Cyberkriminalität. „Es ist weniger die Frage ob, sondern wann ein Angriff stattfindet”

Gesundheitsdaten sind besonders wertvolle Daten. Gerade in Zeiten eines Lockdowns sieht man, wie hilfreich elektronische Datenverarbeitung ist, sei es in Hinblick auf Kommunikation, die Möglichkeit der elektronischen Krankschreibung oder die elektronische Ausstellung von Rezepten mit direkter Übermittlung an die Apotheken. All das wird genutzt, sagt Professor Dr. Thomas Szekeres, Präsident der Österreichischen Ärztekammer, auf einer Pressekonferenz in Wien, deren Ziel es war, eine gewisse Sensibilisierung für das Thema IT-Sicherheit zu bewirken.*

Gesundheitsdaten sind heikel. Sie eignen sich dazu, Menschen unter Druck zu setzen, wenn persönliche Lebensbereiche an die Öffentlichkeit dringen. Betreiber von Gesundheitssystemen können mit der Veröffentlichung von Datenlecks erpresst werden, da dies ihre Reputation nachhaltig schädigt. Heikle Daten müssen also geschützt, verschlüsselt und anonymisiert werden. Das kann allerdings auch umgekehrt erfolgen, indem Hacker in das Computersystem eindringen, die eigenen Daten verschlüsseln und man selber keinen Zugriff mehr darauf hat. So geschehen nicht zuletzt auch in der Ärztekammer. Professor Szekeres: „Wir sind allerdings auf die Erpressung nicht eingegangen, sondern hatten eine Sicherungskopie der Daten.“

„COVID-19 wurde sofort für das Business-System Krimineller benutzt“: Für viele ist das Heim während der Krise zum Büro geworden, zahlreiche Aspekte unseres Lebens sind verstärkt „online“ gegangen. „Leider trifft das auch für Kriminelle zu, die den Gesundheitssektor als lohnendes Ziel entdeckt haben“, sagt Dr. Philipp Amann, Leiter der Strategieabteilung des European Cybercrime Centre von Europol. So hätten Kriminelle das allgemeine Interesse der Öffentlichkeit an der COVID-19-Krise rasch missbraucht, um Phishing-Mails zu verbreiten, um mit neuen Betrugsmaschen basierend auf der Krise Geld zu machen oder Webseiten aufzusetzen, um gefälschte oder minderwertige Produkte wie Gesichtsmasken, Corona-Testkits oder Arzneimittel zu verkaufen. Mit dem Vertrieb solcherart gefälschter oder minderwertiger Produkte würden sich erhebliche illegale Gewinne für Kriminelle erzielen lassen. Darüber hinaus hätten sich laut Dr. Amann v. a. Ransomware-Angriffe als ernstzunehmendes Risiko für den Gesundheitssektor entwickelt. Dabei handelt es sich um Schadsoftware, welche Computer und andere elektronische Geräte befällt und Daten, die darauf gespeichert sind, verschlüsselt. Der Betroffene wird dann aufgefordert, Lösegeld, zumeist in einer Kryptowährung wie Bitcoin, zu bezahlen. Dr. Amann: „Es wurden mehrere solcher Angriffe gemeldet, die eine große Anzahl von Unternehmen im Gesundheitssektor betreffen. Neben der Verschlüsselung der Daten sind einige Kriminelle mittlerweile auch dazu übergegangen, den Betroffenen mit der Veröffentlichung der gestohlenen Daten zu drohen, um so weiter Druck für die Bezahlung der Lösegeldforderung zu erzeugen.“ Auch wenn es grundsätzlich nachvollziehbar wäre, warum einige Unternehmen in solchen Fällen bereit sind, den Forderungen nachzugeben, ist die Empfehlung aus ermittlungstechnischer Sicht dennoch die, nicht zu zahlen, betont Philipp Amann: „Zum einen, weil man damit das kriminelle Geschäftsmodell Ransomware weiter befeuert und unter Umständen andere Verbrechensformen mitfinanziert, zum anderen, weil überhaupt nicht gesichert ist, ob man bei einer Zahlung die Daten zurückbekommt. Man verlässt sich schließlich bei einer Zahlung auf die Ehrlichkeit von Kriminellen.“ Darüber hinaus würde man bei einer Bezahlung das Risiko erhöhen, wieder Ziel eines Angriffs zu werden, da sich Kriminelle die „Zahlungswilligkeit“ eines betroffenen Opfers merken. Stattdessen sollten Ermittlungsbehörden kontaktiert werden.

Neben Ransomware-Angriffen würden auch DDoS (Distributed Denial of Service)-Attacken eine Rolle spielen, bei denen die Nichtverfügbarkeit eines Dienstes oder Servers durch eine große Anzahl von Anfragen gezielt herbeigeführt wird. Angetrieben wird all das durch eine fortschreitende Industrialisierung der Cyberkriminalität, dem „Crime-as-a-Service-Modell“. Philipp Amann: „Kriminelle müssen nicht mehr selbst Profis auf ihrem Gebiet sein. Kommerzielle Anbieter verkaufen das benötigte Wissen sowie die notwendigen Werkzeuge und Dienste vom primären Angriff bis hin zur Geldwäsche.“ Während also cyber-kriminelle Aktionen früher oft relativ kostspielig waren und solche Aktivitäten im Regelfall auch über die technischen Kapazitäten von traditionellen Kriminellen hinausgingen, wäre mittlerweile ein Markt für illegale digitale Dienste und Leistungen gewachsen und gereift, der zu einer gewinnorientierten Industrialisierung der Cyberkriminalität geführt hat. Dazu gehört laut Dr. Amann u. a. das Ransomware-as-a-Service-Modell, bei dem die Verschlüsselungs-Schadsoftware quasi als Service von Kriminellen gekauft werden kann.

Neben der Industrialisierung und Kommerzialisierung der Cyberkriminalität ist es v. a. die wachsende Anzahl der mit dem Internet verbundenen Geräte – das Internet der Dinge – und die daraus resultierende Komplexität, verbunden mit unzureichenden Sicherheitsmaßnahmen, die Kriminellen immer mehr Angriffsmöglichkeiten bieten. So würde im Gesundheitsbereich v. a. das medizinische Internet der Dinge eine Rolle spielen, bei dem Angriffe mittlerweile nicht mehr nur über normale Computer erfolgen können, sondern auch über medizinische Geräte, welche mit dem Internet verbunden sind.

Es geht weniger um die Frage ob, sondern wann ein Angriff stattfindet: Aus einem solchen Eingeständnis erschließt sich auch die Notwendigkeit, „Cybersicherheit als umfassendes Konzept zu begreifen, welches nicht nur die IT-Dimension und damit sämtliche medizinischen Geräte beinhaltet, sondern auch alle Prozesse und Mitarbeiter umfasst“, sagt Dr. Amann. Cyberangriffe wie Ransomware-Attacken können jeden treffen, natürlich auch Krankenhäuser, Labors und niedergelassene Ärzte. Wesentlich wäre, organisatorisch vorbereitet zu sein. Das bedeutet, dass man sowohl die technischen als auch die organisatorischen Mittel, Möglichkeiten, Prozesse und Werkzeuge zur Verfügung hat. Neben technischen Maßnahmen gehört dazu auch die kontinuierliche Fortbildung und Sensibilisierung der Mitarbeiter, um das „menschliche Betriebssystem“ adäquat abzusichern. Dr. Amann empfiehlt einen proaktiven Ansatz von Bewusstseinsbildung, Mitarbeiterschulung, die Etablierung einer geeigneten Backup-Strategie für die Daten bis hin zum Erstellen von Notfallplänen für den Fall der Fälle. Ein kooperativer Ansatz in der Zusammenarbeit wäre wertvoll. So hat etwa das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung in den letzten Jahren regelmäßig Workshops mit dem Titel „Schützenswertes Krankenhaus“ mit unterschiedlichen Krankenhausträgern veranstaltet. Die Workshop-Reihe war im Jahr 2019 für den österreichischen Sicherheitspreis nominiert und wurden unter die Top 3 gewählt. Die Corona-Krise hat die Workshop-Reihe unterbrochen, weitere Events sollen aber ab dem Jahr 2021 wieder stattfinden.

ao. Univ.-Prof. Dr. Thomas Szekeres Präsident der Österreichischen Ärztekammer

Ihr großer Wert macht Gesundheitsdaten auch begehrt für Cyberkriminelle

„An der aktuellen Pandemie-Situation lässt sich feststellen, dass Big Data das Potenzial hat, die Suche nach einem Medikament oder Impfstoff zu beschleunigen. Die internationale Verknüpfung von Gesundheits- und Medikamentendaten ist ein wichtiger Schlüssel, um der vorherrschenden Pandemie rascher ein Ende zu setzen. Der große Wert macht Gesundheitsdaten aber auch begehrt für Cyberkriminelle. Solange die Daten keine Rückschlüsse auf die Person dahinter zulassen, können sie in der Forschung sicher eingesetzt werden und eine Basis für wissenschaftliche Weiterentwicklung liefern. Wissenschaftler müssen einfach wissen und feststellen dürfen, welche inhaltlichen Verknüpfungen es gibt. Wünschenswert wäre ein zentrales Archiv, das staatlich verwaltet wird und in dem der Staat auch haftungs- und datenschutzrechtlich die Verantwortung übernimmt. Vorbild könnte etwa das finnische Modell sein, in dem schon lange sowohl die medizinische Forschung als auch die IT zusammenarbeiten und beide voneinander lernen und profitieren. Schließlich ist es nur folgerichtig, wenn öffentlich erhobene Daten der öffentlichen Forschung zur Verfügung gestellt werden. Der Zugang zu diesen Daten ist entscheidend für die Forschung und innovative Ergebnisse.“