Cyberangriffe auf Krankenhäuser: Nachholbedarf in Sachen IT-Sicherheit
Dass Klinken, Krankenhäuser und Arztpraxen im Fokus von Cyberkriminellen stehen, ist keine Überraschung. Immerhin zählen Gesundheitseinrichtungen zu den kritischen Infrastrukturen des Landes, d.h. zu den Einrichtungen, deren Ausfall Versorgungsengpässe und Störungen der Sicherheit nach sich ziehen. Aber auch die Unmengen an personenbezogenen und damit lukrativen Daten, die gespeichert werden, machen Kliniken zu einem besonders attraktiven Cyber-Ziel.
Welche Unannehmlichkeiten Cyberattacken für Gesundheitseinrichtungen bedeuten, mussten jüngst elf Krankenhäuser und vier Altenpflegeeinrichtungen des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz und im Saarland erleben. Nach einem massiven Malware-Befall des Domain-Controllers war die Verfügbarkeit von Daten stark eingeschränkt und die Versorgung der Patienten damit erschwert. Zwar waren glücklicherweise keine medizinischen Geräte betroffen, dennoch hat die Verschlüsselung der Daten den Verwaltungsaufwand massiv gestört: So mussten Patientenaufnahmen, Untersuchungsergebnisse und Laborbefunde während des Angriffs ganz klassisch mit Stift und Papier notiert werden und später aufwendig nachgetragen oder eingescannt werden.
Sorgenkind IT-Sicherheit
Tatsache ist, dass es um die IT-Sicherheit im Gesundheitswesen alles andere als gut bestellt ist. Nimmt man die Krankenhaus-IT einmal genauer unter die Lupe, stößt man in vielen Kliniken auf veraltete Netzwerke, Soft- und Hardware. Auch in deutschen Kliniken laufen viele PCs aber auch lebenswichtige Medizingeräte noch auf Windows XP, für das es schon lange Zeit keinen offiziellen Support mehr gibt. Der Großteil der Updates wird von den Verantwortlichen, wenn überhaupt, verspätet oder unvollständig ausgeführt. Die Gründe für diese Vernachlässigung sind dabei vielfältig. Fehlendes Budget für neue Software, Security-Experten oder Mitarbeiterschulungen dürften hier jedoch ausschlaggebend sein. Zur Verteidigung muss jedoch angeführt werden, dass das zeitnahe Einspielen von Updates für Kliniken nicht immer so einfach ist, wie man gerne annehmen möchte. Was ist, wenn die Softwareaktualisierung Probleme bereitet und es zu Konflikten innerhalb des Systems kommt, die einen kompletten System-Ausfall nach sich ziehen? Auch dies kann letztlich den Arbeits- und Verwaltungsbetrieb oder aber die lebenswichtige Intensivpflege eines Patienten beeinträchtigen. Es ist also nicht verwunderlich, dass Updates verschoben werden und IT-Verantwortliche Sicherheitslücken notgedrungen hinnehmen.
Veraltete Schutztechnologien müssen ersetzte werden
Anders als nachlässige Update-Prozesse, ist der Einsatz unzureichender Endpunkt-Security-Technologien jedoch nicht hinnehmbar. Immer noch verlassen sich viele Kliniken und Krankenhäuser bei der Abwehr von Malware auf herkömmliche Antivirus-Lösungen, die schadhafte Dateien, URLs oder IP-Adressen mit Hilfe eines signaturbasierten Ansatzes aufspüren und bei der Identifizierung von hochentwickelten und verschleierten Angriffen daher versagen müssen. Dass herkömmliche Sicherheitstechnologien im Kampf gegen bösartige Malware-Formen ohnmächtig sind, steht also Frage, nicht aber, warum die IT-Verantwortlichen diese Unzulänglichkeit hinnehmen und damit Cyberkriminellen Tür und Tor öffnen. Immerhin existieren bereits heute Endpoint Security-Lösungen, die den signaturbasieren Ansatz hinter sich lassen und bei der Erkennung von Schadcode neue, effektivere Wege gehen. Endpunktschutz der nächsten Generation nutzt innovative Technologien wie maschinelles Lernen und aktive Endpoint Detection & Response-Lösungen, die Einblick in den Modus Operandi der Malware gewähren, ihr Vorgehen aufdecken und ein Eingreifen und stoppen der Malware in Echtzeit ermöglichen. Auf diese Weise können auch weniger versierte IT-Abteilungen neue und verschleierte Malware analysieren, verstehen und stoppen.
Richtlinien und die DSGVO
Im Gesundheitswesen hat Sicherheit oberste Priorität. Dennoch hapert es bei der Umsetzung einer adäquaten IT-Sicherheit nach wie vor. Aus rechtlicher Sicht begeben sich Kliniken und ihre Geschäftsführer damit jedoch auf dünnes Eis, denn Bundesdatenschutzgesetz, BSI-Gesetz, NIS-Richtlinie und die im vergangenen Jahr in Kraft getretene EU-Datenschutzgrundverordnung stellen an Betreiber kritischer Infrastrukturen mittlerweile hohe Anforderungen. Um Datenrechtsverletzungen und damit verbundenen Bußgeldern vorzubeugen, müssen Krankenhäuser für eine ausreichende technische Ausstattung sorgen und die entsprechenden organisatorischen Maßnahmen schaffen, um Cyberangriffe bestmöglich und richtlinienkonform zu verhindern und abzuwehren.
Welche Unannehmlichkeiten Cyberattacken für Gesundheitseinrichtungen bedeuten, mussten jüngst elf Krankenhäuser und vier Altenpflegeeinrichtungen des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz und im Saarland erleben. Nach einem massiven Malware-Befall des Domain-Controllers war die Verfügbarkeit von Daten stark eingeschränkt und die Versorgung der Patienten damit erschwert. Zwar waren glücklicherweise keine medizinischen Geräte betroffen, dennoch hat die Verschlüsselung der Daten den Verwaltungsaufwand massiv gestört: So mussten Patientenaufnahmen, Untersuchungsergebnisse und Laborbefunde während des Angriffs ganz klassisch mit Stift und Papier notiert werden und später aufwendig nachgetragen oder eingescannt werden.
Sorgenkind IT-Sicherheit
Tatsache ist, dass es um die IT-Sicherheit im Gesundheitswesen alles andere als gut bestellt ist. Nimmt man die Krankenhaus-IT einmal genauer unter die Lupe, stößt man in vielen Kliniken auf veraltete Netzwerke, Soft- und Hardware. Auch in deutschen Kliniken laufen viele PCs aber auch lebenswichtige Medizingeräte noch auf Windows XP, für das es schon lange Zeit keinen offiziellen Support mehr gibt. Der Großteil der Updates wird von den Verantwortlichen, wenn überhaupt, verspätet oder unvollständig ausgeführt. Die Gründe für diese Vernachlässigung sind dabei vielfältig. Fehlendes Budget für neue Software, Security-Experten oder Mitarbeiterschulungen dürften hier jedoch ausschlaggebend sein. Zur Verteidigung muss jedoch angeführt werden, dass das zeitnahe Einspielen von Updates für Kliniken nicht immer so einfach ist, wie man gerne annehmen möchte. Was ist, wenn die Softwareaktualisierung Probleme bereitet und es zu Konflikten innerhalb des Systems kommt, die einen kompletten System-Ausfall nach sich ziehen? Auch dies kann letztlich den Arbeits- und Verwaltungsbetrieb oder aber die lebenswichtige Intensivpflege eines Patienten beeinträchtigen. Es ist also nicht verwunderlich, dass Updates verschoben werden und IT-Verantwortliche Sicherheitslücken notgedrungen hinnehmen.
Veraltete Schutztechnologien müssen ersetzte werden
Anders als nachlässige Update-Prozesse, ist der Einsatz unzureichender Endpunkt-Security-Technologien jedoch nicht hinnehmbar. Immer noch verlassen sich viele Kliniken und Krankenhäuser bei der Abwehr von Malware auf herkömmliche Antivirus-Lösungen, die schadhafte Dateien, URLs oder IP-Adressen mit Hilfe eines signaturbasierten Ansatzes aufspüren und bei der Identifizierung von hochentwickelten und verschleierten Angriffen daher versagen müssen. Dass herkömmliche Sicherheitstechnologien im Kampf gegen bösartige Malware-Formen ohnmächtig sind, steht also Frage, nicht aber, warum die IT-Verantwortlichen diese Unzulänglichkeit hinnehmen und damit Cyberkriminellen Tür und Tor öffnen. Immerhin existieren bereits heute Endpoint Security-Lösungen, die den signaturbasieren Ansatz hinter sich lassen und bei der Erkennung von Schadcode neue, effektivere Wege gehen. Endpunktschutz der nächsten Generation nutzt innovative Technologien wie maschinelles Lernen und aktive Endpoint Detection & Response-Lösungen, die Einblick in den Modus Operandi der Malware gewähren, ihr Vorgehen aufdecken und ein Eingreifen und stoppen der Malware in Echtzeit ermöglichen. Auf diese Weise können auch weniger versierte IT-Abteilungen neue und verschleierte Malware analysieren, verstehen und stoppen.
Richtlinien und die DSGVO
Im Gesundheitswesen hat Sicherheit oberste Priorität. Dennoch hapert es bei der Umsetzung einer adäquaten IT-Sicherheit nach wie vor. Aus rechtlicher Sicht begeben sich Kliniken und ihre Geschäftsführer damit jedoch auf dünnes Eis, denn Bundesdatenschutzgesetz, BSI-Gesetz, NIS-Richtlinie und die im vergangenen Jahr in Kraft getretene EU-Datenschutzgrundverordnung stellen an Betreiber kritischer Infrastrukturen mittlerweile hohe Anforderungen. Um Datenrechtsverletzungen und damit verbundenen Bußgeldern vorzubeugen, müssen Krankenhäuser für eine ausreichende technische Ausstattung sorgen und die entsprechenden organisatorischen Maßnahmen schaffen, um Cyberangriffe bestmöglich und richtlinienkonform zu verhindern und abzuwehren.