Ist Ihr Krankenhaus auf den nächsten Cyber-Angriff vorbereitet?

Zero-Trust-Sicherheit Ist Ihr Krankenhaus auf den nächsten Cyber-Angriff vorbereitet?

30.04.2020 Von Dietmar Schnabel*

Während der COVID-19-Krise suchen Cyber-Kriminelle weiterhin nach Schwachstellen in Systemen – und kennen entgegen anderer Meldungen keine Gnade mit Krankenhäusern.

Cyber-Angriffe auf Krankenhäuser nehmen stetig zu, denn Patientendaten bringen viel Geld auf dem Schwarzmarkt.
(Bild: © titima157 - adobe.stock.com)

Krankenhäuser sind, wie nie zuvor, mit Cloud-, Mobil- und IoT-Technologien verbunden, die ihre Effizienz und Qualität verbessern. Diese Veränderungen haben jedoch Löcher in den bislang bewährten IT-Sicherheits-Perimeter gestanzt und neue Angriffswege für Hacker geschaffen.

Die Attacken auf das Gesundheitswesen haben daher allein im vergangenen Monat um 150 Prozent zugenommen. Ein Opfer war die Universitätsklinik Brno in der Tschechischen Republik, die am 19. März einen lähmenden Cyber-Angriff erlitt, bei dem ihr IT-Netzwerk abgeschaltet wurde. Angesichts der aktuellen Pandemie und der Wichtigkeit funktionierender Kliniken darf daher die Optimierung der IT-Sicherheit von Krankenhäusern nicht länger hinten angestellt werden. Es ist entscheidend, schnell zu handeln, um die Sicherheit der Patienten, die Vertraulichkeit der Daten und einen kontinuierlichen Gesundheitsdienst zu gewährleisten.

Mit rund 40 Millionen Patientenakten, die 2019 gestohlen und im Internet veröffentlicht wurden, erleben Gesundheitseinrichtungen Jahr für Jahr eine steigende Anzahl von Verletzungen der IT-Sicherheit und des Datenschutzes.

Ransomware ist ebenfalls eine weit verbreitete Bedrohung: im Juni 2019 berichteten fünf US-Gesundheitsversorger von Lösegeldangriffen innerhalb einer einzigen Woche. In Deutschland traf es ebenfalls viele Krankenhäuser, darunter die DRK-Trägergesellschaft Süd-West mit 11 Krankenhäusern an 13 Standorten.

Diese alarmierende Entwicklung stellt eine Gefahr für das Leben der Patienten und ein erhebliches finanzielles Risiko für die Krankenhäuser dar. Die Kosten, die mit der Wiedererlangung eines geschädigten Rufs verbunden sind, sowie das Risiko einer rechtlichen Haftung und mögliche Geldstrafen bei Verstößen gegen IT-Sicherheitsgesetze, wie die Europäische Datenschutzgrundverordnung (DSGVO), können enorm sein. Die durchschnittlichen Kosten eines Verstoßes im Gesundheitswesen belaufen sich laut einer Studie von IBM auf 6,45 Millionen US-Dollar (rund 5,96 Millionen Euro). Das sind 65 Prozent mehr, als die durchschnittlichen Kosten in jeder anderen Branche. Die Schäden im Gesundheits-Sektor sind demnach die teuersten. Warum aber sind Krankenhäuser dermaßen anfällig für Cyber-Attacken?

Medizinische Aufzeichnungen sind die Kronjuwelen für Hacker

Gestohlene elektronische Gesundheitsakten (eGA) können im Dark Net für bis zu 1.000 Dollar (rund 924 Euro) verkauft werden. Zum Vergleich: Sozialversicherungsnummern und Kreditkarteninformationen werden in der Regel für 1 US-Dollar (rund 92 Euro-Cent) oder bis zu 110 US-Dollar (rund 102 Euro) verkauft. eGA enthalten Informationen, die nach dem Diebstahl schwieriger zurückzuholen und unschädlich zu machen sind (Personenbezogene Daten, Versicherung, Versicherungsnummer, medizinische Diagnosen, Rechnungsinformationen). Diese Daten werden häufig von Betrügern verwendet, um gefälschte Identitäten zu erstellen, medizinische Geräte oder Medikamente unter falschem Namen zu kaufen oder einen falschen Versicherungsanspruch einzureichen, um Geld unrechtmäßig zu kassieren.

Dem medizinischen Personal fehlt bewusste IT-Sicherheit

Die Rettung von Leben und die Behandlung von Patienten hat für die Mitarbeiter von Krankenhäusern oberste Priorität. Hierauf sind sie konzentriert. Gleichzeitig aber sind sie dadurch anfälliger für unvorsichtiges Verhalten in anderen Bereichen und dazu gehören die Vorschriften und Richtlinien der IT-Sicherheit in den Einrichtungen. Erschwerend kommt hinzu, dass fast ein Drittel der Beschäftigten im Gesundheitswesen (32 %) in einer Studie von Kaspersky angab, dass sie an ihrem Arbeitsplatz noch nie eine entsprechende Schulung für IT-Sicherheit erhalten haben, jedoch hätten erhalten sollen. Das gefährliche Ergebnis dieser Nachlässigkeit ihrer Arbeitgeber ist ein mangelndes Bewusstsein der Mitarbeiter für die Vorsicht beim Umgang mit der IT. In Verbindung mit der zunehmenden Nutzung mobiler Geräte, Tablets und Laptops führt das zu einer unsachgemäßen Handhabung und Speicherung von Patientenakten, zum Diebstahl von Ausweispapieren durch Phishing-Angriffe, zum Herunterladen und Verteilen bösartiger Dateien im Netzwerk oder sogar offenen Cloud-Speichern im Internet – im schlimmsten Fall sogar zu offenen Zugängen der IoT-Geräte, die ein Hacker über den Fernzugriff manipulieren könnte.

Vernetzte Geräte sind das schwächste Glied

Es wird geschätzt, dass es je Krankenhausbett ungefähr 15 bis 20 vernetzte alltägliche und medizinische Geräte gibt: von Infusionspumpen und Patienten-Monitoren bis hin zu MRT-Geräten. Diese Geräte laufen meist auf veralteten Betriebssystemen, die lange nicht mehr aktualisiert wurden, was sie sehr anfällig und leicht zu knacken macht. Sie weisen Sicherheitslücken auf, die vor Jahren geschlossen wurden – durch Patches, die installiert werden müssen – und jedermann bekannt sind. Diese IoT-Schwachstellen bleiben unbeaufsichtigt, da Krankenhäuser es sich nur selten erlauben können, dass ihre Systeme vollständig heruntergefahren und aktualisiert werden – meist nicht einmal für wenige Stunden. Der ständige Zugriff auf kritische medizinische Geräte und Patientendaten ist für ihre Arbeit von entscheidender Bedeutung. Gleichzeitig gefährden sie so aber genau diese Geräte, Daten und Patienten.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Zero-Trust-Sicherheit in Krankenhäusern ist unerlässlich

Der Gesundheits-Sektor zeichnet sich laut einem Bericht von Verizon dadurch aus, dass die Mehrheit der Verstöße (59 %) mit internen Akteuren in Verbindung gebracht werden, gegen nur 42 Prozent externe Akteure. Das bedeutet, dass in Krankenhäusern häufiger internes menschliches Versagen oder tatsächlicher Missbrauch von Sicherheitslücken zu IT-Problemen führen, als Hacking.

Daher sind traditionelle Sicherheitsansätze gefährlich ineffektiv geworden, da sie auf der überholten Annahme basieren, dass man jedem und allem innerhalb des Sicherheitsbereichs einer Organisation blind vertrauen darf.

Fazit

Heutzutage wird eine enorme Menge sensibler medizinischer Informationen übertragen: Zwischen vernetzten medizinischen Geräten, Cloud-basierten elektronischen Gesundheitsakten (eGA-Systemen), mobilen Geräten und Tablets des medizinischen Personals, sowie digitalen Anwendungen für Patienten.

Um in einer solchen IT-Umgebung eine optimale Sicherheit aufrechtzuerhalten, ist es unerlässlich geworden, das Zero-Trust-Security-Modell zu übernehmen. Eine ordnungsgemäße Zero-Trust-Implementierung ermöglicht eine wirksame Überwachung und Markierung ungewöhnlicher oder unangemessener Zugriffe auf Daten, die nicht notwendig sind für die jeweilige geschäftliche Anfrage oder Patientenversorgung.

Wenn Krankenhäuser jedoch ihre Sicherheitsinfrastruktur auf der Grundlage eines Zero-Trust-Ansatzes unter Verwendung unterschiedlicher Technologien neu aufbauen, kann dies zu Komplikationen und damit Sicherheitslücken führen. Um dies zu vermeiden, bietet sich eine umfangreiche Plattform als geschlossene IT-Architektur zur Implementierung von Zero Trust an, die konsolidiert alle Sicherheitslösungen aufeinander abgestimmt beinhaltet. Hilfreich können auch Webinare sein, um zu lernen, wie man mit einem Zero-Trust-Modell umgeht.

Außerdem hilft es, einige Ratschläge zu befolgen:

Das Netzwerk segmentieren, um unterschiedliche Bereiche zu trennen und so die Ausbreitung von erfolgreichen Cyber-Angriffen zu verhindern, da sie isoliert in einem Segment festsitzen, und so Ransomware den Wind aus den Segeln zu nehmen. Letzteres besonders angesichts neuer Methoden, wie der Doppelten Erpressung.

Darauf achten, dass Cloud-Speicher stets gesichert und geschlossen sind, damit keine Patientendaten und eGA unkontrolliert abfließen, wodurch Konformität zur DSGVO gewahrt wird; das Prinzip der geteilten Verantwortung vergessen viele Cloud-Nutzer, doch es bedeutet, dass der Betreiber nur für die Sicherheit der Cloud-Infrastruktur geradestehen muss, der Kunde jedoch selbst die Abschirmung seiner gespeicherten Daten und aufgesetzten Anwendung zu verantworten hat.

Zuletzt die wichtige Schulung der Mitarbeiter und Absicherung mobiler Geräte, um dieses Einfallstor zu schließen – denn Angriffe auf Mobiltelefone und dergleichen Geräte nehmen stark zu.