Dramatische Zunahme erfolgreicher Cyberattacken

KH-IT

Veröffentlicht 27.06.2024 11:40, Kim Wehrs

Ende des Jahres 2023 und zu Beginn des Jahres 2024 haben die erfolgreichen Angriffe auf die IT-Infrastruktur von öffentlichen Einrichtungen, Unternehmen und auch Krankenhäusern massiv zugenommen. Die erfolgreiche Cyberattacke auf die Uniklinik Frankfurt zeigte, wie sehr ein Krankenhaus auch unter einem sehr früh aufgedeckten Angriff leiden kann. Von Jürgen Flemming, Pressereferent des KH-IT

Die Angriffe beschränken sich keineswegs auf Deutschland oder Europa. Die NZZ-Gruppe in Zürich wurde im Frühjahr 2023 Opfer eines gut geplanten und durchgeführten Angriffs. Mehr als 20 rumänische Krankenhäuser wurden im Februar 2024 durch eine erfolgreiche Cyberattacke auf den zentralen KIS-Betreiber lahmgelegt. Der dänische IT-Dienstleister Netcompany wurde erfolgreich angegriffen, nun werden auch von diesem Angriff interne Daten veröffentlicht – unter anderem auch die dort verwendeten Passwörter. In den USA sind Cyberattacken, auch auf Krankenhäuser, schon länger „üblich“ und erstaunlich erfolgreich.

Ob Krankenhaus, kommunales Rechenzentrum, Abrechnungsdienstleister, Logistikzentrum – alle Angriffe erfolgten unter Ausnutzung bekannter Sicherheitslücken, oft in Verbindung mit Phishing-Mails. Der Verlauf der Angriffe zeigte auch, dass die Cybergangster durchaus mit viel Geduld an die Arbeit gehen. Bei einem Klinikum in Süddeutschland lag die Schadsoftware 2 Jahre in den Eingeweiden der Citrix-Installation, bevor der eigentliche Angriff begann. In der Folge kämpfte das Haus über ein Jahr lang mit den Folgen. Heute ist die IT-Infrastruktur erneuert, das Personal geschult und wichtige Über wachungen werden teils durch externe Dienstleister sichergestellt.

Oftmals verlaufen die Angriffe nach demselben Schema: Über Phishing werden initiale Zugangsdaten erschlichen, mit denen entweder die Angreifer in die IT-Infrastruktur eindringen können, oder es wird direkt über einen Link Schadsoftware eingeschleust. Bekannte und nicht geschlossene Sicherheitslücken in den – insbesondere im Krankenhaus zahlreichen – Anwendungen erlauben es den Angreifern auch vermeintlich sichere Infrastrukturen zu durchdringen und sich in den Systemen festzusetzen. Anschließend werden möglichst viele Daten kopiert und Backups gezielt zerstört. Am Ende erfolgt dann die Verschlüsselung des gesamten Datenbestands.

Die Opfer werden in der Regel mit 2 Bedrohungen erpresst: einerseits kann die Veröffentlichung gestohlener Daten, insbesondere der Gesundheitsdaten, für die verantwortliche Stelle schnell existenzbedrohend
werden. 50 TEUR pro veröffentlichtem Fall als Bußgeld sind heutzutage durchaus „üblich“. Die Täter verlangen daher erhebliche Beträge, um eine Veröffentlichung zu unterlassen. Die zweite Bedrohung liegt natürlich in der Verschlüsselung der dringend benötigten Daten. Die geforderten Lösegelder orientieren sich dabei durchaus am „Marktwert“ der verschlüsselten Systeme. Je kritischer, desto teurer. Während die Zahlung der geforderten Lösegelder keineswegs die Vertraulichkeit der gestohlenen Daten garantiert, nutzt die Zahlung auch wenig im Hinblick auf die Verschlüsselung: bei solchen Angriffen müssen alle Systeme komplett neu aufgesetzt werden, um etwaige bleibende Infektionen zu vermeiden.

Warum sind Cyberattacken inzwischen so oft erfolgreich?

Gerade in Krankenhäusern werden sehr viele und oftmals sehr spezialisierte Anwendungen betrieben. Keine Krankenhaus-IT ist in der Lage, alle diese Anwendungen souverän mit eigenem Personal im 1st- und 2nd-Level-Support zu betreiben. In aller Regel beschränkt sich der Support der eigenen IT auf das KIS, das PACS und einige andere Kernsysteme, wie die Kommunikations- und Schnittstellen-Server. Für die meisten anderen Anwendungen ist die eigene IT nur Anlaufstelle für Fehlermeldungen, die dann an den jeweiligen Hersteller oder Support-Dienstleister weitergegeben werden.

Die Basis-Kompetenz der eigenen IT-Organisation liegt im Betrieb der eigentlichen IT-Infrastruktur, also Server, Storage, Netzwerk. Das kann aber im Grunde jeder externe Dienstleister mindestens genauso gut.

Die eigentliche Kernkompetenz der KH-IT besteht im Betrieb der wichtigsten Systeme, wie z.B. dem KIS, RIS, PACS und ggf. dem LIS, sowie der Schnittstelle zu den Anwendern, dem Service Desk. Für die weiteren Anwendungen kommen zunehmend die Hersteller oder externe Dienstleister ins Spiel. Sofern Anwendungen einzig aus der Cloud, z.B. als SaaS betrieben werden, führt daran kein Weg vorbei.

Diese Struktur ist unvermeidlich, bietet aber mindestens 2 Schwachstellen: einerseits hat das Krankenhaus als verantwortliche Stelle für die Daten lediglich das eigene Personal wirklich im Griff. Die Mitarbeiter der externen Partner können nur indirekt gesteuert und kontrolliert werden. Die Zusammenarbeit klappt nur dann problemlos, wenn die Kernprozesse des IT-Betriebs auf beiden Seiten weitgehend standardisiert ablaufen.

Andererseits bringt die Nutzung externer technischer Ressourcen die existentielle Abhängigkeit von der Internet-Anbindung mit sich. Fällt diese Anbindung aus – was bei aller Redundanz durchaus passieren kann – steht die Anwendung oder ihre Daten nicht zur Verfügung. Läuft das KIS aus der Cloud, ist dann eine gute Offline-Lösung gefragt. Wie bereits erwähnt, führt die Vielzahl an Applikationen gerade im Krankenhaus zu einem stark erhöhten Gefährdungspotential. Sicherheitslücken werden teilweise – überwiegend in der Basis-Infrastruktur – durch eigenes Personal geschlossen. Sicherheitslücken in den Anwendungen sind oftmals nur mit größerem Aufwand zu schließen, was schnelles Patchen oft verhindert. Oft müssen die Hersteller oder Dienstleister aktiv werden, was auf dem engen Markt durchaus mal dauern kann. Weiterhin müssen gerade bei komplexen – auch nicht-medizinischen Systemen, wie z.B. Outlook – teils umfangreiche Tests durchgeführt werden, bevor ein Sicherheitsupdate tatsächlich in die Produktionsumgebung eingebracht werden kann.

Externe Dienstleister können oftmals die Kritikalität ihrer Services für den Krankenhausbetrieb nicht wirklich einschätzen. Außerdem sind auch in diesen Unternehmen aus Kostengründen die personellen Ressourcen begrenzt – was wiederum durchaus zu verspäteten Installationen von Sicherheitsupdates führen kann.

Bei Ransomware-Attacken ist in der Mehrzahl der Fälle das erste Einfallstor bei den Mitarbeitern zu finden: in den deutlich besser gewordenen Phishing-Mails ist schnell mal ein Link angeklickt und die Schadsoftware im Haus. Erst dann kann die IT-Abteilung versuchen, den Schaden zu begrenzen, den Angriff einzudämmen und die Folgen in den Griff zu bekommen. Daher ist die Aufmerksamkeit der Mitarbeiter und das Bewusstsein über die Gefährlichkeit solcher Angriffe einer der Schlüsselfaktoren für die erfolgreiche Gegenwehr. Gute Sicherheitssoftware sollte allerdings genau solche Probleme verhindern, daher sind Programme, die dem Anwender diese Verantwortung vorgelagert abnehmen, extrem wichtig.

Auch dem Management der Zugriffsberechtigungen kommt in diesem Zusammenhang ganz erhebliche Bedeutung zu. Um den Datenschutz und die Datensicherheit zu gewährleisten, muss die Vergabe von Zugriffsberechtigungen restriktiv und zeitnah erfolgen. Der Angriff bei der NZZ-Gruppe erfolgte z.B. über einen nicht mehr benötigten Account eines externen Dienstleisters, der eigentlich gerade gelöscht werden sollte.

Für die ärztlichen und pflegerischen Mitarbeiter eines Krankenhauses, aber auch für die interne Apotheke und andere Bereiche sind die Einschränkungen der Zugriffe mindestens lästig und treffen meist auf wenig Verständnis. Das müssen die IT-Verantwortlichen an dieser Stelle aber aushalten. Ganz besonders beliebt bei den Angreifern sind natürlich die Admin-Accounts und die Zugriffe auf die zentrale Infrastruktur, wie Firewalls und Coreswitche. Hand aufs Herz: Wann wurden zuletzt die Kennwörter der Switche geändert ?

Ansätze für Gegenmaßnahmen

Die Einführung und Nutzung eines ISMS (Informations-Sicherheitsmanagement-System) gehört zusammen mit der Installation eines Informations-Sicherheitsbeauftragten zu den Grundvoraussetzungen.

Darüber hinaus sollten die „9 goldenen Grundregeln der Häuslebauer“ berücksichtigt werden. Im Kern bedeuten diese: Die verbaute neueste Sicherheitstechnik lässt nur die Personen ins Haus, die dazu auch befugt sind. Über diese Technik wird auch sichergestellt, dass die Leute nur dorthin kommen, wo sie auch hin dürfen. Wichtige Technik und ihre Daten müssen konsequent vor unberechtigten Zugriffen geschützt werden. Das beinhaltet den physischen Zugangs- und Zugriffsschutz, ebenso wie den logischen Schutz vor unberechtigten Dateneinsichten und -Manipulationen.

Der Datenverkehr sollte im Rahmen der rechtlichen Möglichkeiten engmaschig kontrolliert werden, um etwaigen Datendieben frühzeitig auf die Spur zu kommen. Und wenn etwas ungewöhnlich aussieht, lieber einmal zu oft Alarm schlagen. Zu guter Letzt: Klare, einfache und gut verständliche Regeln formulieren und kommunizieren.


Und was ist, wenn es passiert ist ?

Seit Jahren ist eigentlich klar: es ist nicht die Frage, ob ein Haus gehackt wird, sondern nur wann.

Eingedenk dieser Aussage muss sich jedes Krankenhaus ernsthaft mit seiner Resilienz auseinandersetzen. Welche Prozesse greifen bei einem Ausfall des KIS? Wie wird der Ausfall des PACS gehandhabt? Welche Prozesse ermöglichen den Basisbetrieb der Notaufnahme und des restlichen Krankenhauses auch im Falle einer erfolgreichen Cyberattacke? Welche Kommunikations-Infrastruktur steht zur Verfügung, wenn die hauseigene IP-Telefonie ausgefallen ist?

Viele dieser Fragen sind für die Patienten und das Krankenhaus von existentieller Bedeutung. KRITIS-Häuser müssen sich inzwischen qua Definition mit diesen Fragen und dem damit verbundenen Business Continuity Management auseinandersetzen. Allen anderen Häusern, aber auch Unternehmen und öffentlichen Einrichtungen ist dringend anzuraten, genau diese Fragen zu diskutieren und die Lösungen dazu immer wieder zu proben. So wie im Krankenhaus die monatliche Stromprobe gesetzlich gefordert ist, sollte jedes Krankenhaus mindestens einmal pro Jahr den Notbetrieb bei einem
IT-Ausfall üben. 


Jürgen Flemming

Jürgen Flemming, Pressereferent des KH-IT
Mit Unterstützung von Lars Forchheim und Thorsten Schütz



Quelle. Krankenhaus-IT Journal, Ausgabe 02/2024, Stand April 2024


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Lesen Sie hier die neuesten Beiträge

Diese Webseite verwendet Cookies.   Mehr Info.      oder