27 Prozent aller Hackerangriffe im ersten Halbjahr 2016 galten dem Gesundheitswesen – Informationssicherheit rückt in den Fokus.
Healthcare

Achillesferse Digitalisierung

Für einige Kliniken war es wie eine Reise in die Vergangenheit: Anfang 2016 legte ein Computervirus mehrere Krankenhäuser in Nordrhein-Westfalen fast vollständig lahm. Statt mit dem Rechner arbeitete das Klinikpersonal plötzlich wieder mit Papier und Bleistift. Dabei erwischte es ausgerechnet Einrichtungen, die als Vorreiter in Sachen Digitalisierung gelten.
Autor: Silke Kilz
Doch genau da liegt der Hund begraben: Mit der zunehmenden Vernetzung und Mobilität wächst auch die Angriffsfläche für Cyberkriminelle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Gefährdungslage durch Erpressungstrojaner (Ransomware) als hoch ein. Zwar gibt es bisher kaum offizielle Zahlen, doch in einer Umfrage haben 78 von 89 befragten Gesundheitseinrichtungen im Jahr 2016 derartige Angriffe verzeichnet.

Unterschätztes Sicherheitsrisiko

Wirklich überraschend ist das nicht. Denn um im Klinikalltag reibungslose und effiziente Abläufe zu ermöglichen, sind Themen wie Mobile Computing, Cloud-Anwendungen oder das Internet der Dinge auch aus dem Gesundheitsbereich inzwischen nicht mehr wegzudenken. So gehen die Ärzte und Pflegekräfte des Robert-Bosch-Krankenhauses in Stuttgart schon lange nicht mehr mit Papierakten zur Visite. Stattdessen tragen sie iPad mini bei sich, auf denen sie alle diagnose- und pflegerelevanten Daten sofort aus dem zentralen Krankenhausinformationssystem (KIS) iMedOne® abrufen können. Direkt am Krankenbett erklären die Ärzte ihren Patienten den Behandlungsverlauf, rufen Untersuchungsergebnisse ab oder erfassen neue Informationen, beispielsweise Änderungen in der Medikation. Mit einem ähnlichen System arbeitet auch das Universitätsklinikum Jena. Hier hat die Telekom eine mobile Variante des KIS i.s.h.med von Cerner installiert. Eine andere mobile Lösung ist am St. Joseph Krankenhaus in Berlin im Einsatz. Hier vereinbaren die Patientinnen der Geburtshilfe ihre Termine nicht mehr telefonisch, sondern online über das sichere Patientenportal der Telekom.
Was viele Kliniken allerdings unterschätzen: Wer solche digitalen Lösungen einsetzt, muss sie auch entsprechend absichern. „Meist verfügen die Krankenhäuser über den Grundschutz mit Anti-Viren-Programmen und Firewall, aber nicht sehr viel mehr“, sagt Thorsten Holz, Professor für Systemsicherheit an der Ruhr-Universität Bochum, in einem Gespräch mit der Wochenzeitschrift „Die Zeit“. Neben dem fehlenden Risikobewusstsein scheuen Krankenhäuser oft auch die Mühen und Kosten einer Sicherheitslösung.

Die Krankenhäuser, die Anfang 2016 Opfer des Ransomware-Angriffs wurden, arbeiten weitgehend digital. Mithilfe moderner und innovativer IT-Lösungen optimieren sie die Klinikprozesse und bieten gleichzeitig ihren Patienten eine bestmögliche Versorgung. Doch ausgerechnet diese weitgehende Digitalisierung machte die Einrichtungen zum Angriffsziel: Cyberkriminelle hatten Schadsoftware über den E-Mail-Server eingeschleust, die nach und nach die komplette IT der betroffenen Kliniken lahmlegte. Mit fatalen Folgen: Innerhalb weniger Stunden waren die hoch digitalisierten Einrichtungen nahezu handlungsunfähig.
Nach dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) müssen Betreiber kritischer Anlagen künftig ein Mindestniveau an IT-Sicherheit einhalten. Der erste Teil der Kritis-Verordnung zur Umsetzung des IT-Sicherheitsgesetzes ist am 3. Mai 2016 in Kraft getreten. Er richtet sich an die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung. In 2017 wird nun auch der zweite Teil der Verordnung erwartet. Dieser betrifft die Sektoren Transport und Verkehr, das Finanz- und Versicherungswesen sowie den Gesundheitssketor und stellt damit auch an Krankenhäuser erhöhte Sicherheitsanforderungen. Unter anderem werden Kliniken dann verpflichtet sein, ihre IT nach dem Stand der Technik angemessen abzusichern und diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen. Erhebliche IT-Störungen sind künftig umgehend an das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu melden.

Mehr als Firewall und Virenschutz

Dabei muss ein wirksamer Schutz gegen Cyberangriffe weder komplex noch teuer sein. Das zeigt das Beispiel des Robert-Bosch-Krankenhauses. Hier haben die IT-Verantwortlichen gemeinsam mit den Experten von T-Systems ein Sicherheitsinformations- und Ereignis-Management (SIEM) des Telekom-Partners AlienVault installiert. „Die SIEM-Lösung dient dazu, mögliche Gefahren frühzeitig zu erkennen – und zwar bevor das Kind in den Brunnen gefallen ist“, erklärt Sascha Müller, stellvertretender IT-Leiter des Stiftungskrankenhauses. Dazu sammelt das System an verschiedenen Stellen Millionen von sicherheitsrelevanten Log- und Eventdaten, setzt diese miteinander in Beziehung und erkennt daraus in Echtzeit bestimmte Trends und Muster. Sobald auffällige Abweichungen vom Normalzustand auftreten, löst das System einen Alarm aus. Auf diese Weise haben die IT-Experten die Chance, bereits zu einem sehr frühen Zeitpunkt Gegenmaßnahmen zu ergreifen. Müller verdeutlicht die Funktionsweise anhand eines Beispiels: „Wenn im Active Directory, dem Verzeichnisdienst von Microsoft Windows Server, ein neuer Admin-User angelegt wird und gleichzeitig der Netzwerkverkehr zunimmt, könnte das ein Indiz für einen zielgerichteten Angriff sein.“

Bewährungsprobe bestanden

ALTERNATIVTEXT einsetzen (!)
Ein anderer Fall aus der jüngeren Vergangenheit des Krankenhauses zeigt, dass sich die SIEM-Lösung bereits bewährt hat. Über eine Website hatten ein oder mehrere Angreifer versucht, auf das IT-System des Robert-Bosch-Krankenhauses zuzugreifen. Diese Website war noch auf keiner Blacklist registriert und wies auch keine gesperrten Protokolle auf, sodass sie von der Firewall des Klinikums nicht als kritisch beurteilt wurde. Das SIEM-System stellte fest, dass die besagte Seite erst Stunden zuvor registriert worden war, es sich also möglicherweise um einen Botnetz-Betreiber handelte. Ein Abgleich mit der Open Threat Exchange Community, einer offenen Datenbank digitaler Bedrohungen, zeigte, dass es sich nach Auswertung und Vergleich dieser „indicators of compromise“ tatsächlich um einen Angriff handelte.

Sicherheitspaket aus der Box

„Mit der Lösung von T-Systems und AlienVault haben wir quasi ein vorkonfiguriertes Sicherheitspaket aus der Box gebucht“, sagt Müller. Sensoren und SIEM-Lösung wurden im Rechenzentrum des Robert-Bosch-Krankenhauses installiert und konfiguriert. T-Systems-Cybersicherheitsexperten überwachen von einem Security Operations Center aus rund um die Uhr alle Systeme, bewerten die Signale bezüglich ihrer Kritikalität und initiieren – wenn nötig – Gegenmaßnahmen. „All das könnten wir mit unserer IT-Abteilung hier vor Ort gar nicht leisten“, so Müller. Ein weiterer Vorteil: Regeln und Aktualisierungen müssen vom Krankenhaus nicht selbst erarbeitet werden, sondern gelangen aus der Kooperation von Telekom mit der Open Threat Exchange Community auf die Plattform. „So steht das Wissen um aktuelle Sicherheitsbedrohungen rasch auch anderen Unternehmen zur Verfügung“, sagt Müller.