Wie bedroht sind Krankenhäuser wirklich?

Experten-Interview

Wir haben Sarah Lisa Wambach, Cybersecurity Spezialistin für den Bereich Healthcare bei Cisco Systems, zum Thema Cyberattacken auf das Gesundheitswesen befragt:

Sarah Lisa Wambach

Sarah Lisa Wambach, Cisco Systems GmbH

Liebe Sarah, sind Krankenhäuser heute mehr von Cyber-Angriffen betroffen als vor wenigen Jahren?

Ein ganz klares JA, wie man auch in allen einschlägigen Fachzeitschriften lesen kann. Warum? Aus dem logischen Grund: Unser Gesundheitswesen wird zunehmend digitalisiert. Das heißt, wir haben digitale Dienste wie Patientenportale und sehr viel mehr Geräte, u.A. Medizingeräte, die innerhalb und außerhalb unserer eigenen Netzwerke kommunizieren. Es gibt Patientenvisiten, die bereits digital ablaufen – also Ärzt:innen und Krankenpfleger:innen, die nicht nur ein Stationstelefon haben, sondern auch ein Mobilgerät oder ein Tablet, mit dem sie Patientendaten abrufen, Diagnosen aufnehmen, die Behandlung begleiten. Kurz: Cyberangriffe sind auch schon vor Jahren zum Normalzustand geworden, aber die potenzielle Angriffsfläche in Krankenhäusern sowie die Abhängigkeit von der IT-Infrastruktur und das Ausmaß der Schäden bei einem erfolgreichen Angriff, haben sich massiv vergrößert.

Die Cisco Talos Organisation hat ausgewertet, dass im ersten und zweiten Quartal diesen Jahres die meisten unserer Incident-Response-Service Einsätze, also die Hilfe im Notfall, mit einem Anteil von rund 22% im Healthcare-Sektor stattgefunden haben – gefolgt von Finance. Daran sieht man, dass es nicht nur eine allgemeine Aussage ist, sondern wir können diese Entwicklung tatsächlich mit unseren Daten untermauern. (Report von Cisco Talos Q1/2023 sowie Q2/2023)

Warum ist deiner Meinung nach dieser Sektor besonders betroffen?

Die Antwort darauf ist vielschichtig: Auf der einen Seite sind Krankenhäuser, befeuert durch die globale und wirtschaftliche Situation, ein beliebtes Ziel, um die Gesellschaft strategisch zu schwächen. Wenn man essenzielle Bereiche stört, wie die Versorgung mit Gas, Wasser, Strom oder den Gesundheitssektor, dann hat dies Auswirkungen auf einen Teil oder sogar die gesamte Bevölkerung eines Landes.

Auf der anderen Seite arbeiten Krankenhäuser mit sensiblen Daten, die auf einschlägigen Verkaufsplattformen viel mehr wert sind, als beispielsweise ein Bankaccount – das sollten wir nicht unterschätzen. Unsere Banken haben oft Automatismen, um die Schadenssummen zu begrenzen und versichern diesen Fall sogar, sodass ich als Kunde meist einen überschaubaren Schaden zu befürchten habe.
Wenn aber meine Patientendaten gestohlen werden, also meine gesamte Anamnese, dann geschieht vielleicht der Versuch einer gezielten Erpressung mit unangenehmen Diagnosen/Befunden oder ein Identitätsdiebstahl. Das heißt, es gibt Personen, die versuchen meine Identität anzunehmen, um sich Gesundheitsdienstleistungen zu erschleichen oder anderweitigen Betrug zu begehen. Es gibt vielfältige kriminelle Absichten, die hinter dem Diebstahl von Patientendaten stecken können.
Natürlich sind neben meinen Diagnosen auch meine komplette Anschrift und persönliche Informationen in den Patientendaten enthalten. Das heikle an diesen Daten ist, dass sie zumindest zum Teil ein Leben lang bestehen bleiben, sich also nicht einfach durch einen Kontowechsel verändern bzw. bereinigen lassen.

Und der dritte Grund ist, und das ist meiner Meinung nach der Schlimmste: Wenn ein Krankenhaus angegriffen wird, dann werden Menschenleben gefährdet. Wenn durch einen Cyberangriff Dienste ausfallen – wenn ein Arzt nicht mehr auf die Akte zugreifen kann; nicht mehr einsehbar ist, wie die Operation ablaufen soll; wie sehen die Röntgenbilder der Voruntersuchung aus; welche Medikamente müssen verabreicht werden –, dann hat das einen direkten Impact auf das Leben eines Menschen.
Die Angreifer erhoffen sich dadurch – gerade wenn wir über das Thema Ransomware sprechen, also Lösegelderpressung –, dass Krankenhäuser sehr gewillt sind, auch die geforderten Lösegelder zu zahlen. Denn ein Krankenhaus steht unter enormen Druck, wenn es der ernsthaften Gefahr ausgesetzt ist, seine Patient:innen nicht mehr adäquat versorgen zu können.
Wenn man Privatkliniken betrachtet, hat dies für Angreifer noch einen anderen Charme. Hier kann ein weiterer Grund sein, dass Patient:innen mit viel Kapital oder gar Personen des öffentlichen Lebens in den Patientenakten stehen. Dann riskiert eine Privatklinik vielleicht noch weniger, dass diese sensiblen Daten abwandern und die hochrenommierte Privatklinik wegen Datenverlust einen schlechten Ruf bekommt. Außerdem haben Krankenhäuser, die nicht zu KRITIS zählen, – Stand heute, Oktober 2023 –, noch keine umfassende Meldepflicht hinsichtlich Cyberattacken. Daher sind wirkliche alle Arten von Krankenhäusern und Kliniken attraktive Ziele für Angreifer.

Das Bundeslagebild Cybercrime 2022 des BKA beschreibt auch eine Professionalisierung im Bereich Ransomware: „Als finanziell besonders lukratives Modell entwickelte sich im Bereich Ransomware bereits in den vergangenen Jahren das sogenannte „Ransomware-as-a-Service“ (RaaS)-Geschäftsmodell. Hierbei vermieten Ransomware-Entwickler den Einsatz ihrer Schadsoftware an sogenannte „Affiliates“, die Ransomware-Angriffe durchführen und Anteile des erpressten Lösegelds erhalten. Diese Form der „Dienstleistung“ versetzt potenzielle Cyberkriminelle in die Lage, auch ohne eigene umfangreiche technische Fertigkeiten, Ransomware-Angriffe durchzuführen.“ – und das vergrößert die Zielgruppe an möglichen Opfern.

Ist wirklich jedes Krankenhaus gefährdet oder können sich die kleineren Häuser entspannen?

Wenn man auf die Gesetzgebung guckt, die wir bisher hatten, dann wurde im Zusammenhang mit IT-Sicherheitsrichtlinien immer das Schlagwort „KRITIS“ in den Raum geworfen. Also größere Krankenhäuser, die über 30.000 stationäre Fälle pro Jahr haben, wurden bislang in puncto IT-Sicherheit reguliert und müssen auch Meldepflichten, Audits, etc. einhalten. Das Ganze wird jetzt aber in Form von NIS2 auch für die kleineren Häuser relevant.

Die NIS2-Richtlinie (NIS 2 Directive) schreibt vor, dass nicht nur in Deutschland, sondern wirklich EU-weit, Mindeststandards für Cybersecurity etabliert werden müssen – besonders der Gesundheitssektor wird nun in dieser Richtlinie eingeschlossen. Das heißt spätestens, wenn die 2023 in Kraft getretene EU-Richtlinie im deutschen Recht umgesetzt ist, werden sich auch die kleineren Häuser mit dem Punkt IT-Sicherheit stärker beschäftigen müssen.

Es macht für mich als Patientin auch keinen Unterschied, ob ich in einem riesigen oder einem kleinen Haus behandelt werde; meine Patientendaten haben egal an welchem Standort die gleiche Wertigkeit und bedürfen überall geschützt zu werden. Ebenso kann ein Ausfall in jedem Krankenhaus zu Störungen in der Patientenversorgung führen. Bereits jetzt muss sich jedes Krankenhaus um die IT-Sicherheit kümmern, auch wenn die gesetzlichen Regularien unterschiedlich „streng“ aussehen.

Was wir nicht vergessen dürfen ist, dass es sich für Angreifer:innen manchmal gar nicht lohnt gezielt vorzugehen, sondern dass oft Massenangriffe durchgeführt werden. Gerade Phishing-Mails sind typische Attacken, die ohne viele Ressourcen auf Masse gefahren werden können. Das Risiko ist definitiv für jede Krankenhausgröße gegeben – nur die Art und Weise, wie Cyberkriminelle vorgehen, mag unter Umständen nicht ganz so gezielt sein, was aber nicht bedeutet, dass der Schaden dann geringer ist.

Und was kann ich als Krankenhaus tun, um mich davor zu schützen?

Das ist eine Frage, die uns eigentlich täglich gestellt wird. Wir sehen 7 dringende Handlungsfelder für einen effektiven Schutz vor Cyberattacken – ich werde ein paar Themen genauer erklären:

Der erste Punkt sind Systeme zur Angriffserkennung. Diese stellen auch für KRITIS-Häuser einen elementaren Punkt dar, denn sie sind seit Mai 2023 dazu verpflichtet. Diese Pflicht bedeutet, dass es heute nicht mehr reicht zu versuchen Angreifer mit einer Firewall abzuwehren, sondern ich muss mich als IT auch darum kümmern, Angreifer so früh wie möglich in meinem Haus zu finden. Dafür benötigt es Tools und Prozesse, mit denen wir schon das kleinste atypische Zeichen, also das Auftreten von Anomalien, in unseren Netzen sehen. Nicht jede Kommunikation von einem Client zu einem anderen Client, also beispielsweise von PC zum Drucker oder eben auch von Medizingeräten zum Server, läuft unbedingt über eine Firewall. Das heißt, ich bekomme unter Umständen gar nicht mit, dass sich jemand im Netz bewegt und was er dort macht. Es gibt genug prominente Beispiele bei denen im Nachhinein festgestellt wurde, dass die Angreifer Monate oder teilweise wenige Jahre im Netz verharrt und ausgekundschaftet haben, bis sie schlussendlich zugeschlagen haben.

Für diese Szenarien sind, wie erwähnt, nicht nur Tools notwendig, um Angriffe zu erkennen, sondern besonders wichtig sind auch die Prozesse dahinter: Wer wird aktiv, wenn so ein Alarm tatsächlich ausgelöst wird? Wer darf welche Entscheidung treffen? Darf ich unsere Medizingeräte online lassen, obwohl sie kompromittiert sind? Wer ist in der Lage das Risiko für Patienten und Betrieb einzuschätzen? Wie ist unser Business Continuity Management? Also wie kann ich den Krankenhausbetrieb fortführen, obwohl ich gerade unter einer aktiven Attacke stehe, in der Incident Responder in mein Data Center rennen um zu versuchen die Daten zu sichern und den Schaden zu minimieren? Wer spricht wann mit den nötigen Behören/Pressestellen?
Auch schon unsere kleineren Krankenhäuser müssen sich diese Prozesse überlegen, denn am Ende des Tages sind sie für alle die gleichen – ob bereits reguliert oder nicht.

Ein weiterer Punkt für den Anfang oder besser gesagt, um das Sicherheitslevel eine Stufe nach oben zu heben, ist der Schutz von Admin-Accounts.
Denn wenn Angreifer Usernamen und Passwörter haben, kommen sie unter Umständen relativ weit in einem Netz. Das heißt, ähnlich wie man es heute auch schon von seinem Online-Bankaccount kennt, wo ein zweiter Faktor beispielsweise als SMS-Code eingegeben werden muss. Gerade bei den privilegierten Admin-Accounts – also den Accounts, die Zugang zur Infrastruktur, auf relevante Daten oder eben auch die Verwaltung, Zahlungen oder Forschung haben – ist es wichtig, die Sicherheit zu evaluieren und ggf. zu verstärken. NIS2 sieht hier vor, eine Multifaktor-Lösung einzuführen. In der IT benutzen wir gerne Biometrie, weil es effektiv und gleichzeitig nutzerfreundlich ist. Das heißt, man misst mit Venenscannern, verwendet den Fingerabdruck oder blickt in eine Kamera, sodass man nichts bei sich hat, was man verlieren oder vergessen könnte. Kein Verfahren ist unhackable, aber die notwendigen Anstrengungen von Angreifern werden dadurch enorm erhöht.

Ein weiterer Punkt, welchen wir auch gerade als erfolgreiche Kampagne mit vielen Kliniken umgesetzt haben, ist das Thema DNS-Layer-Schutz. Bedeutet: Das DNS-Protokoll, welches unseren Geräten ermöglicht, die Verbindung ins Internet aufzubauen, kann, ausgestattet mit Bedrohungsintelligenz, für einen zusätzlichen, höheren Schutz sorgen. Statistisch gesehen kann eine von drei Attacken schon am DNS-Layer abgeblockt werden – einfach nur durch die Reputationsdaten, die wir über diese Domänen wissen.

Die meisten Angriffe nutzen auch DNS. Warum? Weil es der einfachste, günstigste Weg ist, wie Angreifer mit ihrer eigenen Infrastruktur kommunizieren können. Warum machen sie das? Auf der einen Seite ist ein Ziel – ein (Cloud-)Server – notwendig, um Daten aus einem Krankenhaus heraus zu transferieren. Diese werden weiterverkauft oder für eine doppelte Erpressung „Double Extorsion“ genutzt. Auf der anderen Seite bedarf es, wenn wir über Ransomware sprechen, auch einen Encryption Key. Das heißt, wenn die Angreifer schon in der Klinik angekommen sind, müssen sie meist weitere Teile des Schadcode nachladen oder noch einmal mit ihrer Infrastruktur kommunizieren, um mitzuteilen, dass sie nun bereit sind den Encryption Key zu empfangen, um die Daten zu verschlüsseln.

Bei 96 Prozent der Angriffe sehen wir, dass DNS eine wirklich tragende Rolle gespielt hat. Das heißt, wenn man sich diesen Vektor anschaut und effektiv schützt, dann kann man das Risiko einer Cyberattacke enorm minimieren.
Dies ist der Grund, warum wir die Kampagne mit Zielgruppe der kleineren Kliniken durchgeführt haben. Denn um den DNS-Schutz zu etablieren, bedarf es keinerlei Cisco Infrastruktur, sondern nur einer Eintragung auf Ihrer Firewall. Wir greifen also weder ins Netz ein, noch benötigen wir ein Wartungsfenster oder eine Downtime. Wir heften uns an den äußersten Punkt und verändern nur die Art und Weise, wie der DNS fortan aufgelöst wird. Alle Webseiten Aufrufe, die nach außen gehen, werden dann einfach bei Cisco Umbrella in Frankfurt aufgelöst und nicht mehr beim vermutlich lokalen IT-Provider oder bei Google. So konnten wir in den vergangenen Monaten sehr schnell und unaufwändig mehr Sicherheit für unser deutsches Gesundheitssystem erzielen.

Und noch ein wichtiger Punkt ist einen Notfallplan zu haben – also ein erprobtes Vorgehen, wie Sie und Ihre Kollegen im Fall der Fälle auf Cyberangriffe reagieren. Wir haben einen Notfallservice für Sie parat, den Sie anrufen können – auch wenn Sie heute noch kein Cisco Kunde sind. Es gibt keine Voraussetzung an Cisco Infrastrukturkomponenten oder Ähnliches. Die Kolleg:innen bringen die Tools mit, die sie benötigen, um die Attacke sichtbar zu machen und beheben zu können. Ob DNS-Layer-Schutz oder Netzwerk-Anomalie-Erkennung – das Cisco Talos Team kommt mit einem Blumenstrauß an Tools, etabliert diese und hilft Ihnen die Angreifer zu finden, einzudämmen und wieder zum Normalzustand zurückzukehren. Die Hotline der Cisco Talos Incident Response (CTIR) lautet: +44 808 234 63 53

Vielen Dank, liebe Sarah! Das war sehr viel aufschlussreicher Inhalt zum Thema Cyberattacken im Gesundheitswesen – was möchtest du abschließend mitgeben?

Wir haben einige Themen besprochen haben, aber der wichtigste Schritt ist, dass sich jedes Krankenhaus zumindest mit den dringendsten Handlungsfeldern auseinandersetzt.

Wir haben dafür einen kostenlosen Self-Check erstellt, der dabei hilft, die eigene Ist-Situation einzuschätzen. Und wenn Sie Handlungsbedarf erkennen, können Sie uns gerne kontaktieren. Schreiben Sie mir dazu eine Mail an it.sicherheit@cisco.com und ich melde mich zur Terminvereinbarung bei Ihnen. In dem Termin besprechen wir individuell, was die Kernthemen für Ihr Krankenhaus sind und helfen dann gemeinsam mit unseren Dienstleistern auch gerne bei der Umsetzung.
Wenn Sie einen Cyber-Notfall haben, dann zögern Sie bitte nicht, direkt unsere Notfallhotline, den Cisco Talos Incident Response (CTIR) unter +44 808 234 63 53 anzurufen!