Zur Not von Hand

Die Bedrohung Kritischer Infrastrukturen und Unternehmen allgemein durch Cyber-Attacken hat in den letzten Jahren deutlich zugenommen. Bei den Angriffen handelt es sich dabei um eine Mischung aus zielgerichteten und ungezielten Versuchen, in fremde Netzwerke einzudringen.

Häufig werden diese Angriffe mit täuschend echten E-Mails in großen Spam-Wellen durchgeführt, sodass es bereits für die Täter lukrativ ist, wenn nur einige wenige Nutzer die Links oder Anhänge in solchen Mails öffnen. Die Folgen können unterschiedlich sein, von der Installation einer Schadsoftware zur Ausspähung weiterer Daten, Sabotage oder das „Kidnappen“ ganzer Rechner und Netzwerke, die erst gegen Lösegeld wieder entschlüsselt werden können.

Hierbei geraten auch verstärkt Institutionen aus dem deutschen Gesundheitswesen ins Visier der Angreifer. Das BSI hat im Frühjahr letzten Jahres eine Umfrage durchführen lassen. Demnach wurde eine Anzahl Krankenhäuser zumindest Opfer versuchter Angriffe mit dem Ziel, eine Ransomware zu installieren.

Etwas weniger als die Hälfte (43 von 89) der Betroffenen hatten eine Infektion registriert, die aber bis auf wenige Ausnahmen, innerhalb von 24 Stunden beseitigt werden konnte, ohne Auswirkungen auf die kritischen Versorgungsdienstleistungen.

Bei dem Einsatz von Ransomware handelt es sich nicht um ein neues Phänomen. Doch seit 2015 hat die Zahl an Fällen, in denen Ransomware zum Einsatz kam, deutlich zugenommen. In vielen Fällen wird das Lösegeld gezahlt, damit die Betroffenen wieder an ihre Daten herankommen. Dabei können nicht nur auf dem betroffenen Client Daten verschlüsselt werden, sondern auch auf angeschlossenen Netzlaufwerken und Cloud-Dienste.

Im Gegensatz zu anderen Angriffsformen wie Trojanern oder Identitätsdiebstählen handelt es sich bei Ransomware-Angriffen um unmittelbare Schadensereignisse, die – wenn sie erfolgreich waren – sofort eintreten. Die Angriffe können in zweierlei Richtungen erfolgen: Als breit angelegter Massenangriff (Spam), in der Hoffnung, alleine durch die Anzahl der versendeten Mails einen Prozentsatz an Opfern zu generieren oder als gezielte Attacke auf ein System.

Dass in letzter Zeit auch vermehrt Krankenhäuser ins Ziel Krimineller geraten, hat mehrere Gründe. Da sie für die medizinische Versorgung der Bevölkerung zuständig sind, liegt ihnen eine besondere Kritikalität zugrunde. Gerade in Regionen, in denen die Krankenhausdichte nicht besonders hoch ist, ist ihre Versorgungsleistung faktisch und auch in der Wahrnehmung der Menschen als besonders wichtig einzustufen.

Ein teilweiser oder vollständiger Ausfall dieser Dienstleistungen führt schnell zu einer möglicherweise negativen öffentlichen Wahrnehmung und damit zu einem nicht bezifferbaren Imageverlust. Ferner erzeugt die durchgängige Digitalisierung der Arbeitsabläufe im medizinischen Bereich eine große Menge personenbezogener Daten, deren Veröffentlichung ebenfalls negative Auswirkungen hätte.

Gleichzeitig bedeutet dies, dass unterschiedliche Systeme miteinander kommunizieren, von Abrechnungsstellen über Labore bis hin zu Datenbanken. Ähnliches gilt für die Medizintechnik als solche, in der die Digitalisierung zu einem beinahe ständigen Datenaustausch zwischen einzelnen Geräten und Systemen geführt hat.

Die relativ offenen IT-Systeme in Krankenhäusern ermöglichen daher auch Angriffe, die letztlich auch die Steuerungen medizinischer und anderer Geräte treffen können. Das Risiko hierfür entsteht hauptsächlich aus dem Netz.

Im Februar letzten Jahres machte der Cyberangriff auf das Lukaskrankenhaus in Neuss Schlagzeilen. Hier war es den Angreifern gelungen, Code mit einer Ransomware auf das Netzwerk zu laden, um das Krankenhaus später mit verschlüsselten Daten zu erpressen.

1 (3) Social Engineering und Phishing

2 (2) Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware

3 (1) Infektion mit Schadsoftware über Internet und Intranet

4 (5) Einbruch über Fernwartungszugänge

5 (4) Menschliches Fehlverhalten und Sabotage

6 (6) Internet-verbundene Steuerungskomponenten

7 (7) Technisches Fehlverhalten und höhere Gewalt

8 (9) Kompromittierung von Extranet und Cloud-Komponenten

9 (10) (D)DoS Angriffe

10 (8) Kompromittierung von Smartphones im Produktionsumfeld

Quelle: BSI

Das Krankenhaus verfügt über 537 Betten und nimmt jährlich etwa 30.000 Patienten stationär auf. Rund 1.800 Mitarbeiter beschäftigt das Klinikum. Hier wurde auch eine „Visite 2.0“ eingeführt, bei der Informationen digital dokumentiert und damit schneller verarbeitet werden können. Die Infektion wurde zwar relativ früh bemerkt, dennoch mussten alle Systeme aus Sicherheitsgründen, etwa um sensible Patientendaten zu schützen, heruntergefahren werden.

„Das bedeutete, das Klinikum wurde quasi auf Handbetrieb umgestellt“, erläutert Dr. Nicolas Krämer, Geschäftsführer Städtische Kliniken Neuss, Lukaskrankenhaus GmbH. Es stand einige Tage kein SAP, keine Visite 2.0, kein Internet, keine E-Mail und auch keine Versorgungsleistungen wie Strahlentherapie oder Nuklearmedizin zur Verfügung.

Hierfür existierte ein eigens ausgearbeitetes Notfall- und Krisenmanagement bei Ausfall des Stroms und der IT-Systeme. Das Desinfizieren der betroffenen Netzwerke und Daten, das Einspielen der Backups sowie das kontrollierte Hochfahren der Systeme dauerte einige Tage, führte aber zu keinerlei Ausfällen bei der Grundversorgung. „Viele Patienten bekamen dank der guten Organisation gar nicht mit, dass etwas vorgefallen war“, so Krämer.

Der Angriff selbst war nicht zielgerichtet gegen das Krankenhaus, sondern war Teil einer breiten Spam-Attacke auf den E-Mail-Server. Die umfangreiche Vernetzung in Krankenhäusern lässt ein in sich geschlossenes System so gut wie nicht zu. Hinzu kommt, dass sich Mitarbeiter und Ärzte oftmals einen PC teilen und auch Patienten sich relativ einfach Zugang zu einem PC verschaffen können.

Das größte Problem ist wie das Beispiel Neuss aber zeigt, ist der Mensch und sein Nutzerverhalten. Das Anklicken eines Anhangs ist schnell passiert und auch aktuelle Virenscanner haben nicht die Möglichkeit, alle Bedrohungen rechtzeitig zu erkennen. Hier können nur intensive Schulungen der Mitarbeiter helfen, die notwendige Aufmerksamkeit zu schaffen, damit verdächtige E-Mails entweder sofort gelöscht oder gemeldet werden.

Unternehmen wie die Nside Attack Logic GmbH prüfen auf Wunsch die IT-Sicherheit in Unternehmen und arbeiten hierfür auch mit bewusst gefälschten E-Mails, um Nutzer zu einem verhängnisvollen „Klick“ zu bewegen. „Hiermit sollen Mitarbeiter sensibilisiert werden, auf verdächtige Inhalte, Formulierungen oder Absenderadressen zu achten“, erläutert Rainer Giedat, Geschäftsführer bei Nside.

Letztendlich lässt sich nur so der Schutz von relativ offenen IT-Systemen wie in Krankenhäusern verbessern, denn die Angriffe kommen überwiegend aus dem Netz und per E-Mail. „Virenscanner sind angesichts ständig neu aufkommender Schadsoftware und deren Varianten gar nicht in der Lage, diese immer aktuell und umfassend zu erkennen.

Schon gar nicht, wenn die Software für einen Angriff gezielt geschrieben wurde“, so Giedat. Neben der Sensibilisierung der Mitarbeiter gibt es dennoch einige andere Maßnahmen, die zumindest die Auswirkungen von Angriffen begrenzen können. Dazu gehört etwa die Segmentierung von Netzwerken durch Firewalls im internen Netz, damit gerade in Krankenhäusern kritische medizinische Systeme abgekoppelt etwa von der Patientenverwaltung oder Abrechnung laufen.

In Neuss sollen sich die Mitarbeiter künftig etwa per Single-Sign-On über eine Identkarte anmelden. Zudem sollte generell darauf geachtet werden, dass jeder Mitarbeiter auch nur Zugriff auf die für seine Arbeit relevanten Systeme und Daten hat. Und schließlich zählt auch der Umgang mit solchen Vorfällen. Dank seiner offenen Informationspolitik gegenüber Patienten und Medien hatte das Lukaskrankenhaus keine Imageschäden, aber durchaus finanzielle Einbußen zu beklagen.

Im Rahmen des von der Bundesregierung verabschiedeten IT-Sicherheitsgesetzes können branchenspezifische Sicherheitsstandards ausarbeitet werden. Derzeit existieren – im Unterschied etwa zu den detaillierten Vorgaben zum Brandschutz – noch wenige rechtliche Verpflichtungen zur Absicherung des Gesundheitswesens.

Krankenhäuser sind als Teil des Gesundheitssektors im Branchenarbeitskreis „Gesundheitsversorgung“ mit vertreten und am Entwicklungsprozess in Sachen IT-Sicherheit beteiligt. Bislang ist aber noch unklar, wie viele der rund 2.000 Krankenhäuser letztlich zu den Kritischen Infrastrukturen zählen werden. Das BSI hat 2013 einen Leitfaden herausgegeben, mit Hilfe dessen Risiken, die mit dem zunehmenden Einsatz von Informationstechnik in einem Krankenhaus verbunden sind, evaluiert werden können.

Hendrick Lehmann