Während der Covid-19-Gesundheitskrise waren Krankenhäuser mehr denn je den verschiedensten Formen von Cyberrisiken ausgesetzt: Phishing-Kampagnen, Trojanern oder Erpressersoftware. Wie lässt sich die Anfälligkeit digitaler Systeme im Krankenhausbereich erklären?
Zwischen Februar und März 2020, dem Beginn der Pandemie in Europa, sind böswillige Handlungen, die Krankenhäuser ins Visier genommen haben, schätzungsweise um 475% gestiegen, d. h. fünfmal mehr Angriffe als in normalen Zeiten (nach Angaben eines anderen Akteurs der Cybersicherheit).Das hat sogar Interpol auf den Plan gerufen, die sich diesem Thema angenommen hat und öffentlich auf die Zunahme von Cyber-Angriffen auf Gesundheitseinrichtungen hinwies. Dieses Alarmsignal wurde Ende Mai auch in einer Stellungnahme thematisiert, die von früheren Staats- und Regierungschefs, ehemaligen Leitern internationaler Organisationen, Unternehmen und Rechtsexperten – allen voran Ban Ki-moon, Desmond Tutu, Michail Gorbatschow und Brad Smith - unterzeichnet wurde und in der ein gemeinsames Vorgehen der Regierungen angesichts der Cyber-Bedrohung gefordert wurde.
Die Covid-19-Krise hat somit auf traurige Weise bestätigt, dass Krankenhäuser sehr sensible Umgebungen für Cyberangriffe sind. Aber handelt es sich dabei um eine momentane Situation oder kommen gerade jetzt die Anfälligkeit und die Schwachstellen der digitalen Systeme ans Licht, die für Krankenhäuser bereits seit einigen Jahren ein Problem sind?
Covid-19 und Krankenhäuser: Operation Hacker gestartet
Auf die Frage nach seiner täglichen Arbeit als CISO eines regionalen Krankenhausverbundes (GHT) bestätigt Charles Blanc-Rolin, dass zusätzlich zur beträchtlichen Arbeit der Reorganisation von Diensten zur Bewältigung der Krise und die Schaffung neuer spezifischer IT-Einheiten Krankenhäuser tatsächlich Ziel böswilliger Angriffe im Zusammenhang mit Covid-19 sind. Angefangen von klassischen Phishing-Versuchen, die auf das Krankenhauspersonal abzielen, um gefälschte Webmail-Updates zu installieren, bis hin zu ausgeklügelten Betrugsversuchen direkt an den Krankenhausleiter. „Einige Cyber-Angreifer behaupteten, Vorräte an FFP2-Masken zu haben, und versuchten, in mehreren Gesundheitseinrichtungen Betrüge mittels Banküberweisungen zu begehen.“ Ebenfalls in Frankreich, in Paris, wurden AH-HP-Krankenhäuser Opfer eines Denial-of-Service-Angriffs (DDoS), der darauf abzielte, den Zugang zu E-Mails des Krankenhauspersonals zu beeinträchtigen. Ein Vorfall, der „schnell und effizient ohne kritische Folgen von den AH-HP-Teams behoben wurde“, wie eine Pressemitteilung der Nationalen Agentur für Sicherheit der Informationssysteme ANSSI verlauten ließ.
Während der Betrieb des Pariser Krankenhauses nicht beeinträchtig wurde, waren andere Gesundheitseinrichtungen stärker von solchen Cyberangriffen betroffen. So gab es in den letzten Monaten auch auf internationaler Ebene zahlreiche Spitäler im Vereinigten Königreich, in Tschechien und Rumänien, die Ziel von Cyberangriffen waren.
Rückstand bei ausgereiften Systemen für Cyber-Sicherheit
Aber wie kann man die Motive der Cyber-Angreifer verstehen? Es ist klar, dass Krankenhäuser schon immer ein bevorzugtes Ziel von Cyberangriffen waren. „Es gibt zwei Arten von lukrativen Angriffen auf Krankenhäuser: die Extraktion von Gesundheitsdaten und die Erpressersoftwares. Gesundheitsdaten sind strategische und hochsensible Informationen für den Betrieb des Krankenhausdienstes und daher ein Hauptziel für Cyber-Angreifer, da sie mehr Geld bringen als einfache personenbezogene Daten. Aufgrund der Notwendigkeit, den Spitalsbetrieb aufrechtzuerhalten, ist es leider bei Krankenhäusern wahrscheinlicher als bei anderen Einrichtungen, dass sie bei Ransomware-Angriffen das geforderte Lösegeld zahlen“, betont Raphaël Granger, Account Manager bei Stormshield. „Vergessen wir auch nicht, dass Krankenhäuser, wie alle Unternehmen und Organisationen, die sich plötzlich mit dieser Gesundheitskrise konfrontiert gesehen haben, auf diese Doppelbelastung nicht vorbereitet waren“, fügt Charles Blanc-Rolin hinzu.
Im Vergleich zu anderen strategischen Sektoren, wie Industrie oder Bankwesen, stellen wir auch fest, dass die Gesundheitssysteme im Allgemeinen einen Rückstand in Bezug auf digitale Sensibilität und Cybersicherheit aufweisen. So hat beispielsweise die massive Nutzung von Telearbeit für einen Teil des Gesundheitspersonals es den ohnehin schon überlasteten CISOs in den Krankenhäusern nicht leichter gemacht. Um mehr darüber zu erfahren, bieten die Ausführungen von Charles Blanc-Rolin zum Thema Datenkontrolle (auf Französisch) bezogen auf die Homeoffice-Situation viele Ratschläge und beschreiben die verfügbaren Tools. Auf gleiche Weise haben die Lösungen zur Fernberatung, die zur Bewältigung der steigenden Zahl von Patienten eingeführt wurden, die Angriffsfläche der Krankenhäuser vergrößert.
Natürlich muss gesagt werden, das der plötzliche Ausbruch der Krise sich genau dort bemerkbar gemacht hat, wo es sowieso schon Defizite gab. Was ist von der optimistischen Stimmung zu Beginn der Krise geblieben? Sagten nicht einige Hacker-Gruppen wie DoppelPaymer oder Maze, dass sie keine Krankenhäuser angreifen würden? Diese Versprechen haben sich schnell in Luft aufgelöst und die strukturellen Probleme aufgezeigt.
Chronische Unterinvestitionen im IT-Bereich
Es fängt damit an, dass „die IT-Systeme im französischen Gesundheitssystem unter chronischer Unterinvestition leiden“, wie die französischen Senatoren Olivier Cadic und Rachel Mazuir in einer Anfang Mai veröffentlichten Stellungnahme besorgt feststellten. „In den französischen Spitalsverbünden wird nur 1% des Gesamtbudgets für digitale Technologien im Allgemeinen (einschließlich Sicherheit) aufgewendet, gegenüber 5 bis 6 % in den nordeuropäischen Ländern“, bedauert Charles Blanc-Rolin. Ein Punkt, der durch die Politik der Krankenhauszusammenschlüsse (aus denen in Frankreich die regionalen Krankenhausverbünde hervorgegangen sind) noch mehr an Bedeutung gewinnt. „Die Notwendigkeit, Krankenhäuser miteinander zu vernetzen und zu verbinden ebenso wie die Einbindung verschiedener vernetzter Geräte hat zu einer Vergrößerung der Angriffsfläche und damit der Anfälligkeit der IT-Infrastrukturen von Krankenhäusern geführt. Gleichzeitig sind die geringen IT- und Sicherheitsbudgets im Gesundheitswesen ein Element, das Krankenhäuser dazu verurteilt, nicht ausreichend gegen diese Bedrohungen gerüstet zu sein“, betont Raphaël Granger.
In den französischen Spitalsverbünden wird nur 1 % des Gesamtbudgets für digitale Technologien im Allgemeinen (einschließlich Sicherheit) aufgewendet, gegenüber 5 bis 6 % in den nordeuropäischen Ländern.
Charles Blanc-Rolin, CISO der GHT15
Diese Unterinvestition ist besonders bei medizinischen Geräten spürbar, die häufig automatisiert sind. Ob für medizinische Bildgebung (MRI, CT-Scanner), Sonden oder Blut- und Genanalysen, das Ökosystem von Geräten ist besonders vielfältig. Auch wenn einige Krankenhäuser sich die neuesten Geräte leisten können, so arbeiten die meisten mit älteren Geräten. „Für diese Geräte belaufen sich die Rechnungen auf sechsstellige Beträge. Sie sind äußerst teuer, sodass Investitionen für Krankenhäuser über 15 bis 20 Jahre getätigt werden. In den meisten Fällen laufen die Arbeitsplätze zur Steuerung und Bedienung mit veralteten Betriebssystemen wie Windows XP oder Windows 2000“, erklärt Raphaël Granger. Bei Problemen oder fehlerhaften Geräten sind den CISOs die Hände gebunden: Die Geräte verfügen oft über medizinische Zertifizierungen, die die Anwendung von Sicherheitspatches verhindern. „Die einzige Lösung besteht darin, diese Geräte in spezifischen Netzwerken zu isolieren, Verbindungen nach außen so weit wie möglich zu vermeiden und die notwendigen Abläufe zu kontrollieren“, sagt Charles Blanc-Rolin. Aber solche Vorkehrungen haben unweigerlich ihren Preis. Da die öffentlichen Mittel zurückgehen und die Leistungsanforderungen immer weiter steigen, tritt die Cybersicherheit von medizinischen Geräten scheinbar in den Hintergrund.
ZTM / TFM – die Frage der betrieblichen Cybersicherheit
Da das Krankenhaus zu einem vernetzten und automatisierten System wird, darf der Faktor Cybersicherheit in OT-Netzwerken nicht außer Acht gelassen werden, um die Schwachstellen zu erkennen. Innerhalb eines Krankenhausgebäudes betrifft dies die Energie- oder Medienverteilung, wie z. B. Klimaanlage, Luftzufuhr oder Brandschutz. Elemente, die das Herzstück intelligenter Gebäude und der damit verbundenen Infrastruktur bilden. Dies gilt umso mehr, als sensible Krankenhausumgebungen wie Operationssäle, MRT-Geräte oder Intensivstationen eine konstante Luftzufuhr und Temperatur erfordern. Dies wird als zentralisierte technisches Management (ZTM) und technisches Facility Management (TFM) bezeichnet. „Aufgrund der Struktur von Krankenhausgebäuden und bestimmten Bereichen ist die Luftbehandlung von grundlegender Bedeutung, und das Gesundheitsrisiko ist offensichtlich. Man kann sich leicht vorstellen, wie wichtig der Luftaustausch in Operationssälen und in den Krankenzimmern ist, um die Ausbreitung von Bakterien oder Viren zu verhindern. Die Steuerung von Temperatur und Luftfeuchtigkeit ist ebenfalls von entscheidender Bedeutung, insbesondere in Geburtenabteilungen oder in Abteilungen für schwere Brandverletzungen. Es darf nicht vergessen werden, dass das Risiko auch finanzieller Natur sein kann, wenn es darum geht, beispielsweise das Kühlsystem eines MRTs zu überwachen, damit es keinen Schaden nimmt“, betont Vincent Nicaise, Industrial Partnership and Ecosystem Manager bei Stormshield.
Die Annahme eines Cyberangriffs, der das Luftaufbereitungssystem in einem Operationssaal beeinträchtigen könnte, stellt sofort ein ernstes Gesundheitsrisiko dar.
Vincent Nicaise, Industrial Partnership and Ecosystem Manager bei Stormshield
Generell sind „einige medizinische Tätigkeiten in einem Krankenhaus – wie Wiederbelebung, Notfall- und Intensivversorgung – kritisch genug, um über eigene Vorrichtungen zu verfügen, die eine unterbrechungsfreie Stromversorgung gewährleisten“, so Vincent Nicaise weiter. „Dies wird derzeit für öffentliche und private Gesundheitseinrichtungen gesetzlich geregelt und zeigt, wie wichtig die Sicherstellung der Stromversorgung innerhalb der Gesundheitseinrichtungen ist.“ Genau diese Schwachstelle zeigte sich während des Angriffs auf das Universitätskrankenhaus von Rouen in Frankreich, wie Rémi Heym, Leiter Kommunikation der Universitätsklinik, in einem Artikel in Le Monde (auf Französisch) hervorhob: „Das Abschalten des gesamten Systems ist für eine Universitätsklinik, in der alles computerisiert ist – Aufnahme, Rezepte, Analysen, Protokolle – ein schwerwiegendes Problem.“
Krankenhäuser sind lebenswichtige, aber sehr sensible und besonders anfällige Einrichtungen, trotzdem haben sie in dieser Krise ihre Widerstandsfähigkeit bewiesen. Aber für wie lange? Wie viele Wochen wird es dauern, bis ein neues Krankenhaus zur Zielscheibe von Cyber-Angriffen wird? Neben der großen Herausforderung zur „Rückkehr zur Normalität“ wird der Aspekt der Cybersicherheit sicherlich im Mittelpunkt der Diskussionen der Krankenhausverwaltungen stehen. Ob dabei eine Erhöhung der entsprechenden Budgets in Aussicht steht?
