Die Virenlast steigt: Wie Ransomware-Angriffe die Cyber-Sicherheit in Kliniken bedrohen

Magazinartikel Die Virenlast steigt

Sie heißen Ryuk, IEncrypt oder Sodinokibi – und in den letzten Monaten haben sie die Cyber-Sicherheit auf eine harte Probe gestellt. Ransomwares verursachen in Deutschland jedes Jahr großen wirtschaftlichen Schaden. Mehr noch: Die Angriffe mit den Erpresserprogrammen nehmen immer öfter Gesundheitseinrichtungen ins Visier.

Im Juli 2019 wurde die DRK Trägergesellschaft Süd-West über Nacht Opfer eines Ransomware-Angriffs. Dabei schleusten Täter Schadsoftware ein, die Zugänge zu IT-Systemen blockierte und ganze Server verschlüsselte. Die Trägergesellschaft ist zugleich der zentrale IT-Dienstleister für ihre Gesundheitseinrichtungen. Über 20 von ihnen, darunter mehrere Krankenhäuser in Rheinland-Pfalz und im Saarland, mussten ihren IT-Betrieb einstellen und Notfallpläne aktivieren. Im März 2020 traf es die Universitätsklinik im tschechischen Brünn. Besonders heikel: Die Klinik beherbergt das größte Corona-Testlabor des Lands. Das gesamte Computernetzwerk musste offline gehen, Operationen wurden verschoben und Patienten in andere Kliniken verlegt.

Was kommunale oder private Krankenhäuser so attraktiv für Cyberkriminelle macht? Im Vergleich zu Unternehmen sind sie weniger geschützt und in Sachen Cyber-Sicherheit nicht immer auf dem neusten Stand der Technik. Wie groß das Problem tatsächlich ist, lässt sich schwer beziffern – auch weil sich Ermittlungsbehörden in den meisten Fällen aus taktischen Gründen zurückhalten. Eines ist hingegen klar: Die digitale Erpressung ist kein neues Phänomen. Der erste Ransomware-Fall trat 1989 auf. Allerdings werden die Attacken immer ausgefeilter.

„Der beste Schutz vor Lösegeldforderungen durch Cyberkriminelle sind konsequent umgesetzte IT-Sicherheitsmaßnahmen.“
Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI)
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Ransomware-Empfehlung-Kommunen_020320.html

Lösegeldforderungen nicht nachkommen

„Ein neuer Trend besteht darin, das Erpressungspotenzial gezielt bis auf die nachhaltige Vernichtung nahezu aller Datenbestände eines Unternehmens oder einer Institution inklusive Back-ups auszudehnen“, warnt das German Competence Centre against Cyber Crime, ein Zusammenschluss mehrerer Unternehmen. In den meisten Fällen fordern die Täter ein Lösegeld, das die Geschädigten per Kryptowährungen zahlen sollen. Sie stellen dann einen Freischaltcode in Aussicht, mit dem sich das System entsperren bzw. entschlüsseln lässt.

Angesichts des hohen Schadenspotenzials gehen laut dem aktuellen Bundeslagebild für Cybercrime des BKA viele Geschädigte auf die Lösegeldforderungen ein. Ein Krankenhaus aus dem US-Bundesstaat Indiana zahlte Anfang 2018 sogar 60.000 Euro. Und möglicherweise sind Krankenhausbetreiber in der gegenwärtigen Corona-Krise eher bereit, die verlangte Summe zu überweisen, um rasch den Betrieb weiterführen zu können. Die Sicherheitsbehörden raten jedoch strikt davon ab. Denn oft leisten Geschädigte ihre Zahlungen umsonst. Die Daten bleiben weiterhin verschlüsselt oder es folgen weitere Forderungen.

Sicherheitsexperten warnen umso mehr davor, dass die Mehrzahl der Krankenhäuser für Cyberangriffe nicht genügend gewappnet sei. Die zunehmende Vernetzung moderner Geräte verschärft die Situation. Um die Cyber-Sicherheit branchenübergreifend zu erhöhen, hat der Deutsche Bundestag 2015 das IT-Sicherheitsgesetz verabschiedet. Es nimmt Betreiber kritischer Infrastrukturen (KRITIS) wie große Krankenhäuser stärker in die Pflicht, einen Mindeststandard bei der Cyber-Sicherheit einzuhalten und Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Diese Pflichten galten jedoch nur für einen begrenzten Kreis von Betreibern. Etwas weniger als zehn Prozent der Krankenhäuser in Deutschland sind beim BSI als kritische Infrastrukturen registriert. So greifen bei Einrichtungen wie der Charité Berlin beispielsweise höhere IT-Standards für die Infrastruktur als bei einem Kreiskrankenhaus. Der seit 2019 anerkannte branchenspezifische Sicherheitsstandard (B3S) steht nun auch kleineren Kliniken, die nicht unter KRITIS reguliert sind, zur Verfügung und dient als Maßstab für die Umsetzung angemessener IT-Sicherheitsmaßnahmen. Des Weiteren veröffentlicht das BSI regelmäßige Handlungsempfehlungen.

 

Bund unterstützt Krankenhausbetreiber beim Thema Cyber-Sicherheit

Um die IT-Infrastruktur mit Intrusion-Detection-Systemen, sicheren Authentifizierungsverfahren und neuesten Verschlüsselungssystemen auf den höchsten Sicherheitsstand zu bringen, müssen die Kliniken allerdings große Summen in die Hand nehmen – oft sind Hunderttausende bis Millionen Euro nötig. Nach dem Krankenhausstrukturfonds für KRITIS-Häuser kommt deshalb jetzt weitere Unterstützung.

3 Milliarden Euro will die Bundesregierung im Rahmen des geplanten Krankenhauszukunftsgesetzes auch kleineren Kliniken zufließen lassen. Hinzu sollen weitere 1,3 Milliarden Euro über die Länder und Krankenhausträger mit einem Eigenfinanzierungsanteil kommen. Die Förderung wird aber nicht per Gießkannenprinzip an alle Häuser verteilt: Über den sogenannten Krankenhauszukunftsfonds sollen konkrete und nachweisbare Projekte zum Aufbau, zur Verbesserung und Erneuerung der digitalen Infrastruktur und der IT-Sicherheit von Kliniken auf den Weg gebracht werden. Unter anderem müssen einheitliche digitale Standards für Krankenhäuser entstehen. Demnach soll künftig gewährleistet sein, dass Daten in die digitale Patientenakte übertragbar sind. Vor ersten Modernisierungsschritten braucht es eine kritische Bestandsaufnahme. So empfiehlt sich am Anfang eine sorgfältige Analyse des Status quo der Cyber-Sicherheit – mithilfe eines erfahrenen externen Dienstleisters. Eine Investition, die sich in jedem Fall mehr lohnt, als ein Lösegeld an Hacker zu überweisen.

„Betroffene (...) sollten niemals auf Erpressungsversuche von Cyberkriminellen eingehen. Denn damit unterstützen sie das ‚Geschäftsmodell‘ der Erpresser.“
Holger Münch, Präsident des Bundeskriminalamts (BKA)
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Ransomware-Empfehlung-Kommunen_020320.html
Magazin Remote Arbeiten
Magazin Remote Arbeiten
Digital Arbeiten

Sicher mobil arbeiten in Behörden

Digitale Transformation

Mehr Power für die ENISA

Der jährliche European Cyber Security Month (ECSM) sensibilisiert für Gefahr von Cyberangriffen. Welche Rolle spielt dabei die ENISA?

Cyberkriminalität

Cyberkriminalität: Die Bedrohungslage ist ernst

Die Digitalisierung macht unser Leben bequemer – doch mit der zunehmenden Vernetzung steigt auch die Gefahr von Hackerangriffen und Trojanern. Die Beeinflussung der US-Wahl und Sicherheitslücken wie Spectre und Meltdown waren erst der Anfang – was wir jetzt ändern müssen.