Cybersicherheit im Gesundheitswesen Menschliche Zombies in der schönen neuen Cyberwelt

Singapur, Finnland, aber auch Deutschland – Hacks auf das Gesundheitswesen nehmen weltweit zu. Dies führt nicht nur dazu, dass Krankenhäuser und Kliniken handlungsunfähig werden und so Menschenleben gefährdet werden, durch den Angriff auf menschliche Implantate können auch Gedanken und Verhaltensweisen manipuliert werden.

Die Verarbeitung personenbezogener Daten mit Hilfe von Karteikarten war zeitaufwendig – aber sicher! Wer früher nennenswert Daten stehlen wollte, musste mit dem LKW vorfahren. Vor 80 Jahren – mitten im Krieg! – hat der Unternehmer Konrad Zuse die ‚Z3‘, den ersten funktionsfähigen Digitalrechner weltweit vorgestellt.

Seither hält die Digitalisierung im Gesundheitswesen Einzug – und schafft eine gewaltige Angriffsoberfläche: Festplatten mit tausenden Datensätzen werden aus Kliniken gestohlen und sind teilweise nur mit einem Passwort gesichert. Die Bedeutung der Aussage ist jedoch begrenzt – das beliebteste Sesam-öffne-Dich im Gesundheitswesen ist nach Erkenntnis der Firma NordPass „123456“.

Vermutlich sind sich die Verantwortlichen nicht über die Leisungsfähigkeit von Passwortknackern im Klaren – ein Werkzeug namens PassGAN soll lediglich sechs Minuten benötigen, um ein beliebiges Passwort mit sieben Zeichen (einschließlich Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen) herauszubekommen. Bei „123456“ geschieht das „augenblicklich“.

Die Mühe lohnt in jedem Fall: „Der Wert einer persönlichen elektronischen Gesundheitsakte, die im Darknet verkauft wird, übersteigt leicht 1000 US-Dollar“, weiß die US-National Library of Medicine.

So ein Haufen Geld für ein paar Daten? Die Blutgruppe beispielsweise begleitet die Betroffene von der Wiege bis zur Bahre und lässt sich anders als Kreditkarten nicht austauschen. Stattdessen eignen sich Gesundheitsdaten dazu, die Betroffene zu einem wohlgefälligen Verhalten zu bewegen – so soll „die Rekrutierung von Insidern durch externe Akteure“ ein „Trend“ sein: „Dies kann durch willige Teilnahme oder das Ergebnis von Social Engineering, Bestechung oder Erpressung geschehen.“

Politico berichtete nach dem Angriff auf eine psychiatrische Klinik in Finnland: „Ein Hacker versucht, Zehntausende finnischer Patienten zu erpressen, nachdem er sich Zugang zu ihren medizinischen Aufzeichnungen von Therapiesitzungen verschafft hat.“

1,5 Millionen Datensätze von 5 Millionen Einwohnern des Stadtstaats Singapur gingen vor Jahren flöten und bereiteten der Politik Sorgen: „Wie Premierminister Lee in seinem Facebook-Post andeutete, könnte das Hacken der Gesundheitsdaten von Regierungsbeamten zu politischen Zwecken erfolgen, wenn die Angreifer hoffen, peinliches oder kompromittierendes Material zu finden.“ So besteht die Gefahr, dass die Angreiferinnen „inländische Massen zwingen, in eine gewünschte Richtung zu handeln, selbst gegen ihren eigenen Willen oder ihr eigenes Interesse“. Menschen ohne eigenen Willen bezeichnet die „Horrorklinik“ als „Zombies“.

Bis hierher ging es darum, das digitale Abbild des Menschen zu missbrauchen. Ab jetzt geht es um den Menschen selbst: Nach einem Angriff meldete sich 2020 die Uniklinik Düsseldorf von der Notfallversorgung ab. In der Folge wurde eine Notfallpatientin in ein weiter entferntes Krankenhaus transportiert – und starb auf dem Weg dahin. Erpressungstrojaner gefährden darüberhinaus die Funktionsfähigkeit medizinischer Geräte – „Medizinische Geräte in US -Krankenhäusern erstmals von Ransomware in getroffen“, titelte Forbes 2017. Vor wenigen Wochen hieß es, dass vernetzte Medizingeräte „der Angriffsvektor für 21 Prozent der Ransomware -Angriffe sind“. Im Juni 2023 warnte Medtronic vor einer Schwachstelle in einem seiner Herzschrittmacher; sollte diese ausgenutzt werden, könne das dazu führen, „dass die kardialen Gerätedaten eines Paceart Optima-Systems gelöscht, gestohlen oder modifiziert werden oder das Paceart-Optima System zur weiteren Netzwerkdurchdringung verwendet wird.“ So ist nicht auszuschließen, dass löchrige Herzschrittmacher einem Botnetz namens Zerobot zum Opfer fallen. Von dessen Existenz hat die Welt im Januar 2023 erfahren: Damit sollen sich vernetzte Geräte „in Zombies“ verwandeln lassen, „die nach seinem Willen versklavt werden“. Und: „Mit der Zeit hoffen seine Designer, dass sich das Botnetz exponentiell verbreitet und sich um Hunderttausende, vielleicht sogar Millionen von Geräten ausdehnt“.

Auf der nächsten Seite: Manipulation von Implantaten

(ID:49658747)