Krankenhäuser mehr denn je im Fokus der Cyberkriminellen

Seit Beginn der COVID-19-Krise sind Krankenhäuser in besonderem Maße Cyberbedrohungen  ausgesetzt. Cyberangriffe auf Krankenhäuser sind laut einer Studie eines europäischen Anbieters von Antivirenlösungen um 475 % gestiegen, also fast um das Fünffache des üblichen Ausmaßes. Interpol, ehemalige Staatsoberhäupter und Führungskräfte aus der Wirtschaft haben darauf mit der Befürwortung starker Regierungsmaßnahmen zur Bekämpfung dieses Phänomens reagiert.

Viele Gesundheitseinrichtungen auf der ganzen Welt sind betroffen, sei es beispielsweise in den Vereinigten Staaten von Amerika, wo über 500.000 Patientendatensätze gestohlen wurden, oder in Europa mit Vorfällen, die in England, der Tschechischen Republik, Rumänien und Frankreich und Deutschland (mit dem jüngsten, sehr bedauernswerten Fall) gemeldet wurden. Es gibt im Wesentlichen zwei Arten von Angriffen auf Krankenhäuser, die lukrativ sind: Health-Data-Mining und Ransomware.

Ein strategischer Sektor, der für den Umgang mit Cyberbedrohungen schlecht gerüstet ist

Die Welt des Gesundheitswesens hinkt weit hinterher in Bezug auf die Wahrnehmung des Risikos und auf die finanziellen Ressourcen, die der Cybersicherheit gewidmet sind, obwohl dieser Sektor ein vorrangiges Ziel für Hacker ist, da in einem Krankenhaus mehrere Netzwerke mit unterschiedlichem Grad an Vertraulichkeit oder Kritikalität koexistieren und es manchmal an einer angemessenen Segmentierung mangelt. Dies ermöglicht es Cyberkriminellen, leicht von einem Netz zum anderen zu gelangen. Die hohe Spannung in Krankenhäusern während der COVID-19-Krise ermutigte Hacker zudem, sich auf diesen Sektor zu konzentrieren und massive Kampagnen gegen Organisationen zu starten, die anfälliger geworden waren.

Diese verschiedenen Cyberangriffe zeigen die Notwendigkeit, bereits jetzt massivere Investitionen zu tätigen, um Krankenhäuser angesichts der vielen ausbeutbaren Zugangsmöglichkeiten zu schützen, die die Angriffsfläche von Gesundheitseinrichtungen bilden, denn deren Betriebskontinuität ist unerlässlich für den Schutz von Menschenleben.

 

Sicherung von Projekten im Zusammenhang mit der Entwicklung von E-Health

Mit der laufenden digitalen Transformation im Gesundheitswesen und der Notwendigkeit, Krankenhäuser miteinander zu vernetzen, wird der Ressourcenmangel im Bereich Cybersicherheit noch verschärft.

Wir stellen auch eine Veränderung in der Beziehung zwischen Patienten und Gesundheitspersonal fest: Mit dem Aufkommen von Instrumenten wie Telemedizin, Terminbuchungsplattformen und Chatbots. Diese neuen Technologien beruhen auf dem technischen Fortschritt bei Cloud-Plattformen. Aber diese neuen medizinischen Anwendungen fließen an verschiedenen Stellen in die Informationssysteme ein, wodurch der Umfang des zu schützenden Bereiches ausgedehnt wird. Diese Entwicklung geht auch Hand in Hand mit dem zweiten technischen Durchbruch bei vernetzten medizinischen Geräten. Ob Blutdruckmessgeräte, Defibrillatoren oder Insulinpumpen, die Vernetzung dieser Geräte ist eine bedeutende Entwicklung für die Welt der Medizin, kann aber gleichzeitig eine Schwäche angesichts von Cyberattacken darstellen. Ein Cyberangreifer, der die Kontrolle über einen Operationsroboter übernimmt, reicht als Beispiel aus. Vernetzte Objekte werden auch zunehmend eingesetzt und in das Krankenhausinformationssystem integriert, um die Verwaltung digitaler medizinischer Akten zu erleichtern.

Wir haben es also mit einer Vielzahl heterogener Geräte zu tun, die die Verwaltung der IT-Infrastruktur und ihrer Cybersicherheit stark verkomplizieren. Zudem ist die Barriere zwischen dem administrativen Informationssystem und den Betriebsumgebungen sehr gering, in denen sich die angeschlossenen medizinischen Geräte befinden. Die Durchlässigkeit der verschiedenen Netzwerke wird zum neuen Schwachpunkt in der Infrastruktur der Krankenhäuser.

Wenn man dazu noch die immer größere Offenheit der Gesundheitsinformationssysteme gegenüber externen Organisationen oder medizinischen Einrichtungen Dritter hinzufügt, wird die Bedrohung, die auf dem Gebiet lastet, systemisch.

 

Verstärkung der Betriebssicherheit von Krankenhäusern

Da die Informationssysteme der Krankenhäuser weitgehend miteinander verbunden und automatisiert sind, müssen wir die Perspektive der Cybersicherheit in den operativen Netzwerken (OT) berücksichtigen, um ihre Schwachstellen zu verstehen. Dies gilt insbesondere auch für alle Aspekte des technischen Gebäudemanagements und des zentralisierten technischen Managements, das zum Beispiel dazu dient, eine ideale Temperatur im Operationssaal oder eine optimale Kühlung für große medizinische Geräte zu gewährleisten. Das gesamte Krankenhaus wird intelligent und vernetzt. Dies birgt ebenfalls Cyberrisiken.

Lassen Sie uns zum Beispiel die Fragen im Zusammenhang mit Energie oder Flüssigkeiten stellen, die sensible Krankenhausumgebungen versorgen. Ein Cyberangriff, der das Luftaufbereitungssystem im Operationssaal oder die Sauerstoffversorgung auf einer Intensivstation manipuliert, wäre ein kritisches Gesundheitsrisiko. Das erfolgreiche Blockieren einer Aktivität, bei der Menschenleben auf dem Spiel stehen, ist eine besonders wirkungsvolle Erpressungstaktik (Ransomware).

Für ein gutes technisches Gebäudemanagement im Krankenhaus besteht die erste Maßnahme darin, die Risiken zu kartieren, um sensible oder wichtige Geräte zu identifizieren, die vorrangig abgesichert werden müssen. Heute ist man sich der Wichtigkeit dieser Analyse bewusster, doch wird sie oft nur einmal durchgeführt. Um Cyberrisiken zu vermeiden, ist es jedoch essenziell, sie jedes Mal zu aktualisieren, wenn neue Geräte hinzugefügt werden, die einen Zugang zur Netzinfrastruktur benötigen. Dies bedeutet, dass die von den Geräten im Netzwerk erzeugten Protokolle verfolgt und die Einhaltung oder Abweichung von Sicherheitsrichtlinien zum Schutz vor Bedrohungen im Laufe der Zeit überprüft werden müssen.

Im zweiten Schritt sollte man technische Lösungen implementieren, die das Niveau der Cybersicherheit des Informationssystems verstärken, beginnend mit den sensibelsten Anlagen: Arbeitsstationen und die Kontrolle des operativen Netzwerks (OT) durch Netzwerksegmentierung der verschiedenen Subsysteme, die Informationen austauschen, um die kritischsten Umgebungen zu isolieren.

Schutz von Gesundheitsdaten gegen Lecks

Gesundheitsdaten sind hochsensible, kritische Daten für den Betrieb von Krankenhäusern und daher bevorzugte Ziele für Hacker, da sie lukrativer als einfache persönliche Daten sind. Wir dürfen auch den privaten Charakter dieser Daten und das Vertrauen, das der Patient in sein Krankenhaus setzt, nicht vergessen. Über Datendiebstahl und Datenlecks hinaus berühren Cyberrisiken auch die Wahrung der Integrität von Gesundheitsdaten während der Verarbeitungs-, Speicher- und Austauschphase.

Um diese Risiken zu verringern, müssen mehrere gute Praktiken eingeführt werden. Erstens das Bewusstsein und die Fähigkeiten nicht nur des Gesundheitspersonals, sondern auch der Patienten zu schärfen. In der Tat sind sich die Patienten nicht immer der Folgen bewusst, die ein schlechter Umgang mit ihren eigenen Daten haben kann. Dann ist es unerlässlich, die verschiedenen bestehenden Normen und Vorschriften einzuhalten, darunter die DSGVO und die Richtlinie über die Netz- und Informationssicherheit (NIS) in Europa oder lokale Gesetze bezüglich des Schutzes sensibler Informationssysteme und von gehosteten Patientendaten. Sie müssen auch sicherstellen, dass Gesundheitsdaten korrekt verarbeitet werden, sei es innerhalb von Geschäftsanwendungen oder in vernetzten Umgebungen, und zwar durch sichere Kommunikation und Datenanonymisierung, wo dies möglich ist. Schließlich wird zwar der Großteil des Austausches über sichere Protokolle abgewickelt, aber es ist auch wichtig, sicher per E-Mail kommunizieren zu können. Wenn ein medizinischer Notfall eintritt, können Dateien manchmal auf diesem Weg verschickt werden. Es wird daher empfohlen, eine E-Mail-Verschlüsselungslösung zu verwenden, um die Vertraulichkeit dieses Austausches und der gemeinsam genutzten Gesundheitsdaten zu gewährleisten.

 

Cyberresilienz etablieren

Obwohl sie stark exponiert sind, haben die Krankenhausinfrastrukturen während der COVID-19-Krise dennoch ihre Widerstandsfähigkeit unter Beweis gestellt. Angesichts der sich ständig weiterentwickelnden Bedrohungen könnte sich die Lage verschlechtern. Das Gesundheitspersonal muss besser gegen Cyberrisiken gewappnet sein. Dieses gesteigerte Bewusstsein muss dazu führen, dass die Cybersicherheit in den Mittelpunkt der Umgestaltung dieses Sektors gestellt und die Zuweisung angemessener Budgets für einen wirksamen Schutz vor Cyberbedrohungen ermöglicht wird.

Realisiert werden kann dies insbesondere durch die Erweiterung des Fachwissens, um offensichtliche Signale oder Vorläufer eines Cyberangriffs identifizieren zu können, durch die Festlegung der technischen und organisatorischen Maßnahmen, die darauf abzielen, die Bedrohung einzudämmen und dann auszumerzen, und schließlich durch die Analyse jedes Ereignisses oder Vorfalls, um die Sicherheit weiter zu verbessern. Dazu gehört auch die Erhöhung der Widerstandsfähigkeit des Krankenhausinformationssystems. Es geht nicht darum zu wissen, ob man gerade angegriffen wird, sondern Angriffe zu antizipieren.

Uwe Gries, Country Manager DACH bei Stormshield

Diese Cyberresilienz besteht zunächst darin, die für den Betrieb des Krankenhauses lebenswichtige Ausrüstung so gut wie möglich zu schützen. Das Ziel ist, während eines Cyberangriffs ein Mindestmaß an Operativität zu gewährleisten und so schnell wie möglich zur Normalität zurückzukehren. Zusätzlich zu den Plänen zur Wahrung der Geschäftskontinuität und zur Wiederaufnahme des Betriebes hängt die Cyberresilienz von Gesundheitseinrichtungen von der Umsetzung einer Kontrollinstanz ab, die darauf ausgerichtet ist, das Sicherheitsniveau des Krankenhausinformationssystems kontinuierlich durch die Einbeziehung von IT-Systemen (Verwaltung, Patientenakten), OT-Gegebenheiten (medizinische und technische Geräte) und IoT-Aspekten (vernetzte Objekte) zu erhöhen. Dazu gehört die Bildung eines funktionsübergreifenden Teams, das vollständig vom Managementteam unterstützt wird und dessen Aufgabe darin besteht, den Erfahrungsaustausch zwischen den Abteilungen IT, Cybersicherheit, Technik und Logistik sowie den Leitern der Krankenhausabteilungen zu gewährleisten.

#Stormshield