Foto: Shutterstock (Jeff Wasserman)

Für Lösegeld in Geiselhaft

In Europa findet eine stille Belagerung durch Hacker statt, die zunehmend Erpressungssoftware einsetzen, um Krankenhäuser dort zu treffen, wo es ihnen am meisten schadet: bei den Patientendaten. Zurückhaltung in dieser Angelegenheit scheint eine beliebte Antwort zu sein.

By
Piers
Ford

Angriffe durch Erpressungssoftware auf Krankenhäuser sind heute so häufig, dass sie immer wieder für Schlagzeilen sorgen. Bis vor kurzem stammten die meisten Schlagzeilen aus den USA, wo die Größenordnung des Problems im April 2016 von der Healthcare IT News/HIMSS Analytics Quick HIT Umfrage ermittelt wurde.

Mehr als die Hälfte der befragten Gesundheitseinrichtungen gab an, dass sie bereits einen Angriff durch Erpressungssoftware erfahren hatte – weitere 25% waren entweder unsicher oder hatten keine Kenntnis darüber, ob sie getroffen worden waren. Mehr als die Hälfte der Befragten war sich auch nicht klar darüber, ob sie eine Erpressung im Falle eines Angriffs bezahlen würden oder nicht. Dies legt nahe, dass der Grad an Vorbereitung in vielen Fällen mehr als ungenügend sein könnte.

Im Februar waren die IT-Systeme des Hollywood Presbyterian Medical Center gesperrt und die Hacker verlangten rund 15.300 Euro (unauffindbare 40 Bitcoin) für den Entschlüsselungs-Code. Das Krankenhaus bezahlte das Lösegeld unter der Aussage, dass dies im Interesse des Tagesgeschäfts sei, und bestand darauf, dass der Patientendatenschutz nicht verletzt worden sei.

Störender Einfluss

Heute ist Europa verstärkt im Fokus für ähnliche Angriffe und deutsche und britische Krankenhäuser müssen eine wachsende Zahl von Angriffen mit Erpressungssoftware durchmachen. Ebenfalls im Februar berichtete die Deutsche Welle über zwei Vorfälle. Das Lukaskrankenhaus in Neuss und das Klinikum Arnsberg in Nordrhein-Westfalen wurden beide angegriffen. Trotz schneller Reaktion und Wiederherstellungsprozesse verursachte insbesondere der Einbruch im Lukaskrankenhaus langandauernde Störungen in Röntgen- und Email-Systemen und als Dominoeffekt Verzögerungen für einige hochriskante Operationen. Es ist nicht davon auszugehen, dass eines der Krankenhäuser die Lösegeldsumme zahlte.

Die Empfindlichkeit von Patientendatensicherheit ist eine so große Angelegenheit, dass nur sehr wenige Einrichtungen bereit sind, entsprechende Vorfälle zu enthüllen, ganz zu schweigen davon zuzugeben, eine Lösegeldsumme gezahlt zu haben. Allerdings hat eine auf Regeln der Informationsfreiheit beruhende Untersuchung der britischen Zeitung „i“,  enthüllt, dass mindestens 28 NHS Trusts im letzten Jahr attackiert wurden, wie im British Journal of Healthcare Computing berichtet wurde.

NHS Digital gab an, dass keine Lösegelder geflossen noch Patientendaten verloren gegangen seien; aber es gibt ein wachsendes Bewusstsein darüber, dass Europa vor einer Herausforderung steht – und nach Behörden für gezielte Handlungsempfehlungen Ausschau hält, die nicht immer da sind.  Europa geht es dabei ähnlich wie den US-Gesundheitseinrichtungen, die um eine Sicherheitspolitik gekämpft haben, was widerum den Anstieg dort an Angriffen durch Erpressungssoftware widerspiegelt.

Im Juli enthüllte der vierteljährliche“Gefahren-Bericht “vom Solutionary’s SERT (Security Engineering Research Team) unter welchem Druck das Gesundheitswesen sich angesichts von Erpressungssoftware-Kampagnen befindet: 88% aller Entdeckungen kamen von Kunden innerhalb der Branche.

Laut des Berichts ist der Grund, warum das Gesundheitswesen zum Primärziel geworden ist, einfach die Tatsache, dass Lösegelder oft gezahlt werden. „Wenn man einen Notfallplan ausführt,  ist es für die Kontinuität des Geschäfts wichtig, die Systeme so schnell wie möglich wiederherzustellen,“ lässt der Bericht verlauten. „Wenn es allerdings um das Leben von Menschen geht, und die Behandlungen derselben hängen von solchen Systemen ab, entscheidet man sich lieber, einige Tausend Dollar zu zahlen. Das führt tendenziell dazu, dass Angreifer Gesundheitsnetzwerke verstärkt als Ziel für ihre Erpressungssoftware auswählen.“

Anhaltende Angriffe

Hacker setzen Erpressungssoftware seit mehr als 20 Jahren ein, aber die Reichweite des kontinuierlichen Bombardements – die NCC Group geht von einem Anstieg der Angriffe um 400% aus - ist ohnegleichen. IT-Sicherheits-Anbieter Dell gehört zu den vielen Stimmen, die sagen, dass dies jetzt als spezifische Bedrohung priorisiert werden sollte; Krankenhäuser sollten diese mit umfassenden Strategien angehen, die ein kulturelles Bewußtsein für Phishing stärken, und in Anti-Malware investieren, die alle Wege absichert, auf denen eine Erpressungssoftware möglicherweise das System angreifen kann. Sie müssen, kurz gesagt, proaktiv statt reaktiv sein.

Diese Haltung bestimmt nun die IT-Sicherheitspolitik beim Dell-Kunden St. Cloud Orthopedics in Sartell, Minnesota, wo Jeff Duclos, IT-Direktor der Netzwerkadministration, sagt, dass die Fähigkeit einer Einrichtung, als Klinik zu handeln, zu 100% vom Funktionieren der Technologie abhängt:

“Wir mussten uns nie mit irgendeiner ernstzunehmenden Malware beschäftigen, und ich will nicht einmal wissen, wie sich Erpressungssoftware anfühlt“, sagt er. „In der Weise, in der sich die Welt ändert, besonders mit dem Anstieg an Cyberkriminalität, möchten wir sichergehen, dass wir alles dafür tun, um unsere Daten zu schützen.“ 

“Wenn es um das Leben von Menschen geht, und die Behandlungen derselben hängen von solchen Systemen ab, entscheidet man sich lieber, einige Tausend Dollar zu zahlen.”

Der beidseitige Fokus der Klinik auf Endpunkt-Sicherheit und Einhaltung von Vorschriften beabsichtigt das so weit wie möglich. Duclos fühlt, dass er über einen höheren Grad an Abriegelung verfügt als andere Krankenhäuser.

„Es gibt viele Arten von Berichten, die wir für Prüfer erstellen müssen“, sagt er. „Wir können solche Berichte generieren, die bei der PCI Compliance unter Verwendung von KACE (Dell’s System-Management-Vorrichtung) helfen – und Endpoint Security Enterprise, welches bei der HIPAA Compliance unterstützt. Auch müssen wir immer unermüdlich daran arbeiten, Patientendaten zu schützen und Vorschriften einzuhalten, aber mit all diesen Maßnahmen, die wir mit Hilfe von Dell aufgestellt haben, sind wir den meisten Kliniken um einen Schritt voraus, darüber sind wir glücklich.“

Unterdessen in Deutschland,  findet Dr. Armin Will, der die Leitung der Internetsicherheit am Universitätsklinikum Schleswig-Holstein in Lübeck verantwortet, dass der exponentielle Anstieg an Angriffen mit Erpressungssoftware an sich keinen neuen Druck erzeugt. Eine Herausforderung allerdings sieht er in der Geschwindigkeit der Vorfälle. Die Angreifer seien immer einen Schritt voraus, sagt er, und die einzige Verteidigung sei eine umfassende Verschlüsselungs- und Sicherungsstrategie.

Eine Aufgabe fürs Leben

Dr. Will ist unbeeindruckt von der strategischen Unterstützung auf nationaler Ebene in Deutschland, auch wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Netzwerk von Krankenhäusern laufend über Angriffe informiert. Nützlicher seien, sagt er, relevante Internetforen, in denen Krankenhäuser Informationen und Erfolgsmethoden miteinander teilen – und es scheint unerlässlich zu sein, diese täglich zu prüfen.

“Internetsicherheit im Krankenhaus ist eine Aufgabe fürs Leben, und man muss bei der Überwachung der eigenen Systeme in jeder Sekunde, zu jeder Stunde und an jedem Tag proaktiv sein”, sagt er. “Wenn du nur auf einen Angriff reagierst, ist es bereits zu spät.”

“Entscheidend ist, vorbereitet zu sein. Kenne die Verwundbarkeit deiner eigenen IT Geräte und Strukturen, ziehe Vorteil aus strengen Sicherheitsstrategien und implementiere volle Zugangskontrolle. Es besteht kein Bedarf, dass jeder PC mit jedem Server-Volume verbunden werden kann. Im Falle eines Angriffs möchtest du lieber nur in einem kleinen Bereich getroffen werden als über alle Geräte hinweg.“

Erpressungssoftware führt offensichtlich nirgendwohin und Dr. Will macht sich keine Illusionen über die Geschicklichkeit von Hackern. Patientendaten sind als „Geisel“ einzigartig wertvoll und Hacker haben bereits demonstriert, dass, wenn man den Zugang zu ihnen unterbricht, dies größere Implikationen für die Behandlung nach sich zieht – aus diesem Grund kommt auch der Datenschutz ins Spiel.

Der Imperativ für Krankenhäuser in Europa ist, einen langen, gründlichen Blick auf ihre Sicherheitsstrategien zu werfen angesichts der rapide zunehmenden Zahl an Vorfällen, die nie zuvor größer war.

Erschienen in: Insights 5.1, Winter 2016/17

Piers Ford

Betrieblicher Datenschutz vor dem Aus

Interview mit Nikolaus Forgó, Rechtswissenschaftler

Empfehlung zur Cybersicherheit von Medizinprodukten

Wie sicher sind Medizinprodukte?