Sicherheitstechnik: Erpresser aus dem Netz

Sicherheitstechnik: Cybersecurity in Kliniken

Auch Krankenhäuser sind letztlich nichts anders als Strukturen mit komplexer Gebäudetechnik. Die sieht sich immer neuen Bedrohungen ausgesetzt, wie der Epressung aus dem Internet.

Finger tippt auf medizinisches Gerät(Bild: Pixabay)

Anzeige


Inhalt dieses Grundlagen-Artikels:


Als die Zeitungen am 10. September 2020 von einem Ausfall der IT-Systeme beim Universitätsklinikum Düsseldorf (UKD) berichteten, gingen die Verantwortlichen von einer kleineren Panne aus, die schnell wieder behoben sein würde. Eine Woche später war klar, dass das Problem doch größer war. Die Zahl betroffener Patienten wuchs ständig, zum Teil seit Monaten vergebene Operationstermine mussten ausfallen. Statt bis zu 120 Operationen am Tag konnten nur noch 10 bis 15 durchgeführt werden, neue Patienten wurden gar nicht mehr aufgenommen.

Zwar funktionierten Einzelgeräte wie Röntgen, die gewonnenen Daten konnten jedoch nicht ins UKD-Netz eingespeist werden. Allem Anschein nach war die Klinik Opfer eines Hackerangriffs geworden, und das auch noch versehentlich. Denn zeitgleich zu den Ausfällen im UKD ging an der Düsseldorfer Uni ein Epresserschreiben ein. Nachdem sie auf das lahmgelegte Krankenhaus hingewiesen worden waren, schickten sie einen Entschlüsselungscode.

>> zurück zur Übersicht

Regelmäßige Attacken

Seit Jahren kommt es regelmäßig zu Angriffen auf Behörden, Universitäten und Forschungseinrichtungen. Erstmals erregte diese Art der Digitalkriminalität öffentliche Aufmerksamkeit, als im Februar 2016 nach einem Cyberangriff im Neusser Lukaskrankenhaus sämtliche IT-Systeme heruntergefahren werden mussten. Dabei war das Hospital nur ein Ziel unter mehreren. Außerdem waren noch Krankenhausrechner in Mönchengladbach, Essen und Köln, später auch in Arnsberg betroffen. Damit war eine neuartige Erpressermethode in Deutschland angekommen, die bislang nur aus US-Krimis bekannt war. Dabei schleusen Täter meist über verseuchte E-Mail-Anhänge gezielt Viren auf Computersysteme, die den Zugriff auf Systeme und Dateien sperren oder ganze Festplatten verschlüsseln. Mithilfe dieser als Ransomware bezeichneten Erpressersoftware fordern Kriminelle dann üblicherweise Geld, um den befallenen Rechner wieder zu entsperren oder die Dateien zu entschlüsseln.

>> zurück zur Übersicht

Wiederhochfahren der Systeme nach Priorisierungsliste

Nach vier Tagen verkündeten die IT-Spezialisten in Neuss, dass die Systeme virenfrei sind. Am nächsten Tag konnte also mit dem sukzessiven Wiederhochfahren der Systeme begonnen werden. Der Kristenstab entschied sich in enger Abstimmung mit den medizinischen Leistungsbereichen für die folgende Reihenfolge: Labor, SAP, Strahlentherapie, am Ende noch weitere Bereiche.

Zuerst wurde die Labortechnik hochgefahren, weil sie das Herzstück des diagnostischen und darauf aufbauenden therapeutischen Prozesse bildet. Es macht einen großen Unterschied aus, ob ein Stationsarzt in der digitalen Welt eine Stunde auf einen angeforderten Laborbefund wartet oder einen ganzen Tag im Handbetrieb. Daher war es wichtig, dass Labor als Erstes wieder an die Systeme anzuschließen.

An zweiter Stelle stand das SAP-System, um die Versorgung des Krankenhausbetriebes mit benötigten Medikamenten und Medizinprodukten sicherzustellen. Nach fünf Krisentagen drohten der Klinik, allmählich die Medikamentenbestände auszugehen. Die Bestellung von Arzneien, vor allem in von Krankenhäusern benötigten Mengen, ist heutzutage ein ausschließlich webbasierter Prozess. An dritter Stelle stand die große Strahlentherapie mit modernster Linearbeschleunigertechnik. Krebspatienten dürfen ihre Bestrahlung für maximal eine Woche unterbrechen, ansonsten drohen signifikante Beeinträchtigungen der Behandlungsqualität. Andernfalls hätte die Ärzte etwa 100 Patienten in andere Einrichtungen verlegen müssen, was für diese ebenso wie für das Lukaskrankenhaus mit wesentlichen Nachteilen verbunden gewesen wäre.

>> zurück zur Übersicht

Weit verbreitetes Problem

In der Regel hängen Krankenhäuser derartige Ereignisse ungern an die große Glocke, zu groß ist die Sorge vor Rufschädigung. Dabei ist das Problem viel weiter verbreitet, als in der Öffentlichkeit bekannt ist. Für die „Krankenhausstudie 2017“ der Unternehmensberatung Roland Berger gaben von 500 befragten Krankenhäusern 64 Prozent an, schon einmal Opfer eines Hackerangriffs geworden zu sein. Die tatsächlichen Zahlen dürften noch weitaus höher sein, wie jede IT-Infrastruktur zählen auch Krankenhäuser zum täglichen Ziel von virtuellen Attacken. Solange die Abwehrsysteme auf dem neuesten Stand sind, ist das kein Problem. Krämer rät zudem allen verantwortlichen Krankenhausmanagern, eine Cyberversicherung abzuschließen.

Die würde zwar nicht vor Angriffen schützen, aber sie könne helfen, den immensen Schaden abzudecken. Bei einer Eintrittswahrscheinlichkeit von über 50 Prozent sei es unverständlich, dass deutlich weniger als die Hälfte der Unternehmen über eine derartige Versicherung verfügten. Auch vier Jahre nach den Neusser Ereignissen ist das Problem nach wie vor aktuell. Im August 2020 warnte Interpol vor verstärkten Cyber-Attacken auf Organisationen im Gesundheitssektor. Eigentlich recht erstaunlich, hatten doch mehrere Hackergruppen zu Beginn der Corona-Pandemie versprochen, Krankenhäuser nicht angreifen zu wollen. Tatsächlich war das Gegenteil der Fall, der Antivirenspezialist Bitdefender weist in seiner Telemetrie für das Frühjahr 2020 einen deutlichen Anstieg von gezielten Angriffen aufs Gesundheitswesen hin. Im Vergleich zur bisher erreichten Höchstmarke nahmen die Attacken auf Krankenhäuser in den Monaten Februar, März und April nochmals um 73 Prozent zu. Allein von Februar bis März stieg die Angriffsrate um 60 Prozent.

>> zurück zur Übersicht

Abwehrmaßnahmen – Sicherheit vor Funktionalität

Natürlich spielt auch intern eine möglichst umfassende Absicherung gegen Attacken von außen eine wichtige Rolle. Überall dort, wo Leib und Leben von Menschen beeinträchtigt werden können, gilt der Grundsatz „Sicherheit vor Funktionalität“. Dazu wurde im Neusser Lukaskrankenhaus unter anderem die Infrastruktur um zwei Firewalls, ein Mail-Gateway, eine NAC-Lösung sowie Überwachungssoftware erweitert.

Das bedeutete konkret, das Netz der Klinik, die über 600 bis 700 Endgeräte verfügt, stark zu segmentieren. Diese Zerlegung erfolgte thematisch nach Abteilungen, Funktionen beziehungsweise Aufgabenbereichen. So arbeiten beispielsweise die Medizintechnik, die Buchhaltung und die Verwaltung jeweils in einem eigenen Netz.

Momentan bestehen die Endpunkte im Netz zu 50 Prozent aus Fat Clients und zu 50 Prozent aus Thin Clients von Igel. Die Bestrebung der IT-Abteilung geht allerdings dahin, so viele Thin Clients wie möglich zu implementieren, um die Zahl der Angriffsvektoren zu minimieren. Sie beziehen ihre Daten und Ressourcen nicht lokal, sondern über das Netzwerk, sind also nur mit dem Nötigsten ausgestattet. Zumeist dienen sie nur der Datendarstellung sowie der Eingabe von Daten. Im Unterschied zu vollausgestatteten Fat Clients bieten sie eine viel geringere Verwundbarkeit und Ausfallgefahr, zum Beispiel durch den Besuch einer Webseite mit absichtlich schadhaftem Code oder einen unbedacht geöffneten Anhang einer E-Mail.

>> zurück zur Übersicht

Sicherheit durch Aktualisierung

Eines der wichtigsten Hilfsmittel in der Abwehr von Cyber-Attacken besteht darin, den Gerätepark und die benötigte Software stets auf dem neuesten Stand zu halten. Und hier kann es zuweilen zu Problemen mit rechtlichen Vorgaben kommen. Das Medizinproduktegesetz sieht für Geräte, die im medizinischen Umfeld eingesetzt werden, die vollständige Zertifizierung vor. Das gilt auch für die darauf installierte Software. Daher ist es nicht möglich, jeweils aktuelle Patches einfach aufzuspielen. Stattdessen müssen die zuständigen Mitarbeiter auf die Zertifizierung der neuen Komponenten warten. Das führt – wenn überhaupt – zu sehr langen Update-Zyklen. Daher arbeiten im Lukaskrankenhaus eine Reihe von Systemen noch mit alten Windows-Versionen. Sie müssen von den anderen Komponenten im Netzwerk getrennt werden, um sie weniger angreifbar zu machen. Auf einem Gerät läuft sogar noch eine ehrwürdige, englische Windows-XP-Version ohne Service Pack 3. Die Uralttechnik hat aber auch ihre Vorteile, mit derart alten Geräte ist es recht schwierig, überhaupt ins Netz zu kommen.

(Bild: Pixabay)

Und was wird geschützt? Im Lukaskrankenhaus gibt es eine große Anzahl von Anwendungsbereichen und digitalen Hierarchiestufen, die sämtlich der Beschleunigung der Krankenhausprozesse dienen. So greifen Lukasmitarbeiter im Rahmen des Projektes „Visite 2.0“ via iPad mini auf die relevanten Patientendaten zu und pflegen die Patientenakte dort, wo die Daten entstehen und benötigt werden, nämlich direkt am Patientenbett.

Aus diesem wichtigen Schritt auf dem Weg zum weitestgehend papierlosen Krankenhaus resultieren zahlreiche Vorteile. Ärzte und Pflegekräfte verfügen stets über sämtliche aktuellen diagnose- und pflegerelevanten Informationen, und die Dokumentation wird vereinfacht und beschleunigt. Damit wird eine einheitliche elektronische Patientenakte geschaffen, die eine umfängliche Dokumentation aller relevanten Patienteninformationen von der Aufnahme über die OP und die Station bis zur Entlassung umfasst. In den Städtischen Kliniken Neuss wurde mit der Einführung der Visite 2.0 die Möglichkeit der papierlosen Dokumentation integriert und so ein wichtiger Schritt auf dem Weg zum papierlosen Krankenhaus gemacht.

Ein weiteres Projekt betrifft die Telemedizin. Alle Rettungswagen im Rhein-Kreis Neuss sind mit telemedizinischen Einheiten (Ortivus, Lifenet) ausgestattet, die die Aufzeichnungen der EKGs direkt in die Chest-Pain-Unit des Lukaskrankenhauses übertragen. Der deutliche Zeitgewinn hat zu einem 23-prozentigen Anstieg der Zahl von Patienten geführt, die das Lukaskrankenhaus nach einem akuten Herzinfarkt lebend erreichen – also ein hart messbarer Vorteil der Digitalisierung im Gesundheitswesen.

>> zurück zur Übersicht


// [13987]

Anzeige

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.