Gesundheitsdaten gefährdet

Hacker-Magnet Healthcare-Branche

09.12.2019
Von 


Rüdiger Weyrauch ist System Engineering Director Central & Eastern Europe bei FireEye Deutschland GmbH. Er verfügt über langjährige Erfahrung in der Sicherheitsbranche und war zuvor bei Oracle und Sun Microsystems tätig. Seine Schwerpunkte liegen im Bereich IT-Sicherheit - unter anderem auf Incident Reponse und Threat Intelligence.
Mit zunehmender Digitalisierung in der Gesundheitsbranche steigen auch gezielte Angriffe krimineller Hacker. Wir sagen Ihnen, in welchem Ausmaß die IT-Sicherheit im Healthcare-Bereich bedroht ist.

Die Digitalisierung führt auch in der Gesundheitsbranche zu immer mehr sicherheitsrelevanten Schwachstellen, egal, ob es sich dabei um digital verarbeitete Patientendaten, digitale Krankmeldungen oder aufwändige Notfall-Prozesse in einem Klinikum handelt, wo viele Abläufe ineinander verwoben sind. Ebenso erhöht der Schritt zu netzwerkfähigen Geräten wie MRT-Scanner oder Insulinpumpen die Anzahl möglicher Einfallstore für Angriffe aus dem Internet.

Die Healthcare-Branche hat sich für kriminelle Hacker zu einem der attraktivsten Ziele "gemausert". Wir klären Sie auf.
Die Healthcare-Branche hat sich für kriminelle Hacker zu einem der attraktivsten Ziele "gemausert". Wir klären Sie auf.
Foto: Memory Man - shutterstock.com

Der regulatorische Druck durch EU-Richtlinien wie KRITIS zum Schutz von Gesundheitseinrichtungen, sollte eigentlich zu einer Sichtbarkeit der Risiken und der Erstellung notwendiger Maßnahmen sowie Ausbildung oder Einstellung von Fachpersonal führen. Insgesamt ist der Reifegrad, was CyberSecurity angeht, in der Branche jedoch ausbaufähig. In diesem Bericht werden aktuelle Angriffsszenarien und die Motivation von Hackern anhand von Beispielen in der Gesundheitsbranche aufgezeigt, um die Herausforderungen und notwendige Maßnahmen aufzudecken. Laut einem aktuellen Report (.pdf) lag die Gesundheitsbranche im vergangenen Jahr unter den drei beliebtesten Zielen wiederholter Cyberangriffe. Analysten konnten bislang mehr als 13 Hackergruppen ausfindig machen, die diese Branche im Fokus haben.

Finanziell motivierte Cyberkriminelle versuchen, personenbezogene Daten und geschützte Patientendaten zu Geld zu machen. Staatlich gesponserte Hackergruppen greifen Systeme an, um wertvolle Forschungsergebnisse und umfangreiche Datensätze zur Informationserfassung zu stehlen. Zudem gibt es Angreifer, die mit Ransomware und ähnlich brachialen Methoden Geld erpressen wollen und keine Rücksicht darauf nehmen, wie groß der Schaden ist, den sie dabei in den Netzwerken von Krankenhäusern und auf kritischen biomedizinischen Geräten und Systemen anrichten.

Datendiebstahl im Gesundheitswesen

Finanziell motivierte Angriffe sind eine große Gefahr für Einrichtungen des Gesundheitswesens, da sie immer häufiger stattfinden und gravierende Folgen haben können. In diese Kategorie fallen sowohl gezielte Angriffe auf Institute, die selbst wertvolle Patientendaten speichern oder auf solche zugreifen können, als auch opportunistische Angriffe auf schlecht geschützte Unternehmen und Netzwerke. Cyberspionage-Kampagnen finden nicht so häufig statt wie Attacken, stellen aber dennoch ein Risiko für Einrichtungen des Gesundheitswesens dar, insbesondere in bestimmten Branchensegmenten.

Die beobachteten Aktivitäten – hauptsächlich von Gruppen mit Verbindung zu China – deuten darauf hin, dass die Hacker es vor allem auf medizinische Forschungsergebnisse und große Datensätze abgesehen haben, mit denen vermutlich Geheimdiensttätigkeiten unterstützt werden sollen. Warum sollte vor allem China ein besonderes Interesse an Daten aus dem Gesundheitswesen haben? Chinas Variante von Industrie 4.0, “Made in China 2025” genannt, ist das strategische Ziel der Regierung, die Produktion in China zu optimieren und damit höhere Wertigkeit zu erzielen. Einer der Fokusbranchen ist Biomedizin und moderne Medizingeräte.

Healthcare-Sabotageakte

Zerstörerische Angriffe werden von Cyberkriminellen und staatlich gesponserten Hackergruppen durchgeführt, um Gesundheitsdienstleister mit der Unterbrechung des Betriebs zu erpressen. Unzureichend geschützte Infrastrukturen sind durch gezielte Aktivitäten, wie zum Beispiel durch eingeschleuste Ransomware gefährdet. Ähnlich wie den Betreibern kritischer Infrastrukturnetzwerke fällt es auch den Sicherheitsteams in Einrichtungen des Gesundheitswesens häufig schwer, den Überblick über die Bedrohungen für ihre Systeme zu behalten.

Die steigende Anzahl der biomedizinischen Geräte in Krankenhäusern und bei Gesundheitsdienstleistern wird die Situation in Zukunft voraussichtlich noch verschärfen. Besonderer Fokus sollte auf der Segmentierung von Netzwerken, dem Schutz dieser Geräte sowie auf der Überwachung der Datenströme liegen. Da immer mehr Cyberkriminelle – bei geopolitischen Spannungen auch staatlich gesponserte Hackergruppen – bereit sind, effektive und für sie lukrative Störangriffe oder Sabotageakte durchzuführen, können solche Bedrohungen in Zukunft stärkere Auswirkungen haben als bisher beobachtet.

Die Situation in Deutschland

Im Jahr 2019 gab es bereits eine Reihe von Angriffen in Deutschland, die zum Teil erheblichen Schaden angerichtet haben. Elf Krankenhäuser und vier Altenpflegeeinrichtungen des DRK-Klinikverbundes Rheinland-Pfalz waren von einem Ransomware-Angriff betroffen, der die IT-Infrastruktur für einige Tage lahmlegte. Aber auch rein menschliche Fehler führten zur Veröffentlichung von Patientendaten. So wurden in Süddeutschland rund 13.000 Ergebnisse von Brustkrebs-Screenings, Wirbelsäulenbilder und Röntgenaufnahmen im Netz gefunden. Im Rahmen einer Studie wurden über 1000 niedergelassene Ärzte und jeweils rund 250 Apotheken und Kliniken getestet - mit dem Ergebnis, dass E-Mails und Passwortkombinationen von jeder zehnten Arztpraxis und vielen Kliniken im Darkweb aufzufinden waren.

Eine klare Vorgabe seitens des Bundesgesundheitsministeriums, höchste Schutzmaßnahmen bei der Verarbeitung von Patientendaten umzusetzen, ist sicherlich zu begrüßen. Aber wie hoch ist das Bewusstsein der Mitarbeiter für diese Themen? Wie viel Zeit und Geld sollte man in Trainings investieren? Die Frage ist auch, welche Budgets Arztpraxen bis hin zu Krankenhäusern überhaupt für IT-Sicherheit haben. Der Hauptgeschäftsführer der Deutschen Krankenhausgesellschaft hält Investitionen von über einer Milliarde Euro pro Jahr für nötig. Aber während große Krankenhäuser mit mehr als 30.000 vollstationären Fällen als “kritisch” angesehen werden und staatliche Unterstützung erwarten können, sind über zwei Drittel der deutschen Krankenhäuser hiervon (bislang) nicht betroffen. Hinzu kommt: der Fachkräftemangel im IT-Sicherheitsbereich wird weitere Investitionen in die Ausbildung des Personals erfordern.

Gesundheitsdaten brauchen besseren Schutz

Egal aus welchen Motiven Angriffe erfolgen – ob finanziell motiviert, staatlich gesponsert oder brachial umgesetzt – Einrichtungen im Gesundheitswesen stehen im Fokus von Angreifern aus dem Internet. Vor dem Hintergrund, dass diese Einrichtungen über besonders sensible (Patienten-)daten oder wertvolle Forschungsergebnisse verfügen, sollte das Bewusstsein, dass umfangreiche IT-Sicherheitsmaßnahmen notwendig sind, noch weiter geschärft werden. Die Umsetzung von Richtlinien ist dabei ein erster Schritt, zusätzliche Maßnahmen sind jedoch notwendig, um mit den ausgefeilten Techniken von Cyber-Angreifern Schritt zu halten. (fm)