Gesundheitswesen im Visier von Hackergruppen
Seit Beginn der Corona-Pandemie werden immer mehr Fälle von Cyberkriminalität gemeldet. Vor allem kritische Infrastrukturen, wie die von Krankenhäusern, werden von den Cyber-Aktivsten ins Visier genommen, um so viel Schaden wie möglich anzurichten. Durch zunehmende Digitalisierung und Vernetzung werden die Netzwerke und Systeme von Krankenhäusern immer anfälliger für Internetkriminalität. Das Gesundheitswesen war in
den vergangenen Jahren mehr als jede andere Branche Ziel von Hackerangriffen, wobei Krankenhäuser in Großbritannien, Australien, Kanada, Indien, Amerika und auch Deutschland angegriffen wurden.
Hackerangriffe oder Cyberterrorismus ist zu einer der gefährlichsten Bedrohung der aktuellen Zeit geworden. Was Hackerangriffe für Krankenhäuser bedeutet hat im Jahr 2016 die Ransomware WannaCry gezeigt. Ransomware ist eine Art von Malware, die Dateien auf dem infizierten Computer verschlüsselt und Lösegeld für deren Entschlüsselung verlangt. Hacker nutzen den Virus, um kritische Infrastrukturen betroffener Krankenhäuser lahm zu
legen. Insgesamt gelang es WannaCry über 200 000 Computer auf der ganzen Welt zu infizieren und zahlreiche Unternehmen lahm zu legen, darunter auch zahlreiche Krankenhäuser. Der Virus verschlüsselte Dateien und verlangte für deren Freigabe ein Lösegeld, das in der Regel in Bitcoins (einer digitalen Währung) gezahlt werden sollte.
Die betroffenen Krankenhäuser konnten wegen des Virus nicht normal arbeiten, und viele Patienten mussten nach Hause geschickt werden oder durften gar nicht erst kommen.
Vor allem im Vereinigten Königreich hat der WannaCry-Virus in Krankenhäusern gewütet. Angesichts der Schwere dieses Vorfalls standen die Sicherheitslücken in Krankenhäusern im Mittelpunkt der Kritik. In vielen Krankenhäusern war noch Windows XP als Betriebssystem
aktiv. Diese Version des Betriebssystems von Microsoft wird nicht mehr durch Sicherheitsupdates des Herstellers unterstützt und ist daher sehr anfällig für Viren wie WannaCry .
In einem ähnlichen Fall im Mai 2017 griff ein anderer Ransomware-Virus mehrere amerikanische Krankenhäuser an. Die Malware hinter diesem Angriff war diesmal “Lockdroid”. Lockdroid basiert auf dem Open-Source-Code von WannaCry und nutzte ähnliche Mittel, um Geld zu erpressen.
Auch Deutschland ist im Visier von Hackern. Im September 2020 wurde das Uniklinik Düsseldorf angegriffen. Dies hatte zur Folge, dass das Universitätsklinikum Düsseldorf die Notfallversorgung von Patienten nicht mehr aufrecht halten konnte. Auch zu Beginn des Jahres 2021 hat ein Angriff auf die Urologische Klinik in Planegg Schlagzeilen gemacht, gefolgt von einem Angriff im März 2021 auf die Evangelische Klinik in Lippstadt.
Diese Angriffe zeigen, dass Cyberattacken durch Hacker keine Einzelfälle mehr sind und an Qualität und Häufigkeit zunehmen. Krankenhäuser sind ebenso betroffen wie andere Bereiche der kritischen Infrastruktur in Deutschland.
Warum haben es Hacker auf die Gesundheitsbranche abgesehen?
Angesichts der Menge an sensiblen Daten, die sie enthalten, sind die Daten des
Gesundheitswesens ein bevorzugtes Ziel für Hacker. Die Daten sind deshalb so wertvoll, weil sie die PHI (Protected health information), Identitätsangaben (wie Geburtsdatum und Sozialversicherungsnummern) und auch Finanz- und Kreditkartendaten einer Person enthalten können.
Was passiert mit den gestohlenen Daten?
PHI werden häufig zum Verkauf auf dem Schwarzmarkt oder für Erpressungen verwendet. Der Verkauf von PHI kann Hackern einen hohen Gewinn einbringen, da medizinische Daten oftmals mehr wert sind als Kreditkartendaten. Die gestohlenen Daten werden dann häufig
für Identitätsdiebstahl oder personalisierte Phishing-Angriffe verwendet. Phishing ist ein Variante die von Cyberkriminellen genutzt wurd. Es handelt sich hierbei um bösartige E-Mails, die zum Beispiel eine gestohlene Identität verwenden, um persönlich zu wirken, was
zu einem weiteren Diebstahl sensibler Daten wie Logins oder Kreditkarteninformationenführt.
Auch Hacker suchen den Weg des geringsten Widerstands. Somit ist ein weiterer Grund, warum Hacker das Gesundheitswesen ins Visier nehmen, die Verzögerung bei der Einführung neuer Technologien, die die Sicherheit gewährleisten können.
Um Hackerangriffe und andere Formen der Cyberkriminalität zu bekämpfen, müssen Krankenhäuser bestimmte Maßnahmen ergreifen. Dazu gehört die Verschlüsselung sensibler Daten, die sowohl online als auch offline gespeichert werden, sowie der Zugang zu
diesen Daten.
Obwohl Krankenhäuser zu den Organisationen gehören, die am meisten in die Cybersicherheit investieren, stehen sie weiterhin vor großen Herausforderungen in Bezug auf ihre IT-Infrastruktur. Die Netzwerke von Krankenhäusern sind oft nicht ausreichend gegen Angriffe geschützt, weil diese Einrichtungen zu wenig Ressourcen für angemessene Vorsichtsmaßnahmen zur Verfügung haben.
Die Vorfälle haben auch zu einer Verschärfung der Anforderungen und Pflichten für sogenannte KRITIS-Betreiber in Deutschland geführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt “KRITIS-Betreiber” wie folgt:
Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) “Betreiber Kritischer Infrastrukturen sind (privatwirtschaftliche oder öffentlich-rechtliche)Organisationen aus den Branchen der Kritischen Infrastrukturen, die Einrichtungenbetreiben, die für das Funktionieren der kritischen Dienstleistungen erforderlich sind.” [FN1]
KRITIS-Betreiber sind nach gemäß BSI-Gesetz (BSIG) und BSI-Kritisverordnung verpflichtet [FN2]:
eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen, IT-Störungen oder erhebliche Beeinträchtigungen zu melden,
IT-Sicherheit auf dem “Stand der Technik” umzusetzen und dies alle zwei Jahre gegenüber dem BSI nachzuweisen
Weitere Informationen zu den BSI-Vorschriften und -Spezifikationen finden Sie auf den BSI-Webportalen unter https://www.bsi.bund.de
Was bedeutet IT-Sicherheit auf dem “Stand der Technik”?
Vorreiter bei den Normen für die IT im Gesundheitswesen sind die USA. In den USA wurde
mit den HIPAA-Standards ein bisher nicht vergleichbarer Standard verabschiedet, der die IT-
und Datensicherheit im Gesundheitswesen gewährleisten soll. In Deutschland gibt es keine
gesonderten IT-Vorschriften für das Gesundheitswesen, aber der Schutz der medizinischen
Privatsphäre ist ein wichtiges Anliegen. Man kann davon ausgehen, dass das Thema
Patientendatenschutz eine starke gesellschaftliche Relevanz hat, aber es gibt derzeit keine
entsprechenden Normen. Der HIPAA-Standard wird vorrangig in den Vereinigten Staaten
verwendet, aber auch das IT-Sicherheitsgesetz unterstreicht die Notwendigkeit
branchenspezifischer Sicherheitsstandards und orientiert sich an den HIPAA-Standards.
Blickt man über den Ozean in die USA, so soll eine IT auf dem neusten Stand der Technik
beim Umgang mit sensiblen Patientendaten physische als auch die technischen
Sicherheitsvorkehrungen aufweisen. Dazu zählen, das der Zugang zu Einrichtungen nur
autorisiertem Personal gestattet ist. Außerdem müssen Richtlinien für die Nutzung von
Arbeitsplätzen und elektronischen Medien festgelegt werden. Ein oftmals vergessener
Punkt ist die Kontrolle und Beschränkung für die Übertragung, Entfernung, Entsorgung und
Wiederverwendung sensibler Daten.
[FN3]
Was ist der HIPAA-Standard?
Die HIPAA-Sicherheitsregel, die Teil des U.S. Health Insurance Portability and Accountability
Act (HIPAA) ist, definiert eine Reihe von administrativen, physischen und technischen
Sicherheitsmaßnahmen zum Schutz elektronischer geschützter Gesundheitsinformationen
(ePHI). Die Vorschrift verpflichtet Gesundheitseinrichtungen, angemessene
Sicherheitsmaßnahmen zu ergreifen. Die HIPAA-Sicherheitsvorschrift gilt also für
Gesundheitseinrichtungen und alle Geschäftspartner der Einrichtung.
Fazit
Mit der zunehmenden Digitalisierung und dem Einsatz vernetzter medizinischer Geräte und
Infrastrukturen ist es heute wichtiger denn je, die IT-Systeme in Krankenhäusern auf dem
neuesten Stand zu halten. Standards wie HIPAA sind wegweisend und machen es Hackern
zunehmend schwerer, sensible Daten zu stehlen oder IT-Infrastrukturen zu schädigen. Im
Vergleich zu den USA hat das deutsche Gesundheitssystem jedoch noch einen weiten Weg
vor sich, da es keine einheitlichen Standards wie HIPAA gibt und das Gesundheitssystem
immer noch individuelle Lösungen und Strategien bevorzugt, anstatt einen umfassenden
Standard einzuführen.