Der Arzt als IT-Unternehmer und das Gesundheitssystem als Angriffsziel

Dr. Ulrich Kallausch: Die größte Gefahr ist die mangelnde Awareness auf diesem Gebiet. Ein Beispiel, das diesen Umstand vielleicht ganz gut verdeutlicht, war ein Hackerangriff in Oberösterreich vor etwa einem halben Jahr. Davon waren dem Vernehmen nach ein Kindergarten, eine Anwaltskanzlei und ein Reinigungsunternehmen betroffen. Diese doch sehr unterschiedlichen Unternehmen waren deshalb Angriffsziele, weil sie alle offensichtlich denselben IT-Provider hatten, über den der Zugriff der Hacker erfolgte. Es ist nachvollziehbar, dass sich der einzelne Betroffene für uninteressant hält, aber es entspricht schlicht nicht der Realität. Es ist auch unerheblich, ob der Zugriff über ein kleines Netzwerk eines lokalen Dienstleisters wie in Oberösterreich oder über eine Schwachstelle in einer Software, die Hunderttausende Kunden verwenden, erfolgt. Jeder, der in irgendeiner Form IT-Technik nutzt, ist ein potenzielles Ziel für eine Cyberattacke. Diese Tatsache wiegt vor allem deshalb schwer, weil sich der Großteil der Betroffenen dieser Gefährdung überhaupt nicht bewusst ist. Ich höre sehr oft: „Wir sind zu unbedeutend, aber wenn etwas passiert, haben wir sowieso unsere IT-Berater.“ Das ist natürlich der völlig falsche Zugang, denn das ist Reaktion und nicht Aktion.

Im Vorfeld werden über Schwachstellenscanner Einfallstore gesucht, z. B. leicht hackbare Passwörter oder Schwachstellen in der eingesetzten Software. Diese erhobenen Daten werden im Darknet gehandelt. Dann wird genau untersucht, bei welchen Unternehmen ein lukratives Geschäft in welcher Höhe zu erwarten ist. Das ist im Übrigen vielleicht der Grund, warum öffentliche Krankenhäuser noch relativ wenig behelligt wurden. Von der öffentlichen Hand schnell oder zumindest unkompliziert Geld zu bekommen, ist nicht sehr aussichtsreich.
Wenn der Angriff erfolgt ist, wird eine Summe erpresst, die ziemlich genau dem entspricht, was das betroffene Unternehmen aktuell zu zahlen imstande ist, was zeigt, wie professionell die Vorbereitung dieser Angriffe ist.

Wenig. Es gibt natürlich berüchtigte Hackergruppen wie die ukrainische Gruppe HelloKitty, von der bekannt ist, dass sie bei Angriffen auf Krankenhäuser aktiv war. Man muss jedenfalls betonen, dass es sich hier um professionelle Unternehmen handelt, die diese Angriffe arbeitsteilig durchführen – angefangen beim Datenzugriff durch die Hacker selbst bis hin zum Bezahlen des Lösegelds, das professionell von Callcenter-Mitarbeitern abgewickelt wird. Wir wissen aber letztlich nicht, wann, von wem oder aus welchem Land – ja, nicht einmal, wo wir angegriffen werden.

Wenn ein Data Breach (Anm.: Datendiebstahl) festgestellt wurde, muss sofort die Datenschutzbehörde verständigt werden. In weiterer Folge wird man auch Kunden, Geschäftspartner und andere, die davon betroffen sein können, informieren müssen. Ansonsten werden je nach Unternehmen Wirtschaftsprüfer, Aufsichtsrat und natürlich die Geschäftsleitung informiert. Die Forensik, die dann durchgeführt wird, dauert zwei bis drei Tage. Dabei geht es um Fragen wie: Aus welcher Richtung kommt der Angriff? Welche Systeme wurden angegriffen? Sind die Angreifer noch in meinem Netzwerk? Gibt es ein Backup, ist es kompromittiert? Das Problem in diesem Zusammenhang ist meist, dass die jüngeren Daten eher gebraucht werden, von ihnen aber noch kein Backup erstellt wurde.
Dann sollte es ein sogenanntes Defense-Team geben, das schon vor einem Angriff definiert worden sein sollte. Dieses besteht aus der Unternehmensleitung, den internen IT-Verantwortlichen, den externen IT-Security-Spezialisten, Kommunikationsexperten – Stichwort: Medien/Mitarbeiter/Kunden/Lieferanten. Nicht zuletzt brauche ich hinsichtlich Cyber Incidents auch versierte Rechtsexperten und ich muss meine Versicherung informieren, vor allem dann, wenn ein Betriebsausfall zu befürchten ist. Und es muss natürlich jemanden geben, der mit den Erpressern verhandelt; diese Person wird auf Basis des Fachwissens zumeist aus einem externen IT-Security-Unternehmen kommen.

Ich habe mir im Vorfeld unseres Gesprächs angesehen, welche Bundesländer oder Krankenhausträger in Form von Ausschreibungen auf der Suche nach Security Architects oder IT-Security-Experten sind oder nach diesbezüglichen externen Dienstleistungen suchen. Das passiert höchstens in einem vernachlässigbaren Ausmaß, insbesondere im Vergleich mit Industrie- oder Versicherungsunternehmen.
Unternehmen, die schon viel gemacht haben, sind etwa die Energieversorger, Banken aufgrund der aufsichtsrechtlichen Vorgaben ohnehin. Das liegt auch daran, dass sie teilweise börsennotiert sind, was mit einem gewissen Sanktionsdruck verbunden ist. Wobei man betonen muss, dass das eher nicht für Unternehmen gilt, bei denen die öffentliche Hand mittelbar in das Management involviert ist. Dementsprechend ist mir auch keine Krankenhaus-Holding eines österreichischen Bundeslandes bekannt, wo nennenswerte Initiativen zur Verbesserung der IT-Sicherheit stattfinden.

Gerade im Gesundheitssystem gibt es sehr viel Softwareeinsatz, auch im Bereich der operativen Technologie (Operational Technology). Viele medizinische Geräte werden remote angesteuert/gemanagt/serviciert – auch Geräte, die der Mensch im Körper trägt. Ein Herzschrittmacher wird aber üblicherweise nicht laufend, sondern planmäßig gewartet. Es können demnach keine oder zumindest nur erschwert Patches eingeführt werden, die etwaige Schwachstellen der Software beheben. Ähnliches gilt auch für andere medizinische Geräte. Der übliche Reinigungs- und Absicherungsprozess greift bei diesen Geräten nur teilweise.
Ein Umstand, der es Hackern auch leichter macht, ist die sehr einfache Möglichkeit, medizinische Geräte jeglicher Art im Netz zu finden: Die Suchmaschine „Shodan“ ist eine Art Google für mit dem Internet verbundene Geräte. Man findet dort Adressen von Servern, Routern bis hin zu Technologien des „Internet of Things“ jeglicher Art.
Ein weiterer Faktor sind Krankenhausinformationssysteme (KIS). Diese großen Softwareapplikationen sind meistens 10–20 Jahre alt. Sie können auch nicht ausgetauscht werden, weil es selbstentwickelte Systeme sind, und Programmierer achten primär auf Funktionalität, nicht auf Sicherheit.
Nicht zuletzt muss die starke Vernetzung im österreichischen Gesundheitssystem angeführt werden. Man muss sich vor Augen halten, dass jeder Kassenarzt mit den Krankenhäusern und den Krankenkassen ein riesiges digitales Netzwerk bildet. In Zusammenschau bin ich erstaunt, dass es in Österreich bislang keine größeren Angriffe im Gesundheitssektor gegeben hat – zumindest keine, von denen man weiß.

Die Dunkelziffer ist sicher hoch. Kein Unternehmen wird von einem Angriff berichten, wenn es nicht muss. An die Öffentlichkeit gelangen die Informationen nur, wenn es direkte Auswirkungen gibt.

Nach so einem Vorfall wäre mein Zugang als Verantwortlicher, die IT-Experten, die in meinem Bereich zuständig sind, zusammenzurufen und einige Fragen zu stellen: Haben wir bereits eine Bestandsaufnahme gemacht, wie es um die Sicherheit unserer Daten bestellt ist? – Die Antwort lautet dann erfahrungsgemäß oft, dass die Hardware zwar bekannt ist, nicht aber die Vielzahl an Softwareapplikationen, die von extern gewartet werden. Dafür fühlen sich IT-Abteilungen oft nicht zuständig.
Aber auch, wenn diese Aufstellung von Hard- und Software bekannt ist, stellt sich die Frage nach einer IT-Strategie: Wer ist im Notfall zuständig? – Die klassische Aussage von Verantwortlichen im öffentlichem wie auch im gesundheitlichen Bereich ist meist: „Wir sind gut aufgestellt.“ Und es wird auf Firewalls und Sicherheitssoftware verwiesen. Eine funktionierende Firewall ist zwar nach wie vor ein wichtiger Baustein für die Sicherheit eines Netzwerks, garantiert jedoch absolut keinen Schutz vor Cyberattacken.
Ein Problem ist, dass man sich mit einem Remote-Device, also einem Laptop, einem Smartphone usw. bereits hinter der Firewall befindet. Ist der Hacker dann einmal hinter der Firewall, stellt sich die Frage, welche Berechtigungen der gehackte Mitarbeiter besitzt – je mehr, desto tiefer kann der Angreifer ins Netzwerk eindringen. Deshalb kann es kritisch sein, wenn Mitarbeiter ihre Geräte auch privat nutzen können, denn E-Mails und Social Media sind mitunter Haupteintrittsvektoren für Hacker.

Wenn ein Hacker angreifen möchte, wird er in jedem Fall Erfolg haben. Daher lautet die Frage, wie schnell man den Angriff erkennt und was man unmittelbar tut, nachdem der Angriff erfolgt ist. Die einzige wirkliche – sehr aufwendige und damit teure – Lösung ist die Netzwerksegmentierung, sozusagen die IT-seitige Unternehmensgliederung. Man muss sich das vorstellen wie ein Schiff, das leckschlägt. Kann man die Schotten dichtmachen, kann der Untergang abgewendet werden.
Umgelegt auf IT-Systeme heißt das, dass man unterschiedliche Level an Zugangsberechtigungen definiert, eine Zugangspyramide bildet und kritische IT-Systeme über eine Firewall von anderen Systemen abschottet. Daher sollte man auch regelmäßig evaluieren, welche Berechtigungen welche Mitarbeiter unmittelbar benötigen. Oft kommt man dann auch darauf, dass Personen, die längst nicht mehr im Unternehmen sind, nach wie vor über weitreichende Zugangsberechtigungen verfügen.
Daneben ist eine automatisierte Überwachung hinsichtlich der Systemzugriffe erforderlich, die ungewöhnliche Aktivitäten erkennt, die dann einem Chief Information Security Officer (CISO) gemeldet werden. Wartet jemand nur außerordentlich das System oder erfolgt gerade ein Hackerangriff?
Andere Maßnahmen sind Mitarbeiterschulungen, wie sie etwa im Bankensektor inklusive Prüfungen regelmäßig durchgeführt werden. Wen man dabei nicht aus dem Augen verlieren sollte, sind die externen Dienstleister oder Mitarbeiter, die meist auch über Systemzugänge verfügen.

Um die Systeme abzusichern, sprich, zu segmentieren, bräuchte es einen großen Wurf, der mit doch sehr hohen Kosten verbunden ist. Deswegen wird weggeschaut und man hofft, dass es jemand anderen trifft. Auch seitdem die Hacker-angriffe vor etwa drei Jahren einen echten Boom erfahren haben, hat sich niemand diese Fragen gestellt. Der Tag wird aber kommen und die Konsequenzen eines Angriffs können jedenfalls verheerend sein.
Man muss sich nur die Konsequenzen in einem einzelnen Krankenhaus vorstellen, wenn sich in einem KIS niemand mehr anmelden kann. Kein Arztbrief kann geschrieben, keine Bildgebung eingesehen werden, OP-Pläne und Laborbefunde sind nicht abrufbar oder überhaupt erstellbar. Den Fall, dass wichtige Operationen verschoben werden müssen, mag man sich gar nicht ausmalen. Durch eine Cyberattacke könnte das österreichische Gesundheitswesen – zumindest partiell – vorübergehend schon einmal zu einer Art Stillstand kommen.

Jeder niedergelassene Arzt muss verstehen, dass er ein IT-lastiger Unternehmer ist. Die Ordination ist – vielleicht abgesehen von ihrer ureigensten Aufgabe – ein digitalisierter Betrieb. Es gibt wahrscheinlich nur wenige Ärzte, die ein IT-Security-Audit, also eine Überprüfung ihrer IT-Sicherheit, durchführen haben lassen. Jeder Angriff öffnet aber eine Breitseite – auch über die Daten, die in der Ordination selbst gesammelt werden, hinaus.
So gut wie alle Arztpraxen verwenden eines von wenigen großen Softwaresystemen und in der Sekunde, in der diese Applikation in irgendeiner Form kompromittiert wird, ist auch die angeschlossene Ordination kompromittiert.