Gesundheitswesen im Visier von Hackergruppen 17. Juni 202220. September 2021 von Ron Wieland Seit Beginn der Corona-Pandemie werden immer mehr Fälle von Cyberkriminalität gemeldet. Vor allem kritische Infrastrukturen, wie die von Krankenhäusern, werden von den Cyber-Aktivsten ins Visier genommen, um so viel Schaden wie möglich anzurichten. Durch zunehmende Digitalisierung und Vernetzung werden die Netzwerke und Systeme von Krankenhäusern immer anfälliger für Internetkriminalität. Das Gesundheitswesen war inden vergangenen Jahren mehr als jede andere Branche Ziel von Hackerangriffen, wobei Krankenhäuser in Großbritannien, Australien, Kanada, Indien, Amerika und auch Deutschland angegriffen wurden.Hackerangriffe oder Cyberterrorismus ist zu einer der gefährlichsten Bedrohung der aktuellen Zeit geworden. Was Hackerangriffe für Krankenhäuser bedeutet hat im Jahr 2016 die Ransomware WannaCry gezeigt. Ransomware ist eine Art von Malware, die Dateien auf dem infizierten Computer verschlüsselt und Lösegeld für deren Entschlüsselung verlangt. Hacker nutzen den Virus, um kritische Infrastrukturen betroffener Krankenhäuser lahm zulegen. Insgesamt gelang es WannaCry über 200 000 Computer auf der ganzen Welt zu infizieren und zahlreiche Unternehmen lahm zu legen, darunter auch zahlreiche Krankenhäuser. Der Virus verschlüsselte Dateien und verlangte für deren Freigabe ein Lösegeld, das in der Regel in Bitcoins (einer digitalen Währung) gezahlt werden sollte.Die betroffenen Krankenhäuser konnten wegen des Virus nicht normal arbeiten, und viele Patienten mussten nach Hause geschickt werden oder durften gar nicht erst kommen.Vor allem im Vereinigten Königreich hat der WannaCry-Virus in Krankenhäusern gewütet. Angesichts der Schwere dieses Vorfalls standen die Sicherheitslücken in Krankenhäusern im Mittelpunkt der Kritik. In vielen Krankenhäusern war noch Windows XP als Betriebssystemaktiv. Diese Version des Betriebssystems von Microsoft wird nicht mehr durch Sicherheitsupdates des Herstellers unterstützt und ist daher sehr anfällig für Viren wie WannaCry .In einem ähnlichen Fall im Mai 2017 griff ein anderer Ransomware-Virus mehrere amerikanische Krankenhäuser an. Die Malware hinter diesem Angriff war diesmal “Lockdroid”. Lockdroid basiert auf dem Open-Source-Code von WannaCry und nutzte ähnliche Mittel, um Geld zu erpressen.Auch Deutschland ist im Visier von Hackern. Im September 2020 wurde das Uniklinik Düsseldorf angegriffen. Dies hatte zur Folge, dass das Universitätsklinikum Düsseldorf die Notfallversorgung von Patienten nicht mehr aufrecht halten konnte. Auch zu Beginn des Jahres 2021 hat ein Angriff auf die Urologische Klinik in Planegg Schlagzeilen gemacht, gefolgt von einem Angriff im März 2021 auf die Evangelische Klinik in Lippstadt.Diese Angriffe zeigen, dass Cyberattacken durch Hacker keine Einzelfälle mehr sind und an Qualität und Häufigkeit zunehmen. Krankenhäuser sind ebenso betroffen wie andere Bereiche der kritischen Infrastruktur in Deutschland.Warum haben es Hacker auf die Gesundheitsbranche abgesehen?Angesichts der Menge an sensiblen Daten, die sie enthalten, sind die Daten desGesundheitswesens ein bevorzugtes Ziel für Hacker. Die Daten sind deshalb so wertvoll, weil sie die PHI (Protected health information), Identitätsangaben (wie Geburtsdatum und Sozialversicherungsnummern) und auch Finanz- und Kreditkartendaten einer Person enthalten können.Was passiert mit den gestohlenen Daten?PHI werden häufig zum Verkauf auf dem Schwarzmarkt oder für Erpressungen verwendet. Der Verkauf von PHI kann Hackern einen hohen Gewinn einbringen, da medizinische Daten oftmals mehr wert sind als Kreditkartendaten. Die gestohlenen Daten werden dann häufigfür Identitätsdiebstahl oder personalisierte Phishing-Angriffe verwendet. Phishing ist ein Variante die von Cyberkriminellen genutzt wurd. Es handelt sich hierbei um bösartige E-Mails, die zum Beispiel eine gestohlene Identität verwenden, um persönlich zu wirken, waszu einem weiteren Diebstahl sensibler Daten wie Logins oder Kreditkarteninformationenführt.Auch Hacker suchen den Weg des geringsten Widerstands. Somit ist ein weiterer Grund, warum Hacker das Gesundheitswesen ins Visier nehmen, die Verzögerung bei der Einführung neuer Technologien, die die Sicherheit gewährleisten können.Um Hackerangriffe und andere Formen der Cyberkriminalität zu bekämpfen, müssen Krankenhäuser bestimmte Maßnahmen ergreifen. Dazu gehört die Verschlüsselung sensibler Daten, die sowohl online als auch offline gespeichert werden, sowie der Zugang zudiesen Daten.Obwohl Krankenhäuser zu den Organisationen gehören, die am meisten in die Cybersicherheit investieren, stehen sie weiterhin vor großen Herausforderungen in Bezug auf ihre IT-Infrastruktur. Die Netzwerke von Krankenhäusern sind oft nicht ausreichend gegen Angriffe geschützt, weil diese Einrichtungen zu wenig Ressourcen für angemessene Vorsichtsmaßnahmen zur Verfügung haben.Die Vorfälle haben auch zu einer Verschärfung der Anforderungen und Pflichten für sogenannte KRITIS-Betreiber in Deutschland geführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt “KRITIS-Betreiber” wie folgt:Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) “Betreiber Kritischer Infrastrukturen sind (privatwirtschaftliche oder öffentlich-rechtliche)Organisationen aus den Branchen der Kritischen Infrastrukturen, die Einrichtungenbetreiben, die für das Funktionieren der kritischen Dienstleistungen erforderlich sind.” [FN1]KRITIS-Betreiber sind nach gemäß BSI-Gesetz (BSIG) und BSI-Kritisverordnung verpflichtet [FN2]:eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen, IT-Störungen oder erhebliche Beeinträchtigungen zu melden,IT-Sicherheit auf dem “Stand der Technik” umzusetzen und dies alle zwei Jahre gegenüber dem BSI nachzuweisenWeitere Informationen zu den BSI-Vorschriften und -Spezifikationen finden Sie auf den BSI-Webportalen unter https://www.bsi.bund.deWas bedeutet IT-Sicherheit auf dem “Stand der Technik”?Vorreiter bei den Normen für die IT im Gesundheitswesen sind die USA. In den USA wurdemit den HIPAA-Standards ein bisher nicht vergleichbarer Standard verabschiedet, der die IT-und Datensicherheit im Gesundheitswesen gewährleisten soll. In Deutschland gibt es keinegesonderten IT-Vorschriften für das Gesundheitswesen, aber der Schutz der medizinischenPrivatsphäre ist ein wichtiges Anliegen. Man kann davon ausgehen, dass das ThemaPatientendatenschutz eine starke gesellschaftliche Relevanz hat, aber es gibt derzeit keineentsprechenden Normen. Der HIPAA-Standard wird vorrangig in den Vereinigten Staatenverwendet, aber auch das IT-Sicherheitsgesetz unterstreicht die Notwendigkeitbranchenspezifischer Sicherheitsstandards und orientiert sich an den HIPAA-Standards.Blickt man über den Ozean in die USA, so soll eine IT auf dem neusten Stand der Technikbeim Umgang mit sensiblen Patientendaten physische als auch die technischenSicherheitsvorkehrungen aufweisen. Dazu zählen, das der Zugang zu Einrichtungen nurautorisiertem Personal gestattet ist. Außerdem müssen Richtlinien für die Nutzung vonArbeitsplätzen und elektronischen Medien festgelegt werden. Ein oftmals vergessenerPunkt ist die Kontrolle und Beschränkung für die Übertragung, Entfernung, Entsorgung undWiederverwendung sensibler Daten.[FN3]Was ist der HIPAA-Standard?Die HIPAA-Sicherheitsregel, die Teil des U.S. Health Insurance Portability and AccountabilityAct (HIPAA) ist, definiert eine Reihe von administrativen, physischen und technischenSicherheitsmaßnahmen zum Schutz elektronischer geschützter Gesundheitsinformationen(ePHI). Die Vorschrift verpflichtet Gesundheitseinrichtungen, angemesseneSicherheitsmaßnahmen zu ergreifen. Die HIPAA-Sicherheitsvorschrift gilt also fürGesundheitseinrichtungen und alle Geschäftspartner der Einrichtung.FazitMit der zunehmenden Digitalisierung und dem Einsatz vernetzter medizinischer Geräte undInfrastrukturen ist es heute wichtiger denn je, die IT-Systeme in Krankenhäusern auf demneuesten Stand zu halten. Standards wie HIPAA sind wegweisend und machen es Hackernzunehmend schwerer, sensible Daten zu stehlen oder IT-Infrastrukturen zu schädigen. ImVergleich zu den USA hat das deutsche Gesundheitssystem jedoch noch einen weiten Wegvor sich, da es keine einheitlichen Standards wie HIPAA gibt und das Gesundheitssystemimmer noch individuelle Lösungen und Strategien bevorzugt, anstatt einen umfassendenStandard einzuführen.[FN1] https://www.kritis.bund.de/SubSites/Kritis/DE/Servicefunktionen/Glossar/Functions/glossar.html?lv3=5475388&lv2=4968576#:~:text=Menschen%20verursachte%20Gef%C3%A4hrdungen.-,Betreiber%20Kritischer%20Infrastrukturen%20(%20KRITIS%20%2DBetreiber),der%20kritischen%20Dienstleistungen%20erforderlich%20sind.[FN2] https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/Pflichten-fuer-KRITIS-Betreiber/Pflichten-fuer-KRITIS-Betreiber_node.html[FN3] https://www.proofpoint.com/de/threat-reference/hipaa-compliance