18.09.2020
Da medizinische Einrichtungen aufgrund ihrer offenen Netzwerkarchitekturen und schlicht wegen der großen Anzahl der Nutzer für Sicherheitsbedrohungen besonders anfällig sind, müssen der Netzwerksicherheit und der Datenübertragung besondere Aufmerksamkeit gewidmet werden. Der Zugriff auf Informationen über private Mobilgeräte muss verifizierbar bleiben und durch geeignete Verschlüsselungstechnologien wie VPN gesichert werden. Darüber hinaus müssen die gesetzlichen Vorschriften z. B. wie DSGVO und KRITIS und Branchenstandards wie der B3S lückenlos befolgt werden können.
Komplettausfall der IT am Universitätsklinikum in Düsseldorf
Dass IT-Sicherheit im Krankenhaus und im Gesundheitswesen allgemein von essenzieller Bedeutung ist, zeigen nicht zuletzt die jüngsten Vorfälle um den Ausfall der kompletten IT am Universitätsklinikum in Düsseldorf. Vor wenigen Tagen war bekannt geworden, dass 30 Server des Uniklinikums verschlüsselt wurden und ein Erpresserschreiben übermittelt worden war. Hintergrund des Ausfalls der IT war also Ransomware, die häufig über Spam-E-Mails, infizierte entfernbare Laufwerke, gehackte oder kompromittierte Websites oder auch versteckt in legitimem Software-Bundle in die Endgeräte eingeschleust wird.
Pikant am vorliegenden Fall: Offenbar wurde das Erpresserschreiben an die Heinrich-Heine-Universität in Düsseldorf zugestellt, so dass davon ausgegangen wird, dass das Universitätsklinikum gar nicht das gemeinte Ziel des Angriffs war. Angeblich hätten die Erpresser ihre Erpressung zurückgenommen, nachdem die Düsseldorfer Polizei Kontakt zu ihnen aufgenommen und mitgeteilt hatte, dass das Wohl der Patienten erheblich gefährdet sei. Denn nachdem das IT-System des Universitätsklinikums der nordrhein-westfälischen Landeshauptstadt ausgefallen war, konnte das Haus nicht mehr von Rettungs- und Krankenwagen angefahren werden.
Dass das Krankenhaus überhaupt angegriffen werden konnte, lag an einer mutmaßlichen Sicherheitslücke in einer Anwendung. Bis diese durch ein Patch geschlossen werden konnte, hatten die Angreifer bereits ausreichend Zeit, in die Krankenhaussysteme einzudringen und den Datenzugriff zu verschlüsseln.
Anwendungsschutz im Gesundheitswesen
IT-Sicherheitslücken in Anwendungen aus dem Gesundheitssektor können verheerende Folgen haben. Je mehr Webanwendungen zum Einsatz kommen, desto höher ist die potenzielle Bedrohung jener, die über das Web angesteuert werden und so von außen angreifbar sind.
Ransomware infiziert Gesundheitsinfrastrukturen immer wieder, denn im 24/7-Krankenhausbetrieb ist es sehr schwer, Softwareinfrastruktur auf dem neuesten Stand zu halten oder überhaupt einen möglichen Ausfallzeit-Slot zu erhalten. Rechner, auf denen Legacy-Software ausgeführt wird, die nur unter speziellen Betriebssystemen oder Treiberversionen läuft, sind zudem ein leichtes Angriffsziel. Hinzu kommen die häufig veralteten Geräte, die kaum aktualisiert werden können und dadurch wie ein Reservoir für Malware, die im Netzwerk verteilt wird, fungieren.
Je mehr Bereiche innerhalb eines Krankenhauses durch IT-Systeme optimiert werden, desto mehr werden sie potenziell zu einem Angriffsziel. Weltweit sind Krankenhäuser in den letzten Jahren gezielt angegriffen worden, denn Hacker machen vor dem Gesundheitssektor keinen Halt. Doch nur zukunftsfähige, proaktive Cybersecurity-Lösungen auf dem neuesten Stand der Technik können funktionierende Gesundheitsdienstleistungen und sicheres, vernetztes Arbeiten im Krankenhausbetrieb gewährleisten. Wie dies gelingen kann, haben wir in IT-Sicherheit im Gesundheitswesen zusammengefasst.
Die Erpresser hatten nach Kontaktaufnahme durch die Polizei in Düsseldorf einen digitalen Schlüssel zur Entschlüsselung der Daten übermittelt. Doch ermittelt nun die zuständige Staatsanwaltschaft wegen fahrlässiger Tötung, da eine Notaufnahme nicht erfolgen konnte und eine Patientin verstarb.