IT-Sicherheit

Keine Zeit für Verschnaufpausen

Ein blauer Hintergrund mit der Weltkugel ist zu sehen. Davor ist unscharf eine Person mit Kapuze vermummt zu sehen, wobei von der Person eigentlich nichts zu erkennen ist. Davor sind Nullen und Einsen sowie Programmiercode zu sehen.

Die Cyberkriminellen ruhen nicht. Schon zum zweiten Mal hat ein Trojaner in Großbritannien Klinik-Computer infiziert.

Quelle: Redpixel / Fotolia

Die Kreativität der Cyberkriminellen lässt den Sicherheitsexperten kaum Zeit für Verschnaufpausen. Das zeigte einmal mehr die jüngste weltweite Cyberattacke mit der Erpressersoftware „WannaCry“. Der Trojaner hatte in Großbritannien die Computersysteme in mehreren Krankenhäusern blockiert. Auch hierzulande mussten im vergangenen Jahr einige Krankenhäuser den IT-Notfall ausrufen. Frederik Humpert-Vrielink berät die Betreiber von Kliniken und medizinischen Versorgungszentren in Sachen IT- und Risikomanagement. Im Interview erläutert er, wo dort die Schwachstellen liegen und was zu tun ist, um für den Ernstfall gerüstet sein. von Lisa Kempe

Nach den Erfahrungen mit den Cyber-Attacken im vergangenen Jahr und nun mit „WannaCry“: Was hat sich geändert – sowohl aufseiten der Angreifer als auch auf der Seite der Opfer?

Frederik Humpert-Vrielink: Die Veränderungen sind gravierend. Einerseits sind die Angreifer immer ausgefeilter und perfider in den Methoden. Selbst hochwertige Sicherheitsprodukte sind nicht zu 100 Prozent in der Lage, Angriffsvektoren wie „WannaCry“ zuverlässig abzuwehren. Es wird immer einen „Patient 0“ geben, der andere IT-Systeme infiziert, bevor Sicherheitsprodukte die Schadsoftware erkennen. Aufseiten der Opfer ist es noch tragischer. Fast scheint es, als wäre das letzte Jahr in Vergessenheit geraten. In den Gesundheitsbetrieben investieren die Verantwortlichen zwar verstärkt in Produkte, die die Basis für sichere IT-Systeme bilden. Diese müssen aber auch bedient werden können. Hier fehlt es jedoch häufig an den notwendigen Investitionen in Personal und Weiterbildung. Insgesamt besteht noch ein großer Aufklärungsbedarf. Mein Appell an die Geschäftsführer: Wer ruhig schlafen möchte, benötigt nicht nur teure Sicherheitstechnik, sondern auch eine ausgeklügelte Sicherheitsstrategie.

Wenn eine Klinik trotz aller Vorbeugung einen akuten Hacker-Angriff feststellt, was sollten dann die ersten Schritte zur Abwehr sein?

Ganz praktisch: Ziehen Sie den Notfallplan aus dem Schrank und handeln Sie danach. Leider verfügt nach meiner Erfahrung kaum eine Klinik über einen solchen Notfallplan, in dem die notwendigen Abwehrmaßnahmen Schritt für Schritt aufgezeigt werden. Hier ist noch viel Vorarbeit notwendig. Wenn ein Cyber-Angriff offenbar wird, ist es je nach Art des Befalls hilfreich, die betroffenen Systeme zu isolieren und vom Rest des Netzes zu trennen. Bei Client-PCs geht dies noch, bei Serversystemen ist das schwieriger. Erst wenn die Ausbreitung eingedämmt und der Schaden begrenzt ist, sollte das Aufräumen beginnen. Informieren Sie die Polizei und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese übernehmen die Beweissicherung. Einen IT-Sicherheitsvorfall zu beheben ist eine komplexe Lageorganisation, die vor allem viel Vorbereitung benötigt.

Wie können Krankenhäuser bei begrenzten Ressourcen ihre Sicherheitsanstrengungen intensivieren?

Verstärkte Investitionen in die Digitalisierung von Healthcare ziehen automatisch auch Investitionen in IT-Sicherheit nach sich. Daher lässt sich die Frage nicht pauschal beantworten. Denn die Investitionssumme und der Aufwand hängen davon ab, wie stark ein Krankenhaus von der IT abhängig ist. Mit reinem Geldausgeben ist es sowieso nicht getan. IT-Sicherheit ist ein strategisches Managementprojekt. In erster Linie kommen auf ein Krankenhaus die Organisation der IT und die Vorbereitung für den Fall der Fälle zu. Wer zum Beispiel für den Cyber-Notfall kein eigenes Team vorhalten kann oder möchte, sollte einen Vertrag mit einem spezialisierten Dienstleister für Informationssicherheit abschließen. Der stellt die Experten bereit, die die IT-Infrastruktur der Einrichtung kennen sollten und bei einem Sicherheitsvorfall quasi als schnelle Eingreif-Truppe agieren können. Parallel sollte ein Krisenstab einberufen werden, der klar kommuniziert, was zu tun ist. Die Entscheidungswege müssen bereits im Vorfeld geklärt sein, und der Krisenstab muss frühzeitig einberufen werden.

Oft wird die Sicherheit von medizintechnischen Geräten, die ja zunehmend vernetzt arbeiten, bemängelt. Was tun die Hersteller bei der Entwicklung neuer Geräte für deren IT-Sicherheit?

Das hängt wie so oft vom Hersteller ab. Große Konzerne tun viel, um dem Sicherheitsbedürfnis zu entsprechen. Viele Medizingeräte sind heute mit Virenscannern und viel Sicherheitssoftware ausgerüstet. Aber diese Produkte passen nicht immer in die IT-Sicherheitsstrategie der Betreiber – was die Sache unnötig verkompliziert. Doch trotz allem: Als Verkaufsargument beim Arzt zählen aber immer noch die neuesten Funktionsmöglichkeiten mehr als die Aspekte zur IT-Sicherheit. Die Einkaufsprojekte, die wir betreuen, sind eher zäh, was IT-Sicherheit anbetrifft.

Wer haftet im Falle einer Cyberattacke, wenn als Schwachstelle ein Medizingerät ausgemacht wird – der Hersteller oder der Betreiber? Gibt es Fälle, in denen Medizintechnikhersteller Schadenersatz leisten mussten?

Die Haftung ist differenziert zu betrachten. Ein Hersteller, der seine Systeme nicht mit ausreichender Sorgfalt im Markt überwacht und auf Risiken aus dem Cyber-Raum überprüft, könnte sicherlich in die Haftung genommen werden. Um das auszuschließen, steigt in letzter Zeit die Zahl der Warnmeldungen beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) für verschiedene Geräte. Sobald diese Meldung raus ist, kehrt sich die Haftung um und der Betreiber ist in der Pflicht. Mir ist noch kein Fall bekannt, in dem ein Hersteller „geschludert“ hätte. Meist hängen die Betreiber mit dem Problem in der Luft. Auch Schadenersatzfälle sind mir nicht bekannt.

Ein Laptop mit einer rechten Hand auf der Tastatur. Davor ist Programmiercode zu sehen. Von rechts oben blenden Sonnenstrahlen ins Bild.

Weckruf für die moderne Medizin
Die beiden Ärzte Rachel Clarke und Taryn Youngstein, die für den britischen Gesundheitsdienst NHS (National Health Service) tätig sind, berichten im New England Journal of Medicine über ihre Erfahrungen mit „WannaCry“. Der Cyberangriff am 12. Mai 2017 offenbarte demzufolge die Hilflosigkeit der Mitarbeiter in den betroffenen Gesundheitseinrichtungen, es herrschten Verwirrung und Verunsicherung. Operationen wurden abgesagt, Sprechstunden verschoben und Notaufnahmen geschlossen. „WannaCry“ infizierte ausschließlich veraltete Computersysteme, bei denen das entsprechende Sicherheitsupdate nicht installiert worden war. Deshalb lautet das Fazit der Autoren: Die Cyberattacke durch „WannaCry“ sei ein Weckruf für die moderne Medizin. Sie würden niemals akzeptieren, mit veralteten Geräten Patienten zu behandeln. Gleiches sollte für kritische IT-Systeme gelten.

Quelle: Redpixel / Fotolia

Mit Blick auf das Wahljahr: Was wird politisch unternommen, um Unternehmen und Kliniken beim Kampf gegen Hacker zu unterstützen? Welche Weichen sollten für die Zukunft gestellt werden?

Wie so oft in Wahljahren werden viele Lippenbekenntnisse unternommen. Es wäre wichtig, gerade die Investitionen in zielführende IT-Sicherheit, die die klinischen Prozesse unterstützt und die Digitalisierung verstärkt, durch die Kostenträger zu refinanzieren. Hierfür wäre es nötig, diese Kosten in der Kalkulation der Zusatzentgelte in das Fallpauschalensystem zu integrieren. Diese Verfügbarkeit ergänzender Mittel für laufende Kosten würde – ergänzt mit Investitionsmitteln der Länder – wirklich etwas bewegen.

Mehr im Internet:

New England Journal of Medicine: Cyberattack on Britain's National Health Service – A Wake-up Call for Modern Medicine

© Medizintechnologie.de