Cyberangriff auf die Hirslanden-Gruppe: Die Spitäler sind wegen der Pandemie besonders anfällig für Erpressungen
Die Pandemie macht Gesundheitseinrichtungen zu einem lohnenden Ziel von Cyberkriminellen. Entsprechend bietet der Bund Unterstützung an – doch nicht alle nehmen sie an. Die Hirslanden-Gruppe wurde Opfer eines Angriffs.
Die Angreifer sassen im Zentrum der IT-Infrastruktur: Die Hirslanden-Gruppe wurde im Sommer Opfer von Cyberkriminellen, kam jedoch mit einem verhältnismässig geringen Schaden davon.
Um ein Haar wäre jenes Szenario eingetreten, vor dem die Experten seit Monaten warnen: dass ein Cyberangriff ein Schweizer Spital aus dem Normalbetrieb reisst. Es ist jenes Szenario, das angesichts der überfüllten Intensivstationen und des entkräfteten Personals derzeit besonders beunruhigt: Die Computersysteme fallen aus, der Betrieb muss eingeschränkt werden, und das Personal kann nur noch mit Stift und Papier arbeiten.
Ganz so weit kam es nicht bei der Hirslanden-Gruppe, als sie am 21. Juli Opfer eines Cyberangriffs wurde. Die Angreifer hätten nur einen Teil der zentralen Dateiablage verschlüsselt, schreibt die private Spitalkette Hirslanden auf Anfrage. Die Patientenversorgung sei zu keinem Zeitpunkt gefährdet gewesen.
Es handelt sich um den ersten erfolgreichen Cyberangriff auf ein Spital in der Schweiz seit Beginn der Corona-Pandemie. Öffentlich bekannt war er bisher nicht. Erst auf Anfrage bestätigt Hirslanden die Recherchen der NZZ. Dass es nicht schlimmer kam für die Spitalkette, war vermutlich nur Zufall oder Glück. Denn die Angreifer hatten es bereits bis ins Zentrum des Netzwerkes geschafft.
Ist es einem Angreifer einmal gelungen, in ein IT-Netzwerk einzudringen, breitet er sich üblicherweise aus, um möglichst viele Systeme in einem Netzwerk zu treffen. Oft kopieren die Cyberkriminellen auch die Daten aus dem Firmennetz heraus, bevor sie die sogenannte Ransomware starten, welche die Daten verschlüsselt und sie nur gegen Lösegeld wieder freigibt. Mit diesen gestohlenen Daten lässt sich das Opfer erpressen, wie das etwa im Mai bei Stadler Rail versucht wurde.
Bei der Hirslanden-Gruppe gelangten die Angreifer über das Makro eines E-Mail-Anhangs, das die Schadsoftware «Trickbot» enthielt, in das IT-Netzwerk der privaten Spitalkette. Sie erlangten Zugriff auf diejenigen zentralen Server, auf denen Dokumente der gesamten Spitalkette gespeichert sind. Warum die Cyberkriminellen schliesslich nur einen Teil der Daten verschlüsselten oder verschlüsseln konnten, ist unklar.
Daten seien keine gestohlen worden, betont die Spitalkette. Das habe man abgeklärt. Von der Verschlüsselung betroffen waren zudem einzig administrative Dokumente, keine medizinischen Patientendaten. Eine Lösegeldforderung erhielt Hirslanden nach eigenen Angaben keine. Dank Sicherungskopien konnten Spezialisten die Dateien wiederherstellen. Der ganze Spuk dauerte rund sechs Tage.
Spitäler sind wegen Pandemie anfälliger für Erpressung
Der Angriff hätte sich mit den richtigen Vorkehrungen verhindern lassen können. Denn überraschend kam er nicht. Bereits seit Beginn der Corona-Pandemie warnen Behörden und Sicherheitsfirmen davor, dass Cyberkriminelle mit Erpressersoftware gezielt Spitäler ins Visier nehmen könnten. Denn arbeitet ein Spital wie in der aktuellen Situation bereits am Anschlag seiner Kapazität, ist die Bereitschaft möglicherweise grösser, den Kriminellen das verlangte Lösegeld zu bezahlen – um so rasch wieder auf eine funktionierende Computerinfrastruktur zurückgreifen zu können.
Zuletzt sorgte im September ein Ransomware-Angriff auf die Universitätsklinik Düsseldorf für Aufsehen. Der Betrieb war für mehrere Tage massiv eingeschränkt. Zu Beginn war sogar von einem möglichen Todesopfer die Rede, da eine Frau auf dem Weg in ein anderes Spital verstarb. Inzwischen ist jedoch klar, dass selbst eine raschere Behandlung die Frau nicht gerettet hätte. Die deutschen Behörden registrierten bis Ende Oktober laut der «Frankfurter Allgemeinen Sonntagszeitung» 43 erfolgreiche Angriffe auf Gesundheitsdienstleister, doppelt so viele wie im Jahr zuvor. Auch in der Schweiz melden einige Spitäler vermehrte und gezielte Phishing-Angriffe.
Doch das Problem ist nicht neu. Corona hat die Situation einzig verschärft. Bereits vor dem Ausbruch der Pandemie war der Gesundheitssektor ein beliebtes Ziel von Cyberkriminellen – etwa als vor einem Jahr mehrere Schweizer Spitäler mit Angriffen zu kämpfen hatten. Die Cybersicherheitsexperten des Bundes haben bereits 2019 begonnen, das Gesundheitswesen stärker für die drohenden Gefahren zu sensibilisieren und dazu Treffen zu organisieren. Denn die Spitäler und andere medizinische Einrichtungen galten lange als nicht ausreichend geschützt vor Cyberangriffen – und sind auch heute noch anfällig.
Der Bund bietet über die Melde- und Analysestelle Informationssicherung (Melani) bereits seit Jahren den kritischen Infrastrukturen spezifische Informationen über Gefahren sowie konkrete Vorfälle an. Diese Berichte sind nichtöffentlich und enthalten teilweise Details aus nachrichtendienstlichen Quellen. «Wir sind sehr froh über diese Informationen, die uns zur Frühwarnung dienen und zu denen wir sonst keinen Zugang hätten», sagt etwa Stefan Juon, der IT-Sicherheits-Verantwortliche des Kantonsspitals Graubünden.
Als zusätzlichen Schutz machte Melani im letzten Herbst den Spitälern neu das Angebot, ein System zur Erkennung von Schadsoftware und zur direkten Alarmierung des Bundes einzurichten. Dabei handelt es sich um eine Art Sonde, die zusätzlich zu den firmeneigenen Sicherheitsmassnahmen installiert wird und den Internetverkehr beobachtet. Diese Alarmfunktion des Bundes kommt etwa bei Energie- und Telekomfirmen bereits seit längerem zum Einsatz.
Bund entwickelt Schutzfilter für den Notfall
Mit dem Ausbruch der Pandemie Anfang dieses Jahres hat der Bund seine Anstrengungen im Gesundheitssektor weiter ausgebaut. So informierte das Nationale Zentrum für Cybersicherheit (NCSC), zu dem auch Melani gehört, zeitweise täglich über die aktuelle Lage und verschickte eine Gefährdungsanalyse aller möglichen Angriffsarten auch ausserhalb des geschlossenen Kundenkreises über den Spitalverband H+.
Das NCSC entwickelte ausserdem im Frühjahr eine weitere technische Lösung, die im Notfall als zusätzlicher Schutzfilter eines Computernetzwerks eingesetzt werden kann. Dabei läuft der Internetverkehr eines Spitals über einen speziellen DNS-Server, der Zugriffe auf Malware- oder Phishing-Seiten blockiert. Laut NCSC kommt dieses System bei gezielten und systematischen Angriffen auf Schweizer Spitäler zum Einsatz. Ende Oktober setzten sechs Institutionen aus dem Gesundheitsbereich diesen speziellen Schutzfilter ein. Diese Dienstleistung soll künftig ausgebaut werden, so dass sie auch anderen kritischen Infrastrukturen zur Verfügung steht.
Die Spitäler sind grundsätzlich selbst dafür verantwortlich, dass ihre IT-Infrastruktur genügend geschützt ist. Sie müssen ihre Schutzvorkehrungen gegenüber dem Bund auch nicht offenlegen – zumal das Gesundheitswesen in der Verantwortung der Kantone liegt. Entsprechend kann und will das NCSC auch keine abschliessende Einschätzung abgeben, wie gut die Spitäler auf Cyberangriffe vorbereitet sind.
Wer sich jedoch bei den Spezialisten des Bundes umhört, stellt rasch eine Unzufriedenheit fest. Das Thema Cybersicherheit stehe nicht bei allen genug weit oben auf der Prioritätenliste, sagt ein Kenner der Materie. Während die grösseren Spitäler und die Universitätsspitäler das Thema sehr wohl erkannt hätten, sei die Situation bei mittleren und kleineren Einrichtungen schlechter. Teilweise würden nicht einmal die Hilfsangebote des Bundes angenommen.
Dass die Situation durchzogen ist, lässt auch das NCSC in seiner Stellungnahme durchblicken: «Während bei einigen das Interesse an unseren Dienstleistungen gross ist, ist hinsichtlich des Engagements des gesamten Sektors noch Potenzial für eine stärkere Zusammenarbeit vorhanden.» Sprich: Mit Ausnahme einiger Musterschüler haben die Spitäler noch Luft nach oben.
«Das Problem ist heute anerkannt»
Dass die Schweizer Spitäler schlecht gegen Cyberangriffe geschützt seien, kann Stefan Juon vom Kantonsspital Graubünden nicht mehr hören. «Das ist ein Bild, das sich leider in der öffentlichen Wahrnehmung verfestigt hat.» Zwar habe es einen gewissen Nachholbedarf gegeben, den auch heute noch nicht alle behoben hätten. «Aber das Problem ist heute bis ins Management hinauf anerkannt», sagt Juon, der auch die Deutschschweizer Ansprechperson für Cybersicherheitsfragen bei H+ ist. Inzwischen sei man deutlich weiter als vor fünf Jahren.
Ein Problem ist der Kostendruck, unter dem die Spitäler heute stehen. Zwar hängt Cybersicherheit nicht alleine von den finanziellen Mitteln ab, aber sie ist ein Faktor. Die Spitäler hätten einen Zielkonflikt, schreibt das NCSC, nämlich «möglichst viel Geld in die Gesundheit zu investieren, um Patientinnen und Patienten zu versorgen, dabei aber die IT-Sicherheit nicht zu vernachlässigen».
Ein konkretes Beispiel: Beim Kauf eines neuen MRI-Geräts könne man genau ausweisen, wie sich das auf den Ertrag auswirke, sagt der IT-Sicherheits-Verantwortliche eines Spitals. Bei Investitionen in die Cybersicherheit sei der Return of Invest viel schwieriger auszuweisen, erklärt er. Deswegen hätten es gewisse Sicherheitsmassnahmen möglicherweise schwer.
Beim Bund ist man zur Einsicht gelangt, dass die Spitäler von sich aus zu wenig unternehmen. Dazu beigetragen hat auch der erfolgreiche Angriff auf die Hirslanden-Gruppe. Die Verantwortlichen des Bundes hätten bei der Spitalleitung eher wenig Sensibilität für das Thema gespürt, ist zu hören. Deshalb sollen jetzt die Kantone mit ins Boot geholten werden.
Im September hat sich das NCSC deswegen an die Gesundheitsdirektorenkonferenz (GDK) gewandt und um Unterstützung bei der Sensibilisierung der Spitäler gebeten. Innerhalb der GDK haben bereits erste Diskussionen stattgefunden, wie die Medienstelle schreibt. Dabei geht es um die Frage, wie minimale Sicherheitsstandards für Listenspitäler festgelegt werden könnten – etwa über die GDK-Empfehlungen zur kantonalen Spitalplanung.
Die Hirslanden-Gruppe ist zwar seit drei Jahren Teil des geschlossenen Kundenkreises von Melani, doch die zusätzlichen Schutzmassnahmen des Bundes nahm sie bisher nicht in Anspruch. Inzwischen läuft eine Evaluation – wegen des erfolgreichen Angriffs.
