Georg Thieme Verlag KG

Cyber-AttackenIT-Sicherheit von Kliniken mangelhaft

Der schwere Angriff auf die Uniklinik Düsseldorf im September 2020 offenbarte, wie verwundbar deutsche Kliniken weiterhin sind. Zwar hat sich einiges verbessert, doch laut IT-Sicherheitsexperten existieren in vielen Kliniken weiterhin Mängel − selbst KRITIS-Häuser sind betroffen.

Ransomware-Angriff
Rawf8/stock.adobe.com

Symbolfoto

Das Unheil begann um drei Uhr nachts am 10. September 2020. Es fallenrund 30 Server des Uniklinikums Düsseldorf aus, die IT der Uniklinik geht in rasantem Tempo in die Knie – mit ihr erhebliche Teile des medizinischen Betriebs. Wenige Tage später ist klar: Das Klinikum ist Opfer einer Hackerattacke mit Erpressersoftware („Ransomware“), unzählige Daten des Hauses wurden absichtlich verschlüsselt. Eine 78-jährige Notfallpatientin stirbt, weil ein Rettungswagen das UKD nicht anfahren kann und ins 25 Kilometer entfernte Wuppertal ausweichen muss. Erst am 12. Oktober 2020 – und damit mehr als vier Wochen später − kehrt das Klinikum nach eigenen Angaben wieder halbwegs in den Normalbetrieb zurück. 

Attacke wäre vermeidbar gewesen

Was das Klinikum hingegen besser für sich behielt: Die Attacke wäre vermeidbar gewesen, wenn das Klinikum gängige Sicherheitsstandards und Vorsichtsmaßnahmen eingehalten hätte. Zu diesem Schluss kommt offenbar Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Auf einer Konferenz des Landes Nordrhein-Westfalen zur Inneren Sicherheit im Januar hielt Schönbohm nach übereinstimmenden Medienberichten mit seiner Kritik nicht hinter dem Berg. Danach hätte die Attacke in Düsseldorf schon mit dem einfachen Grundschutz des BSI verhindert werden können. 

Schönbohms deutliche Kritik steht im Kontrast zu den sonstigen Einschätzungen seiner Behörde über das aktuelle Sicherheitsbewusstsein in den Krankenhäusern, wo das BSI den Verantwortlichen grundsätzlich einen erheblichen Fortschritt attestiert. „Die Sensibilisierungsmaßnahmen des BSI und insbesondere die Zusammenarbeit im Rahmen des UP KRITIS vor allem im Zusammenhang mit dem branchenspezifischen Sicherheitsstandard B3S ‚Krankenhäuser‘ hat zu einer merklichen Steigerung des IT-Sicherheitsbewusstseins in den Krankenhäusern, sowohl im Management, als auch auf der Arbeitsebene, geführt“, sagt ein Sprecher des BSI. Die Häuser seien bestrebt (…), die Anforderungen an die Sicherheit moderner Informationsinfrastrukturen zu erfüllen“, heißt es seitens der Behörde, die zu dem positiven Urteil gelangt, „dass das IT-Sicherheitsniveau der Krankenhäuser im Allgemeinen gut ist.“  

Aus Sicht vieler IT-Experten hingegen liegt beim Schutz der Klinik-IT vor Cyberangriffen trotz einiger Verbesserungen noch immer vieles im Argen. Auf die Frage, wie und in welchem Maße sich die IT-Sicherheitssituation in den Kliniken in den vergangenen fünf Jahren verbessert habe, greift Lars Forchheim, Sprecher des Branchenarbeitskreises „Medizinische Versorgung“ im UP KRITIS zu einer Prise Ironie: „Wenn man es provokant formulieren wollte: Da hat sich nichts entwickelt, das ist stetig gleichbleibend. Informationssicherheit ist ein kontinuierlicher Prozess, der nie aufhört.“

Längst kein Einzelfall mehr 

Der schwere Angriff auf die Uniklinik Düsseldorf ist längst kein Einzelfall mehr in Deutschland. Anfang 2020 legten Hacker das Klinikum Fürth in Bayern lahm. Nur wenige Monate davor hatte es die DRK-Südwest in Neuwied erwischt, elf Krankenhäuser in Rheinland-Pfalz und dem Saarland waren betroffen. Unvergessen ist auch die folgenreiche Attacke im Frühjahr 2016, als 28 Krankenhäuser in Nordrhein-Westfalen Cyberangriffe meldeten. 

Jüngste Studien zeigen, dass viele Krankenhäuser noch immer nicht Schwachstellen und bekannte Einfalltore für Hacker beseitigt haben, obwohl diese seit Jahren für Probleme sorgen. Wie verbreitet diese Mängel noch sind, zeigt die Studie „Epidemic? The Attack Surface of German Hospitals during the COVID-19 Pandemic“, die gemeinsam von Sicherheitsexperten des Berliner Beratungsunternehmens Alpha Strike Labs, der österreichischen Firma Limes Security sowie der Universität der Bundeswehr in München erarbeitet wurde. Das Papier soll im Mai bei der „CyCon“, der Cybersicherheits-Konferenz der Nato, vorgestellt werden.

Das Ergebnis des Papiers ist ernüchternd: Bei 36,4 Prozent von 1 555 untersuchten deutschen Krankenhäusern entdeckten die Experten Schwachstellen. Von 1931 entdeckten Schwachstellen waren „mehr als 900 kritisch“, sagt Johannes Klick, Geschäftsführer von Alpha Strike Labs und einer der drei Autoren der Studie.

Ergebnisse überraschen Experten

Für die Untersuchung setzten die Experten ein sogenanntes DCS („Decentralized Recon System“) ein, „das scannt global das gesamte Internet auf bestimmte Ports und Netzwerkdienste ab“, erläutert Klick. Dieses DCS kann sich mit Datenbanken, Webservern oder auch mit Mailservern verbinden. Eine aktive Penetration des untersuchten Klinik-IT-Systems gab es aus rechtlichen Gründen nicht. „Es wird nur ein Verbindungsaufbau hergestellt und dann gefragt `hey, was bist du für ein System?´. Es werden aber keine Passwörter ausgelesen oder irgendwo versucht, sich einzuloggen“, so Klick. „Antwortet das System, notieren wir uns dann eigentlich nur, welche Version oder welcher Versionsstand des Systems uns informiert hat“, schildert der Autor das Vorgehen.

Das klingt harmlos, offenbart aber auch auf diesem Weg kritische Schwachstellen. Insgesamt 13 497 Websites, E-Mail- und Datei-Server sowie andere Netzwerkdienste der untersuchten Kliniken schauten sich die Experten genauer an. „Ein Großteil der Schwachstellen waren nicht aktualisierte oder nicht aktuell gehaltene Webserver. Wir hatten aber auch diverse Embedded Geräte oder veraltete DSL-Modems oder einen öffentlich sichtbaren WLAN Router“, erzählt Klick. Generell zeigen die Ergebnisse aus Sicht der Autoren erhebliche Prozessdefizite in den Kliniken, vor allem bei der Eindämmung der sogenannten Schatten-IT. Damit ist Nutzung von IT- Diensten und Geräten unter dem Radar der Systemadministratoren gemeint, beispielsweise durch Ärzte, die eigene IT-Anschlüsse nutzen oder durch unzureichend geschützte Fernwartungszugänge, die auf Druck von Firmen kurzfristig eingerichtet werden. „Hier sind nicht zwingend die Administratoren das Problem, sondern teilweise die immer noch unterentwickelte Sicherheitsawareness in den Häusern“, urteilt Klick.

Die gravierendsten Schwachstellen aus Sicht der Studienautoren waren Dienste und Programme, für die seit Jahren bereits der technische Support eingestellt ist, beispielsweise Internet Information Services 6.0 (IIS), eine Dienstplattform von Microsoft für PCs und Server, das in dieser Version in Windows Server 2003 zum Einsatz kam. Für diese IIS-Version hat der US-Softwarekonzern den Support jedoch bereits im Juni 2015 eingestellt. 

Anteil der KRITIS-Häuser sehr hoch 

Unter den Häusern mit Mängeln stellen KRITIS-Häusern mit 20 Prozent einen erheblichen Anteil, schildert Co-Autor Robert Koch von der Bundeswehr Universität München. Aufgrund ihres Status als „Kritische Infrastruktur“ unterliegen diese strengeren Sicherheitsauflagen und müssen dem BSI durch Audits ein ausreichendes Sicherheitsniveau nachweisen. „Für uns war es interessant, dass die unter der KRITIS liegenden Häuser im Schnitt mehr Schwachstellen hatten und auch nicht professioneller agierten als andere Kliniken“, sagt Johannes Klick. Allerdings seien für die Probleme auch Größe und Eigenarten der Häuser verantwortlich. Peter Gocke, CDO bei der Berliner Charité, hält diese Annahme für plausibel. „Je größer und heterogener ein Haus, je größer die Anzahl der Kliniken, der Abteilungen und der genutzten IT-Systeme und Geräte ist, die eingebunden werden müssen, desto schwieriger wird es“, sagt Gocke. 

Besonders die häufig fehlende Aktualisierung der IT-Systeme und eine schlechte Netzwerksegmentierung erleichtern Hackern den Angriff. So ist die bekannte Schwachstelle EternalBlue, die ursprünglich von staatlichen Hackern des US-Geheimdienstes NSA genutzt wurde, in Windows seit vielen Jahren bekannt – auch kriminellen Hackern. Weil Krankenhäuser oder auch andere Unternehmen nicht reagiert haben, nutzen Angreifer die Schwachstellen in so bekannten Ransomware- Programmen wie „Wannacry“ oder „Petya“. „Mit dem Expoit-Code für nicht geupdatete Windows-Systeme habe ich sofort Systemrechte auf dem System und kann dann voll verschlüsseln. Ransomware Angriffe sind erfolgreich, wenn zentrale Systeme nicht aktualisiert werden“, sagt Klick. Ohne ausreihende Segmentierung können Hacker dann von einem Punkt aus nahezu das gesamte Netzwerk aushebeln.

Doch die vermeintlich einfache Lösung, die IT-auf dem neuesten Stand zu halten und bekannte Sicherheitslöcher zu stopfen, ist in der Praxis der Krankenhäuser viel komplizierter, als es Laien auf den ersten Blick erscheint. „Wenn man eine Lücke entdeckt hat, braucht man auch jemanden, der diese Lücke schließen kann“, sagt Lars Forchheim vom UP KRITIS. Er spielt damit sowohl auf die Personalnot in den unterbesetzten und unterfinanzierten IT-Abteilungen der Krankenhäuser an wie auf die Praxis, aus Kostengründen externe Dienstleister nutzen zu müssen. „Doch wer prüft den Dienstleister, der diese Aktualisierung gemacht hat?“, fragt Forchheim.

Hinzu kommt, dass die große Zahl an Software- und Hardware in Kliniken zu ganz unterschiedlichen Zeiten angeschafft wurde, mit erheblich differierenden Update-Zyklen. Das Problem dabei: Wird ein Programm etc. aktualisiert, bedingt das häufig auch eine Aktualisierung anderer Softwarekomponenten in der Klinik-IT. Je größer das Haus, je zahlreicher und heterogener die verwendete IT, desto mehr potenziert sich der Aufwand - und damit die Gefahr möglicher Probleme im aktuellen Klinikbetrieb. 

Kritik an der B3S-Auditierung 

Für die Autoren der Alpha Labs-Studie zeigt die Mängelliste zudem, dass die aktuelle Praxis für die Auditierung nach dem Branchen-Sicherstandstandard B3S dringend überarbeitet gehört. So gebe es Prozesse, die in kurzen Abständen aktuell gehalten werden müssten. Firewalls müssten etwa aktuell gehalten werden, der Vorgang gehöre zudem sauber dokumentiert. „Der Auditierer kommt aber und schaut nur, ob die erforderlichen Prozesse formuliert sind. Der hat sich niemals eine Firewall angeschaut oder einen externen Perimeterscan durchgeführt“, urteilt Klick. Außerdem würde die Auditoren vom Krankenhaus bezahlt, ein klassischer Interessenkonflikt aus seiner Sicht. „So wird immer der preiswerteste Auditor genommen. Es wäre besser, wenn Unternehmen, die einer Auditverpflichtung seitens des BSI unterliegen, eine Abgabe an die Behörde abführen würden und das BSI dann die Aufträge an einen zertifizierten Dienstleister vergibt.“

Cyberattacken werden professioneller 

Währenddessen nimmt die Zahl der Angriffe offenbar zu – auch wenn es unterschiedliche Einschätzungen dazu gibt. Während das BSI von einer Bedrohung für Einrichtungen des Gesundheitswesens „auf einem gleichbleibend hohen Niveau“ spricht, sehen IT-Sicherheitsexperten das anders, sie sprechen teilweise von einem rasanten Anstieg seit dem vergangenen Herbst. Schon im Oktober 2020 verzeichnete etwa Check Point Research, die Forschungsabteilung des israelischen IT-Security- Herstellers Check Point Software Technologies, einen weltweiten Anstieg der Attacken um 71 Prozent, gefolgt von einem Anstieg um zusätzliche 45 Prozent bis zum Jahresende. Zu den Ländern mit dem zuletzt weltweit höchsten Anstieg von registrierten Attacken zählt laut Check Point Deutschland. Hier nahmen danach die Angriffe um satte 220 Prozent zu.

Deutsche Klinikträger sollten sich ferner nicht mehr in der trügerischen Sicherheit wiegen, dass die Angriffe bislang nicht zielgerichtet gegen Krankenhäuser gerichtet waren. Dem BSI sind bislang keine gezielten Cyber-Angriffe auf deutsche Krankenhäuser bekannt – ebenso soll es bislang keine Zahlung von Lösegeld gegeben haben. Doch in anderen Ländern (Finnland, baltische Staaten, USA) ist es schon zu zielgerichteten Attacken gekommen. Seit dem Auftauchen der Malware „Emotet“ und der Ransomware „Ryuk“ vor zwei Jahren ist jedoch ein grundlegender Wandel zu beobachten. „Anders als in früheren Ransomware-Attacken, die durch weit gestreute Spammail-Kampagnen oder Exploit-Kits erfolgten, sind die Ryuk-Attacken gegen Krankenhäuser und Gesundheitsorganisationen gezielt und speziell zugeschnitten“, heißt es in einer Analyse von Check Point. Ryuk ist häufig Bestandteil fein abgestimmter Attacken mit mehreren Programmen. Dazu zählen der ehemalige Banking-Trojaner „Emotet“, der per E-Mail ein IT-System infiziert und dann gezielt Schadsoftware nachlädt. Ein Trickbot forscht dann das infizierte System aus, schließlich kommt Ryuk zum Einsatz. Das ausgeklügelte Vorgehen beunruhigte Sicherheitsbehörden weltweit. Anfang 2021 konnten diese die „Emotet“-Infrastruktur zerschlagen. So erfolgreich der Schlag war, er wird den Kliniken nicht dauerhaft Ruhe verschaffen.

Erschienen in kma 4/21  Jetzt kaufen!

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!