Arzt und Schwester besprechen am Notebook die Planung im Krankenhaus

Wie Ransomware-Angriffe die Cybersicherheit in Kliniken bedrohen

Veröffentlicht am 03.09.2020

Sie stellen die Cybersicherheit immer wieder auf eine harte Probe: Ransomwares verursachen in Deutschland jedes Jahr großen wirtschaftlichen Schaden. Der Bund unterstützt Krankenhausbetreiber beim Thema Cybersicherheit.

11.09.2020

Im Juli 2019 wurde die DRK Trägergesellschaft Süd-West über Nacht Opfer eines Ransomware-Angriffs. Dabei schleusten Täter Schadsoftware ein, die Zugänge zu IT-Systemen blockierte und ganze Server verschlüsselte. Die Trägergesellschaft ist zugleich der zentrale IT-Dienstleister für ihre Gesundheitseinrichtungen. Über 20 von ihnen, darunter mehrere Krankenhäuser in Rheinland-Pfalz und im Saarland, mussten ihren IT-Betrieb einstellen und Notfallpläne aktivieren. Im März 2020 traf es die Universitätsklinik im tschechischen Brünn. Besonders heikel: Die Klinik beherbergt das größte Corona-Testlabor des Lands. Das gesamte Computernetzwerk musste offline gehen, Operationen wurden verschoben und Patienten in andere Kliniken verlegt.

Was kommunale oder private Krankenhäuser so attraktiv für Cyberkriminelle macht? Im Vergleich zu Unternehmen sind sie weniger geschützt und in Sachen Cybersicherheit nicht immer auf dem neusten Stand der Technik. Wie groß das Problem tatsächlich ist, lässt sich schwer beziffern – auch weil sich Ermittlungsbehörden in den meisten Fällen aus taktischen Gründen zurückhalten. Eines ist hingegen klar: Die digitale Erpressung ist kein neues Phänomen. Der erste Ransomware-Fall trat 1989 auf. Allerdings werden die Attacken immer ausgefeilter.

„Der beste Schutz vor Lösegeldforderungen durch Cyberkriminelle sind konsequent umgesetzte IT-Sicherheitsmaßnahmen.“

Arne Schönbohm, ehemaliger Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI)
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Ransomware-Empfehlung-Kommunen_020320.html

Lösegeldforderungen nicht nachkommen

„Ein neuer Trend besteht darin, das Erpressungspotenzial gezielt bis auf die nachhaltige Vernichtung nahezu aller Datenbestände eines Unternehmens oder einer Institution inklusive Back-ups auszudehnen“, warnt das German Competence Centre against Cyber Crime, ein Zusammenschluss mehrerer Unternehmen. In den meisten Fällen fordern die Täter ein Lösegeld, das die Geschädigten per Kryptowährungen zahlen sollen. Sie stellen dann einen Freischaltcode in Aussicht, mit dem sich das System entsperren bzw. entschlüsseln lässt.

Angesichts des hohen Schadenspotenzials gehen laut dem aktuellen Bundeslagebild für Cybercrime des BKA viele Geschädigte auf die Lösegeldforderungen ein. Ein Krankenhaus aus dem US-Bundesstaat Indiana zahlte Anfang 2018 sogar 60.000 Euro. Und möglicherweise sind Krankenhausbetreiber in der gegenwärtigen Corona-Krise eher bereit, die verlangte Summe zu überweisen, um rasch den Betrieb weiterführen zu können. Die Sicherheitsbehörden raten jedoch strikt davon ab. Denn oft leisten Geschädigte ihre Zahlungen umsonst. Die Daten bleiben weiterhin verschlüsselt oder es folgen weitere Forderungen.

Sicherheitsexperten warnen umso mehr davor, dass die Mehrzahl der Krankenhäuser für Cyberangriffe nicht genügend gewappnet sei. Die zunehmende Vernetzung moderner Geräte verschärft die Situation. Um die Cybersicherheit branchenübergreifend zu erhöhen, hat der Deutsche Bundestag 2015 das IT-Sicherheitsgesetz verabschiedet. Es nimmt Betreiber kritischer Infrastrukturen (KRITIS) wie große Krankenhäuser stärker in die Pflicht, einen Mindeststandard bei der Cybersicherheit einzuhalten und Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Diese Pflichten galten jedoch nur für einen begrenzten Kreis von Betreibern. Etwas weniger als zehn Prozent der Krankenhäuser in Deutschland sind beim BSI als kritische Infrastrukturen registriert. So greifen bei Einrichtungen wie der Charité Berlin beispielsweise höhere IT-Standards für die Infrastruktur als bei einem Kreiskrankenhaus. Der seit 2019 anerkannte branchenspezifische Sicherheitsstandard (B3S) steht nun auch kleineren Kliniken, die nicht unter KRITIS reguliert sind, zur Verfügung und dient als Maßstab für die Umsetzung angemessener IT-Sicherheitsmaßnahmen. Des Weiteren veröffentlicht das BSI regelmäßige Handlungsempfehlungen.

 

Bund unterstützt Krankenhausbetreiber beim Thema Cybersicherheit

Um die IT-Infrastruktur mit Intrusion-Detection-Systemen, sicheren Authentifizierungsverfahren und neuesten Verschlüsselungssystemen auf den höchsten Sicherheitsstand zu bringen, müssen die Kliniken allerdings große Summen in die Hand nehmen – oft sind Hunderttausende bis Millionen Euro nötig. Nach dem Krankenhausstrukturfonds für KRITIS-Häuser kommt deshalb jetzt weitere Unterstützung.

3 Milliarden Euro will die Bundesregierung im Rahmen des geplanten Krankenhauszukunftsgesetzes auch kleineren Kliniken zufließen lassen. Hinzu sollen weitere 1,3 Milliarden Euro über die Länder und Krankenhausträger mit einem Eigenfinanzierungsanteil kommen. Die Förderung wird aber nicht per Gießkannenprinzip an alle Häuser verteilt: Über den sogenannten Krankenhauszukunftsfonds sollen konkrete und nachweisbare Projekte zum Aufbau, zur Verbesserung und Erneuerung der digitalen Infrastruktur und der IT-Sicherheit von Kliniken auf den Weg gebracht werden. Unter anderem müssen einheitliche digitale Standards für Krankenhäuser entstehen. Demnach soll künftig gewährleistet sein, dass Daten in die digitale Patientenakte übertragbar sind. Vor ersten Modernisierungsschritten braucht es eine kritische Bestandsaufnahme. So empfiehlt sich am Anfang eine sorgfältige Analyse des Status quo der Cybersicherheit – mithilfe eines erfahrenen externen Dienstleisters. Eine Investition, die sich in jedem Fall mehr lohnt, als ein Lösegeld an Hacker zu überweisen.

„Betroffene (...) sollten niemals auf Erpressungsversuche von Cyberkriminellen eingehen. Denn damit unterstützen sie das ‚Geschäftsmodell‘ der Erpresser.“

Holger Münch, Präsident des Bundeskriminalamts (BKA)
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Ransomware-Empfehlung-Kommunen_020320.html
Artikel