IT-Konferenz zeigt, wie in Minuten ein Spital gehackt wird

Krankenhäuser sind lukrative Ziele für Hacker. In IT-Sicherheit wird oft nicht investiert. Dabei stehen aber Menschenleben auf dem Spiel. Die Konferenz des Health Tech Cluster in Rotkreuz suchte Lösungsansätze.

Wolfgang Meyer
Drucken
Fabian Riechsteiner (vorne) und Stefan Peter zeigen dem Publikum, wie sie in ein IT-System eindringen. (Bild: Stefan Kaiser (Rotkreuz, 7. Juni 2018))

Fabian Riechsteiner (vorne) und Stefan Peter zeigen dem Publikum, wie sie in ein IT-System eindringen. (Bild: Stefan Kaiser (Rotkreuz, 7. Juni 2018))

Die IT von Krankenhäusern ist anfällig für Cyberangriffe. Die medizinische Infrastruktur ist komplett vernetzt, Patientenakten sind digitalisiert, Behandlungen und Medikamentierung werden übers interne Netz gesteuert. Wer sich hier einhackt, kann grossen Schaden anrichten. So wie in Grossbritannien, als der Computervirus «Wanna Cry» letztes Jahr Dutzende Spitäler lahm legte.

Aber auch in der Schweiz ist das Problem Realität. Zwei bis drei mal pro Monat würden seine Kunden im Schnitt angegriffen, sagte Urs Achermann, Sicherheitsexperte bei der IT-Sicherheitsfirma Hint AG gegenüber des «Tages-Anzeigers». Trotzdem sei es «unsexy» in Security zu investieren, so Erwin Schnee vom Health Tech Cluster an der Konferenz für Informationssicherheit im Gesundheitswesen in Rotkreuz am Donnerstag. Schnee ist Organisator der Konferenz. «Diese Investitionen ziehen keinen direkten Gewinn nach sich. Deshalb sträuben sich viele Investoren dagegen.» Auf lange Sicht müsse die Politik der Branche Sicherheitsauflagen machen, so Schnee. «Es ist beängstigend, wie einfach Krankenhäuser gehackt werden können.»

Grundlegende Asymmetrie

Da beweis auch der Live Hack an der Konferenz im Dorfmattsaal am Donnerstag. Die IT-Sicherheitsspezialisten Stefan Peter und Fabian Riechsteiner von der Recretix Systems AG simulierten einen Cyberangriff auf ein Krankenhaus. Als Einstiegspforte in das interne System des Hauses wählten sie einen validierten Endoskopie PC. «Man greift nicht direkt das Kernstück an, sondern sucht sich eine Schwachstelle in der Peripherie», erklärte Peter sein Vorgehen. Der Endoskopie PC ist nicht auf dem neusten Stand. Für den Einstieg brauchen sie lediglich einen USB-Stick einzustecken und einige Code-Zeilen zu aktivieren. Nach wenigen Minuten haben sie Zugriff auf das Gerät. Von da aus arbeiten sie sich tiefer ins System.

«Die Tools, die wir hier einsetzen, lassen sich sehr einfach anwenden», so Peter. Es brauche keinen Nobelpreis in Mathematik um ein Sicherheitssystem zu knacken. «Aber etwas Glück gehört dazu.» Ein Angreifer könne ungestraft unzählige versuche starten ein System zu Hacken. Dabei müsse ihm nur einer gelingen, um die gewünschte Kontrolle über das System zu gewinnen. «Das Spital hingegen muss sich jedes Mal erfolgreich schützen, um den Kampf zu gewinnen.» Diese grundlegende Asymmetrie im Cyberkrieg mache den Stand der Spitäler so schwierig, sagt Peter.

Hundertprozentige Sicherheit gibt es nicht

Innert einer Dreiviertelstunde haben Peter und Riechsteiner Adminrechte über das gesamte Netz des simulierten Krankenhauses. «Damit können wir sämtliche Prozesse im Krankenhaus nach belieben manipulieren.» Im Normalfall würden die Hacker dieses Schadenspotenzial den Opfern dann erst demonstrieren und sie dann damit erpressen. Die Spitäler sind meist gezwungen zu zahlen. Denn ihr System muss schnellstmöglich wieder funktionieren. Zeit ist Leben. «Hundertprozentige Sicherheit gibt es auch bei hohen Investitionen nicht», stellt Peter klar. «Hacker suchen sich aber immer das schwächste Ziel.» Wer im Rüstungswettbewerb der IT-Sicherheit nachhinkt, wird zur Zielscheibe.