem auf die Bewusstseinsschärfung, betont Juon. Besonders der kritische Blick der Mitarbeiter müsse geschult werden. Ansetzen müsse die Bewusststeinänderung aber schon auf der Ebene der Geschäftsleitung. Obwohl seiner Meinung nach noch viel zu tun ist, sieht Darms doch schon positive Entwicklungen. «Das Bewusststein ist gestiegen», stellt er fest. Dies nicht nur bei den Mitarbeitern, sondern auch bei den Entscheidungsträgern. «Sicherheit muss vom ganzen Unternehmen getragen werden», sagt er. Zudem betont er den Stellenwert der Kommunikation. Diese müsse in Sicherheitsfragen bis hin zur untersten Ebene getragen werden. Eine Aufnahme dieses Themas ins Arbeitsreglement bezeichnet er in diesem Zusammenhang als einen sinnvollen Schritt. Erst wenn alle diese Punkte realisiert seien, könne man sich an die Umsetzung einer wirksamen Strategie machen. Laut Juon drängt aber die Zeit, denn die Angreifer schlafen nicht.

Auch für Melani ist die Sensibilisierung für Fragen in Bezug auf Cybersicherheit zentral. Hier würden sich Spitäler auch nicht gross von anderen Schweizer Unternehmen unterscheiden. Wie in jeder Branche gebe es Institutionen, die mehr oder weniger unternehmen. Oft spielten hierbei auch die finanziellen und personellen Möglichkeiten eine Rolle. Prinzipiell könnten daher Universitätskliniken mehr leisten als kleinere Einrichtungen. Verallgemeinern lässt sich dies gemäss Melani jedoch nicht.

Spitäler sind auch Unternehmen, aber nicht nur

Laut Melani, die auch für den Schutz kritischer Infrastrukturen wie Gesundheitseinrichtungen zuständig ist, sind «Spitäler nicht sicherer oder weniger sicher vor Cyberangriffen als andere Unternehmen». Diese Einschätzung konnten aber nicht alle Gesprächspartner uneingeschränkt unterstützen. Denn die fehlende Sensibilisierung der Mitarbeiter, die Besonderheit der Legacy-Systeme und die langen Lebenszyklen heben die Gesundheitsbranche von anderen Unternehmen ab.

Und der nächste Vernetzungsschritt steht den Schweizer Spitälern erst noch bevor. Themen wie Internet of Things oder Bring your own Device halten Einzug. Darms sei «etwas mulmig», wenn er an diese Herausforderungen denke. Seiner Meinung nach ist die Situation potenziell ein «Paradies für Hacker». Aber momentan fehle es noch an Wissen und Zeit, um sich um diese Herausforderungen zu kümmern.

Die Gefahr auch für Schweizer Spitäler nimmt zu. Dies zeigen nicht nur die Berichte von Sicherheitsforschern, auch die Gesprächspartner bestätigen diese Einschätzung. Schlaflose Nächte hat Juon dennoch nicht. Was es vor allem brauche, sei eine gute Strategie, betont er. Eine sachliche Betrachtung im Ernstfall helfe mehr als Aktionismus. Die Strategie müsse im Ernstfall konsequent umgesetzt und dürfe nicht durch Vorkommnisse jedes Mal komplett infrage gestellt werden. Wichtig sei es aber auch, die Strategie regelmässig den Gegebenheiten anzupassen.