Erpressbare Krankenhäuser

Letztes Jahr fielen rund ein Drittel – 81 von 236 – Gesundheitseinrichtungen des britischen National Health Service (NHS) einem Angriff mit der Erpressungssoftware WannaCry zum Opfer. Derlei Ransomware-Befall könnte auch deutschen Krankenhäusern jederzeit drohen. Es gilt deshalb, schnellstmöglich mit gezielten Abwehrmaßnahmen vorzubeugen.

Digitalisierung bedeutet einen enormen Fortschritt für das Gesundheitswesen. Schließlich sorgen digital gestützte Prozesse und vernetzte Untersuchungsgeräte für schnellere Abläufe und somit mehr Effizienz im Krankenhaus- und Praxisalltag: Kein Arzt muss heute mehr mit Patientenakten unter dem Arm auf Visite gehen, keine Krankenschwester mehr hastig handschriftlich erfasste Rezepte und Anweisungen entziffern, und Untersuchungsdaten lassen sich problemlos archivieren, bis die Aufbewahrungsfristen abgelaufen sind.

Ein Wermutstropfen besteht allerdings in der Vielzahl der immer wieder auftretenden Sicherheitslücken. Diese sind nie ganz auszuschließen, dazu ist die verwendete Code-Basis moderner Standard- wie auch Kliniksoftware einfach zu umfangreich und zu komplex. 

Übeltäter wussten derlei Lücken schon immer auszunutzen. In den letzten Jahren haben sie mit sogenannter Ransomware eine besonders lukrative Variante zum Einsatz gebracht: Ransomware wie WannaCry verschüsselt Datenbestände befallener Rechner – oder aber gleich das komplette System – und stellt die Daten erst nach Zahlung eines Lösegelds wieder her. Erpressung mittels Ransomware hat sich inzwischen zum wahren „Industriezweig“ entwickelt – sogar inklusive Service-Hotlines für Opfer, die nicht wissen, wie sie die geforderte Zahlung tätigen können, die meist in der Kryptowährung Bitcoin zu leisten ist. 

Nach einer Welle von Ransomware-Angriffen auf Privatanwender nehmen die Kriminellen heute vermehrt Firmen und öffentliche Einrichtungen ins Visier. Vor allem der Gesundheitssektor ist für sie ein lohnendes Ziel: Zum Alltag  in Krankenhäusern, Kliniken, Praxen und Gesundheitsbehörden gehört schließlich der Umgang mit eine Fülle von Gesundheitsdaten – und diese sind als sensible, teils kritische personenbezogene Daten für Kriminelle weitaus wertvoller als etwa Urlaubsfotos von Privatleuten: Die Höhe des gefordertern Lösegelds steigt schließlich mit dem angenommenen Wert der Datenbestände. Im Extremfall verschlüsselt Ransomware auch Patientendaten, die für eine anstehende oder gar laufende Operation vonnöten sind – zur Zahlung selbst einer hohen Lösegeldforderung gibt es dann schon aus Gründen des Zeitdrucks keine Alternative. 

Zudem wissen die Angreifer, dass öffentliche Einrichtungen aus Personal- und Budgetmangel ihre IT häufig nicht auf dem Stand der Technik halten können – und veraltete Software mit bekannten Sicherheitslücken ist ein beliebtes Einfallstor für Schadsoftware. So ergab eine Untersuchung des NHS Anfang dieses Jahres, dass keine einzige der 2017 von Ransomware betroffenen Einrichtungen über eine funktionierende Cybersicherheit verfügte. So reicht für den Befall mit Schadsoftware schon ein Klick eines einzelnen unvorsichtigen Endanwenders mit mangelhaft geschütztem Endgerät – und gestresste oder neugierige Mitarbeiter sind durch eine geschickt formulierte „Phishing“-E-Mail allzu leicht zu einem solchen unvorsichtigen Klick zu animieren. 

Gegenmaßnahmen gegen Ransomware

Dennoch sind Gesundheitseinrichtungen den Erpressern nicht hilflos ausgeliefert. Gefordert ist lediglich die konsequente Umsetzung einiger durchdachter Abwehrmaßnahmen. 

Das wichtigste Hilfsmittel gegen Erpressersoftware sind regelmäßige Backups, möglichst nach der sogenannten „3-2-1“-Regel: Man erstelledreiKopien jeder Datei, diese auf mindestens zweiverschiedenen Speichermedien (also nicht nur auf lokalen Festplatten, sondern auch z.B. auf Bandmedien und/oder in der Cloud) sowie eineDatenkopie an einem anderen Standort (in einem Backup-Rechenzentrum oder eben wiederum in der Cloud). Konsequente Datensicherung vermeidet Ransomware-Befall zwar nicht, jedoch reduziert sich der maximal mögliche Schaden auf den Aufwand und Produktivitätsausfall bis zur Wiederherstellung der – an anderer Stelle noch unverschlüsselt verfügbaren – Daten. 

Digitale Arbeitsplätze

Besonders einfach lassen sich Arbeitsumgebungen von Mitarbeitern wiederherstellen, wenn es sich um zentral gehostete digitale Arbeitsplätze handelt. Zahlreiche Krankenhäuser haben längst solche digitalen Workspaces auf Basis von Citrix-Infrastruktur im Einsatz. Dies erweist sich bei einem Ransomware-Befall als Segen, denn der Administrator kann jeden Arbeitsplatz mit wenigen Mausklicks rekonstruieren bzw. neu aufsetzen, während die Daten geschützt auf zentralen File-Servern und Backup-Systemen liegen.  

Als weitere hilfreiche Facette unterstützen moderne digitale Arbeitsplätze das sogenannte „Secure Browsing“, ein Verfahren für sicheres Surfen: Identifiziert die Digital-Workspace-Software eine Website als verdächtig oder gar schädlich, schaltet sie vom normalen Browser-Betrieb um auf einen in der Cloud betriebenen geschützten Browser. Für den Benutzer ist dieses Umschalten transparent. Es vermeidet, dass Endanwender sich über manipulierte Webseiten Schadcode einhandeln, ein weiterer gern gewählter Angriffsvektor für Cyberkriminelle.

Ergänzend bieten moderne Digital-Workspace-Lösungen wie Citrix Workspace eine Überwachung des Datenverkehrs mittels künstlicher Intelligenz: Algorithmen auf Basis maschinellen Lernens (Machine Learning, ML) erkennen sehr schnell Abweichungen vom statistisch ermittelten Sollzustand, also dem zu erwartenden Anwenderverhalten. So kann eine ML-basierte Sicherheitssoftware wie etwa Citrix NetScaler den Anwender warnen und potenziell schädliche Datenübertragungen echtzeitnah unterbinden. Machine Learning hat sich zum Beispiel als hilfreich dabei erwiesen, Eindringlinge aufzudecken, die mittels gestohlener Login-Daten ins interne Netzwerk gelangt sind. Abläufe wie Pop-up-Fenster („Wollen Sie wirklich...?“), Warnungen an die IT-Abteilung oder automatisches Sperren laufender Datenübertragungen lassen sich dabei per Regelwerk als Automatismus hinterlegen und bei Bedarf anpassen.

Risiken minimieren

Angriffe auf digitale Umgebungen, beispielsweise mittels Ransomware, lassen sich leider nicht von vornherein ausschließen. Denn in er digitalen Welt herrscht ein steter Wettlauf zwischen Angreifern und Verteidigern, und beide Seiten lernen kontinuierlich hinzu. Doch mit konsequenten Backups, digitalen Workspaces, Machine-Learning-basierter Überwachung des Netzwerkverkehrs und automatisierten Workspace-Management-Prozessen lässt sich das Zeitfenster, das Übeltätern zur Verfügung steht, ebenso drastisch minimieren wie der Schaden, der durch erfolgreiche Angriffe entstehen kann. 

Ganz ohne Risiko geht es nicht, das weiß jeder Arzt im Krankenhaus. Aber Risiken sollte man auf das Mindestmaß reduzieren, um Schaden vom Krankenhausbetrieb, den Mitarbeitern und Patienten abzuwenden. Die technischen Möglichkeiten dafür stehen jedenfalls zur Verfügung.