Als am 10. Februar 2016 Cyberkriminelle das Lukaskrankenhaus in Neuss nahezu lahmlegten, zog eine Schockwelle durch die Geschäftsführungen deutscher Krankenhäuser. Die Wucht, mit der der Angriff das digitale Vorzeige-Krankenhaus in Neuss traf, überraschte viele – und beendete die trügerische Scheinsicherheit, in der sich viele Krankenhäuser lange wiegten. Denn Neuss war kein Einzelfall. Allein in Nordrhein-Westfalen waren seit Anfang Januar nach Angaben des dortigen Landeskriminalamtes 28 Krankenhäuser angegriffen worden. Zehn Häuser wurden mit Ransomware attackiert (siehe Kasten). Gleichzeitig wurde bekannt, dass ein Krankenhaus in Los Angeles Internetkriminellen Lösegeld bezahlt hatte.

Die vielen Cyberattacken scheinen eine neue Qualität der Bedrohung für Kliniken zu belegen. Es ist eine Bedrohung, die sehr teuer werden kann: Allein das Lukaskrankenhaus Neuss kostet die Bewältigung der Attacke „einen hohen sechsstelligen, möglichweise sogar siebenstelligen Betrag”, sagt Kliniksprecher Andreas Kremer.

Dabei ist die Bedrohung nicht wirklich neu. „Wir leben mit dem Risiko solcher Attacken schon deutlich länger. Nur kommen die Mitarbeiter in den IT-Abteilungen angesichts der zunehmenden Digitalisierung mit den bestehenden IT-Strukturen nicht mehr hinterher”, urteilt etwa Horst Martin Dreyer, Geschäftsführer von i-Solutions Health, einem Anbieter von Gesundheits-IT. Laut einer aktuellen Analyse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) treten Angriffe mit Verschlüsselungs-Trojanern gehäuft schon seit 2010 auf. Seit Mitte September 2015 habe sich aber die Bedrohungslage „deutlich verschärft”, so das BSI. Zum einen würden „erfolgreiche” Erpressungungen immer mehr Kriminelle anlocken, weshalb die Anzahl der Angriffe derzeit stark zunimmt. Wie stark genau, lässt sich nur schätzen. Laut dem IT-Fachportal Heise Security zählte der amerikanische IT-Sicherheitsexperte Kevin Beaumont Mitte Februar bis zu 5.000 neuinfizierte Rechner pro Stunde. In Deutschland lag im Februar 2016 laut BSI die Zahl der detektierten Angriffe mit Ransomware 10-mal höher als noch im Oktober 2015.

Virus verschlüsselt rasant
Mit dem lukrativen Erpressergeschäft geht zudem offenbar ein deutlicher Professionalisierungsschub bei den Hackern einher. Die aktuell kursierenden Varianten der Verschlüsselungstrojaner „Locky”, „Teslacrypt” und „Cryptowall” sind raffiniert getarnt, was die eigentliche Erkennung der Schad-Software deutlich erschwert. Ferner werden die Schad-Programme immer leistungsfähiger. Bernd Meisheit, IT-Chef der Sana Kliniken, testete nach einen Angriff die Ransomware in einer privaten Testumgebung. „Das Ergebnis war frappierend: Für das Verschlüsseln von vier Terabyte Daten hat der Virus gerade einmal sieben Sekunden gebraucht.” Ein Terabyte entspricht der Datenmenge von rund 200 komplett gefüllten Daten-DVDs in einem Windows-System.

Immerhin richten sich die Attacken derzeit nicht gezielt gegen Krankenhäuser, sondern die Hacker-Programme werden breit über das Internet mittels Anhängen in E-Mails oder Drive-by-Attacken gestreut. „Die E-Mail an sich war nicht kritisch, vielmehr war es der eingebettete Link beziehungsweise das Word-Makro, das den eigentlichen Schadcode nachlud. Der Schadcode liegt größtenteils auf ganz normalen und renommierten Webservern, die infiziert sind”, schildert Meisheit beispielhaft einen Angriff. Neben Krankenhäusern waren deshalb auch Unternehmen und öffentliche Einrichtungen betroffen. „Die Dunkelziffer wird sicherlich sehr viel höher sein, denn viele Betroffene reden aus Angst vor Reputationsverlust ungern darüber”, urteilt Thomas Jäschke, Leiter des Instituts für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG). Der offene Umgang des Lukaskrankenhauses mit der Attacke fällt da positiv aus dem Rahmen.

Kliniken handelten schnell
Die Erkenntnisse, die sich aus den jüngsten Vorgängen für die IT-Sicherheit von Krankenhäusern ergeben, sind zwiespältig. Einerseits zeigten die Angriffe, dass die überwiegende Zahl der betroffenen IT-Leitungen im konkreten Fall schnell und umsichtig reagierte, indem sie sofort die Systeme runterfuhren. Im Fall von Ransomware ist das ein wichtiger Befund, da angesichts der Verschlüsselungsgeschwindigkeit jede Minute zählt, um einen absoluten Daten-Gau zu vermeiden. Anderseits zeigte die hohe Anfälligkeit für Attacken, dass angesichts der zunehmenden Digitalisierung viele Krankenhäuser ihre IT-Sicherheitsstruktur noch einmal überdenken sollten. So entdeckten in Neuss hinzugerufene Experten von G Data, einem Anbieter von Anti-Viren-Software, auf den Klinikservern laut LKA nicht nur Ransomware, sondern noch weitere Computerviren. Dass Neuss Glück im Unglück hatte, weil – nach Erkenntnissen der Staatsanwaltschaft Köln – weder größere Datenbestände beschädigt wurden oder unberechtigt aus dem Haus gelangten, tröstet da nur wenig.

Axel Wehmeier, Vorstandschef von Telekom Helthcare Solutions GmbH, appelliert daher an die Krankenhäuser, sich zukünftig stärker an den üblichen IT-Sicherheitsstandards der Industrie zu orientieren (siehe Interview Seite 72). Bei der Telekom, die stark das vernetzte digitale Krankenhaus der Zukunft promotet, ist man angesichts der Vorgänge in Neuss offenbar etwas nervös. Das Krankenhausinformationsystem sowie eine App für das dortige Modellprojekt „Visite 2.0” zur digitalen Vernetzung stammen aus Wehmeiers Haus.

IT-Abteilungen oft unterfinanziert
Horst Martin Dreyer von i-Solutions betrachtet die Situation besonders in vielen kleineren Häusern mit Sorge. „Viele IT-Abteilungen kämpfen angesichts der Finanzsituation vieler Kliniken mit immer knapper werdenden Ressourcen, stehen aber andererseits einer wachsenden Komplexität der IT-Strukturen gegenüber”, sagt Dreyer. Er fordert ein Umdenken in den Chefetagen, was das Thema Sicherheit angeht. Das bedeute nicht nur mehr Investitionen in Technik und Personal, sondern vor allem auch die Einsicht, dass IT-Sicherheit eine strategische Aufgabe sei, die sich nicht im einmaligen Aufstellen neuer Technik erschöpfen dürfe. „Mögliche Sicherheitslücken müssen regelmäßig im Qualitätsmanagement analysiert werden. Da darf man nicht stehenbleiben”, warnt Dreyer. Ziel müsse sein, sich so nah wie möglich an den Sicherheitsvorgaben des sogenannten BSI-Grundschutzes zu orientieren. Wie sollten die Krankenhäuser aus Expertensicht nun konkret auf die aktuelle Bedrohung durch Cyberattacken reagieren? Zunächst einmal „systematisch die eigene Sicherheitsstruktur analysieren und eine methodische Bedrohungs- und Schwachstellenanalyse vornehmen”, rät Thomas Jäschke. Viele Fehler und Nachlässigkeiten werden so entdeckt – etwa das versäumte Einspielen der neuesten Programm-Patches, das ungezügelte Freigeben von Zugriffsrechten oder die fehlende Datenseparierung im Netzwerk. Sinnvoll ist unter Umständen auch ein sogenannter Penetrationstest, bei dem ein zertifizierter Hacker versucht, in das Firmennetzwerk einzudringen, um Schwachstellen offenzulegen. „Das ist allerdings nicht ganz billig. So ein Test kann je nach Größe des Hauses schnell bis zu 30.000 Euro kosten”, sagt Thomas Jäschke.

Backupstrategie überprüfen
Angesichts der Schwere der jüngsten Attacken ist eine Überprüfung der Backup-Strategie extrem wichtig – und eine forensische Datenanalyse, damit das Backup sicher wieder in das System eingespielt werden kann. Das größte Sicherheitsrisiko bleibt aber der Mensch, weil Mitarbeiter oft unbedacht unbekannte Anhänge in E-Mails öffnen. „Beim Faktor Security Awareness müssen die Krankenhäuser massiv ansetzen. Gerade bei häufigem Mitarbeiterwechsel ist dieser Punkt immer wieder zu prüfen”, so Dreyer.