Doch genau da liegt der Hund begraben: Mit der zunehmenden Vernetzung und Mobilität wächst auch die Angriffsfläche für Cyberkriminelle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Gefährdungslage durch Erpressungstrojaner (Ransomware) als hoch ein. Zwar gibt es bisher kaum offizielle Zahlen, doch in einer Umfrage haben 78 von 89 befragten Gesundheitseinrichtungen im Jahr 2016 derartige Angriffe verzeichnet.

Wirklich überraschend ist das nicht. Denn um im Klinikalltag reibungslose und effiziente Abläufe zu ermöglichen, sind Themen wie Mobile Computing, Cloud-Anwendungen oder das Internet der Dinge auch aus dem Gesundheitsbereich inzwischen nicht mehr wegzudenken. So gehen die Ärzte und Pflegekräfte des Robert-Bosch-Krankenhauses in Stuttgart schon lange nicht mehr mit Papierakten zur Visite. Stattdessen tragen sie iPad mini bei sich, auf denen sie alle diagnose- und pflegerelevanten Daten sofort aus dem zentralen Krankenhausinformationssystem (KIS) iMedOne® abrufen können. Direkt am Krankenbett erklären die Ärzte ihren Patienten den Behandlungsverlauf, rufen Untersuchungsergebnisse ab oder erfassen neue Informationen, beispielsweise Änderungen in der Medikation. Mit einem ähnlichen System arbeitet auch das Universitätsklinikum Jena. Hier hat die Telekom eine mobile Variante des KIS i.s.h.med von Cerner installiert. Eine andere mobile Lösung ist am St. Joseph Krankenhaus in Berlin im Einsatz. Hier vereinbaren die Patientinnen der Geburtshilfe ihre Termine nicht mehr telefonisch, sondern online über das sichere Patientenportal der Telekom.

Was viele Kliniken allerdings unterschätzen: Wer solche digitalen Lösungen einsetzt, muss sie auch entsprechend absichern. „Meist verfügen die Krankenhäuser über den Grundschutz mit Anti-Viren-Programmen und Firewall, aber nicht sehr viel mehr“, sagt Thorsten Holz, Professor für Systemsicherheit an der Ruhr-Universität Bochum, in einem Gespräch mit der Wochenzeitschrift „Die Zeit“. Neben dem fehlenden Risikobewusstsein scheuen Krankenhäuser oft auch die Mühen und Kosten einer Sicherheitslösung.

Dabei muss ein wirksamer Schutz gegen Cyberangriffe weder komplex noch teuer sein. Das zeigt das Beispiel des Robert-Bosch-Krankenhauses. Hier haben die IT-Verantwortlichen gemeinsam mit den Experten von T-Systems ein Sicherheitsinformations- und Ereignis-Management (SIEM) des Telekom-Partners AlienVault installiert. „Die SIEM-Lösung dient dazu, mögliche Gefahren frühzeitig zu erkennen – und zwar bevor das Kind in den Brunnen gefallen ist“, erklärt Sascha Müller, stellvertretender IT-Leiter des Stiftungskrankenhauses. Dazu sammelt das System an verschiedenen Stellen Millionen von sicherheitsrelevanten Log- und Eventdaten, setzt diese miteinander in Beziehung und erkennt daraus in Echtzeit bestimmte Trends und Muster. Sobald auffällige Abweichungen vom Normalzustand auftreten, löst das System einen Alarm aus. Auf diese Weise haben die IT-Experten die Chance, bereits zu einem sehr frühen Zeitpunkt Gegenmaßnahmen zu ergreifen. Müller verdeutlicht die Funktionsweise anhand eines Beispiels: „Wenn im Active Directory, dem Verzeichnisdienst von Microsoft Windows Server, ein neuer Admin-User angelegt wird und gleichzeitig der Netzwerkverkehr zunimmt, könnte das ein Indiz für einen zielgerichteten Angriff sein.“

Ein anderer Fall aus der jüngeren Vergangenheit des Krankenhauses zeigt, dass sich die SIEM-Lösung bereits bewährt hat. Über eine Website hatten ein oder mehrere Angreifer versucht, auf das IT-System des Robert-Bosch-Krankenhauses zuzugreifen. Diese Website war noch auf keiner Blacklist registriert und wies auch keine gesperrten Protokolle auf, sodass sie von der Firewall des Klinikums nicht als kritisch beurteilt wurde. Das SIEM-System stellte fest, dass die besagte Seite erst Stunden zuvor registriert worden war, es sich also möglicherweise um einen Botnetz-Betreiber handelte. Ein Abgleich mit der Open Threat Exchange Community, einer offenen Datenbank digitaler Bedrohungen, zeigte, dass es sich nach Auswertung und Vergleich dieser „indicators of compromise“ tatsächlich um einen Angriff handelte.

„Mit der Lösung von T-Systems und AlienVault haben wir quasi ein vorkonfiguriertes Sicherheitspaket aus der Box gebucht“, sagt Müller. Sensoren und SIEM-Lösung wurden im Rechenzentrum des Robert-Bosch-Krankenhauses installiert und konfiguriert. T-Systems-Cybersicherheitsexperten überwachen von einem Security Operations Center aus rund um die Uhr alle Systeme, bewerten die Signale bezüglich ihrer Kritikalität und initiieren – wenn nötig – Gegenmaßnahmen. „All das könnten wir mit unserer IT-Abteilung hier vor Ort gar nicht leisten“, so Müller. Ein weiterer Vorteil: Regeln und Aktualisierungen müssen vom Krankenhaus nicht selbst erarbeitet werden, sondern gelangen aus der Kooperation von Telekom mit der Open Threat Exchange Community auf die Plattform. „So steht das Wissen um aktuelle Sicherheitsbedrohungen rasch auch anderen Unternehmen zur Verfügung“, sagt Müller.