Weshalb Corona das Gesundheitswesen auch digital ans Limit bringt

Sicherheit

Veröffentlicht 02.06.2020 08:50

Die digitale Transformation konfrontiert Ärzte, Kliniken und Pharmahersteller gleichermaßen mit neuen Herausforderungen. Waren Patientendaten früher noch in analoger Form als Akte oder Karteikarte archiviert, gilt es heutzutage, die digitalisierten Informationen vor unberechtigtem Zugriff zu schützen.

Neue medizinische Teilbereiche wie die Ferndiagnostik oder Implantate für Home Monitoring erfordern zudem eine sichere und verlässliche digitale Verbindung zwischen Ärzten und Patienten. Störungen, Ausfälle oder Manipulationen gefährden hier direkt die Gesundheit des Einzelnen. Ein drohender Infarkt, der von einem Herzschrittmacher mit Diagnose-Funktionalität normalerweise sofort gemeldet würde, bleibt bei einem Ausfall der Technik vorerst unerkannt.

Das Gesundheitswesen muss daher wie keine andere Branche seine IT-Systeme auf Sicherheit und Stabilität abstimmen. Nicht zuletzt aufgrund der Gefährdung von Leib und Leben zählt die Bundesregierung den Healthcare-Sektor zu den Kritischen Infrastrukturen (KRITIS), die besonders hohe Anforderungen an IT-Sicherheit erfüllen müssen und bei Vorfällen meldepflichtig sind.

Belastungsprobe COVID-19

Die derzeitige Corona-Pandemie stellt das globale Gesundheitswesen vor bisher nicht dagewesene Herausforderungen. In vielen Teilen der Welt gelangen Ärzte und Kliniken wegen der schieren Anzahl an Patienten an ihre Kapazitäts- und Belastungsgrenzen. Um diese Notsituation zu meistern, ist ein reibungsloser Betrieb – digital wie analog – unbedingt erforderlich.

Diese Notlage nutzen Cyberkriminelle gezielt aus. Nie war die IT-Infrastruktur von Praxen und Kliniken verwundbarer als jetzt. Im März kam es etwa zu professionellen Angriffen auf die Weltgesundheitsorganisation (WHO) - glücklicherweise waren die Cyberkriminellen nicht erfolgreich. Auch Angriffe auf Krankenhäuser haben sich in den letzten Wochen gehäuft. Phishing, Social Engineering und mit Schadcode versehene Corona-Informationsseiten kommen hinzu.

Fakt ist: Kein voll ausgelastetes Krankenhaus kann eine schwere Cyberattacke ohne schwere Verluste wegstecken. Die derzeitige Situation macht Betreiber und Entscheider besonders für Lösegeldforderungen anfällig, bei denen Angreifer dringend erforderliche Behandlungsdaten in digitale Geiselhaft nehmen. Digitale Attacken stellen damit eine ganz reale Gefahr für die Gesundheit der Patienten dar.

Kliniken und Arzt-Praxen im Visier von Cyberkriminellen

Zu den gängigsten Angriffsvektoren der Cyberkriminellen auf medizinische Infrastruktur zählen unter anderem DDoS-Attacken (Distributed Denial of Service). Diese Angriffe zielen auf die Nichtverfügbarkeit eines Servers oder Dienstes ab, indem eine Unmenge künstlicher Anfragen aus Botnetzen die betreffende Hardware lahmgelegt. Kritische Internet-Dienste, wie etwa die zentralen Informationsportale der Gesundheitsbehörden, welche die Bevölkerung über die aktuelle Notlage informieren, werden mittels DDoS von außen gezielt sabotiert.

Ein ebenfalls sehr gängiges Angriffsmuster stellen Attacken mit Ransomware dar. Diese Erpressungstrojaner verschlüsseln selbständig Datensätze im Netzwerk und machen die darin enthaltenen Informationen dadurch unzugänglich. Um wieder an die Daten zu gelangen, werden die betroffenen Einrichtungen zur Zahlung von Lösegeldern gedrängt. In der Vergangenheit kam es schon mehrfach zu schweren Ransomware-Attacken auf Kliniken und Arztpraxen. Dieser Trend setzt sich in der Corona-Krise leider verstärkt fort. Verschlüsselungstrojaner können im Ernstfall Menschenleben kosten und verursachen Millionenschäden. Es dauert oft Wochen oder Monate, bis sämtliche Systeme einer betroffenen Klinik wieder ans Netz zu bringen. Gerade jetzt ist das ein beängstigendes Szenario.

Derzeit noch weniger verbreitet, aber potenziell mit schweren Konsequenzen behaftet ist die gezielte Manipulation kritischer Gesundheitsdaten. Durch die zunehmende Vernetzung von Monitoring-Geräten und die Einbeziehung von Gesundheitstrackern und Wearables in die Behandlung von Patienten vergrößert sich die virtuelle Angriffsfläche exponentiell. Sicherheitslücken in Schnittstellen oder Geräte-Firmwares bieten Angreifern hier die Möglichkeit, generierte Datensätze zu verfälschen. Die manipulierten Informationen können wiederum zu Fehldiagnosen oder Fehlmedikationen führen. Um diesen Angriffsvektor zukünftig abzuwehren, muss massiv in die IT-Sicherheit dieser Geräte investiert werden.

Gesundheitswesen erfordert ganzheitliche Sicherheit

Alle drei beschriebenen Bedrohungsszenarien stellen für Ärzte und Kliniken bereits im normalen Betrieb eine Herausforderung dar. Zu Zeiten der Corona-Pandemie sind solche Ausfälle dagegen oftmals lebensbedrohlich.

Nicht umsonst greifen für das Gesundheitswesen strenge regulatorische Vorschriften für Cybersicherheit und Datenschutz. Während etwa die europäische Datenschutz-Grundverordnung (DSGVO) auf den Schutz sensibler Patientendaten abzielt, regelt das besonders für KRITIS-Betreiber relevante IT-Sicherheitsgesetz die Absicherung digitaler Systeme. So müssen etwa mitunter die digitalen Krankenhausinformationssysteme (KIS) in Kliniken redundant über Notfallpläne abgesichert sein, damit wichtige Patienten- und Behandlungsdaten auch bei Ausfällen oder Angriffen zugänglich sind. KRITIS-Einrichtungen haben zudem regelmäßig nachzuweisen, sämtliche verfügbaren Mittel, die zum Schutz ihrer Systeme erforderlich sind, einzusetzen.

Professionelle Schutzlösungen für den Healthcare-Bereich

Im Fall der oben beschriebenen Angriffsvektoren umfasst dies etwa einen hochspezialisierten DDoS-Schutz, der genau diese Art von Attacken adressiert. Professionelle Schutzanbieter sind dazu in der Lage, Webseiten und Online-Dienste in Echtzeit zu analysieren und den schädlichen Traffic zu diagnostizieren. Der bösartige Datenverkehr wird dann herausgefiltert, damit die Serverkapazitäten allein den validen Nutzeranfragen zur Verfügung stehen.

Zur Abwehr von Ransomware ist vor allem eine Sensibilisierung des Personals erforderlich. Zumeist gelangt die Schadsoftware über Phishing- oder Spam-E-Mails in die Netzwerke von Kliniken und Arztpraxen. Regelmäßige Awareness-Schulungen und Trainings bereiten Mitarbeiter auf den Umgang mit diesen Gefahren vor – gelegentliche Stichproben (etwa über Phishing-Test-Mails) geben Aufschluss darüber, ob die Mitarbeiter die Verhaltensregeln auch beherzigen.

Daneben gelten natürlich auch für Krankenhäuser die üblichen Best-Practise-Methoden der Cybersicherheit. So sollten etwa stets alle Systeme auf dem aktuellen Stand gehalten und zeitnah mit verfügbaren Sicherheitsupdates versorgt werden. Auch das regelmäßige Anlegen von Backups kritischer Datensätze zählt zu den gängigen Standards.

Wer die gängigen Vorgaben für eine ganzheitliche Sicherheitsstrategie erfüllt, dessen Systeme sind auch in Notsituationen der gestiegenen Belastung gewachsen. Gerade in der Corona-Krise ist es daher essenziell, dass trotz Überlastung und Stress in den Kliniken die IT-Sicherheit ganz oben auf der Agenda steht, um digitale Angriffe erfolgreich abzuwehren. Wir denken, dass die IT-Abteilung der Klinik heutzutage genauso wichtig ist wie die Intensivstation.

Paul Kaffsack, Myra

Zum Autor

Paul Kaffsack ist Geschäftsführer des deutschen Technologieherstellers Myra Security. Er ist seit 20 Jahren in der digitalen Welt aktiv und ein gefragter Experte auf internationalen Konferenzen. Als IT-Sicherheitsunternehmen bietet Myra eine zuverlässige, zertifizierte Security-as-a-Service Plattform zum Schutz digitaler Prozesse. Die smarte Technologie überwacht, analysiert und filtert schädlichen Internet-Traffic, noch bevor virtuelle Angriffe einen realen Schaden anrichten. Auf die Lösungen von Myra vertrauen unter anderem das Bundesministerium für Gesundheit (BMG), die Bundeszentrale für gesundheitliche Aufklärung (BZgA), die Bundesregierung sowie Banken und Versicherungen.

Weitere Informationen unter: https://www.myrasecurity.com/de/">