Seite wählen

Die jüngste Cyberattacke auf das Uniklinikum Düsseldorf zeigt auf bedrückende Weise, welche zentrale Bedeutung IT-Sicherheit im KRITIS-Bereich Healthcare zukommt. Digitale Prozesse in Kliniken, Arztpraxen und bei angebundenen Dienstleistern im Gesundheitswesen müssen kompromisslos abgesichert sein – sonst drohen desaströse Konsequenzen.

Am 10. September 2020 kam es am Universitätsklinikum Düsseldorf (UKD) zu einem schwerwiegenden IT-Sicherheitsvorfall in Folge eines Ransomware-Angriffs. Wie aus einem Bericht des nordrhein-westfälischen Justizministers Peter Biesenbach (CDU) hervorgeht, verschlüsselten Angreifer über Nacht unbemerkt 30 Server des Klinikums. Für die darauf gespeicherten Daten verlangten die Cyberkriminellen ein Lösegeld. Erst nach der Transaktion der geforderten Summe sollte der Entschlüsselungscode zur Rettung der Daten übermittelt werden.

Kritischer IT-Ausfall durch Ransomware

Durch den Angriff konnten Notfallpatienten nicht mehr aufgenommen und versorgt werden. Dies wurde einer lebensbedrohlich verletzten Patientin zum Verhängnis, die aufgrund des IT-Ausfalls in ein entfernteres Klinikum verwiesen werden musste. Die ärztliche Behandlung habe sich demnach um etwa eine Stunde verzögert, die Patientin verstarb kurze Zeit darauf. Aus diesem Grund wird gegen die Täter zusätzlich wegen fahrlässiger Tötung ermittelt.
Nach Informationen des BSI gelangten die Angreifer durch eine Sicherheitslücke in der Citrix-VPN-Software, die unter dem Namen „Shitrix“ (CVE-2019-19781) bekannt ist, in das Netzwerk der Klinik. Zwar wurde die Schwachstelle zeitnah nach Bereitstellung eines Patches durch den Hersteller im Frühjahr behoben, allerdings hatten die Cyberkriminellen zu dieser Zeit offenbar bereits ihre Backdoors in den Systemen angelegt. Der nachträgliche Patch schützt vor solchen Hintertüren nicht. Bereits im Januar hatte das BSI vor der Schwachstelle und den Folgen einer Ausnutzung gewarnt.
In einem zweiten Schritt folgte laut dem Justizministerium nun im September der eigentliche Angriff durch den Ransomware-Trojaner „DoppelPaymer“. Die Schadsoftware konnte durch die zuvor installierten Hintertüren via „Loader“ unbemerkt in das Netzwerk der Klinik geschleust werden. Aufgrund der eingesetzten Malware-Art wird hinter dem Angriff eine russische Hackergruppe vermutet, die sich auf Ransomware-Attacken auf Unternehmen und andere Organisationen spezialisiert hat.

Healthcare ist KRITIS

Der tragische Fall untermauert einmal mehr, welche zentrale Bedeutung der IT-Sicherheit im KRITIS-Umfeld und speziell im Gesundheitswesen zukommt. Die Absicherung der digitalen Prozesse steht auf einer Ebene mit der sonstigen technischen Ausstattung und professionellem Personal. Denn Fehler und Versäumnisse gefährden hier ebenso direkt Menschenleben wie Nachlässigkeiten in den anderen primären Ebenen. Aus diesem Grund sind im IT-Sicherheitsgesetz besonders hohe regulatorische Auflagen zur Absicherung digitaler Prozesse für KRITIS-relevante Kliniken definiert. So müssen etwa die digitalen Krankenhausinformationssysteme (KIS) redundant über Notfallpläne abgesichert sein, damit wichtige Patienten- und Behandlungsdaten auch bei Ausfällen oder Angriffen zugänglich sind. KRITIS-Einrichtungen haben zudem regelmäßig nachzuweisen, dass sämtliche verfügbaren Mittel zum erforderlichen Schutz ihrer Systeme zur Verfügung stehen. Die Sicherheit der Systeme gilt es stets auf dem Stand der Technik zu halten.
Aufbauend auf dem IT-Sicherheitsgesetz liefern die von der Deutschen Krankenhausgesellschaft (DKG) definierten branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus weiterführende Vorgaben. BS3 umfasst 168 Maßnahmen für den Aufbau einer resilienten Informationstechnik, die die medizinische Versorgung der Patienten sicherstellt. Der B3S-Standard betrifft in erster Linie Kliniken mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr, aber auch kleinere Häuser sollen von dem Maßnahmenkatalog profitieren. Darin enthalten sind auch Prozesse für Business Continuity Management, die eine Aufrechterhaltung des Betriebs bei einem Komplettausfall der IT ermöglichen sollen.

Schwierigkeiten bei der konkreten Umsetzung der Regulatorik

Die regulatorischen Vorgaben für Kliniken sind klar definiert. Offenbar hapert es aber in Teilbereichen an der Umsetzung. So beurteilte beispielsweise das BSI in einer jüngst erschienen Studie das Schutzniveau von KRITIS-relevanten Krankenhäusern und Laboren prinzipiell als gut. An der Umsetzung von technischen Schutzmaßnahmen durch die Betreiber gab es in der Regel wenig zu beanstanden, allerdings offenbarte die Untersuchung insbesondere in Krankenhäusern einige Defizite bei den organisatorischen IT-Sicherheitsmaßnahmen. Konkret bemängelt wurde in diesem Zusammenhang etwa unzureichendes Mitarbeiter-Training im Hinblick auf IT-Risikomanagement und IT-Sicherheitsmanagement, wie folgender Absatz der Ausarbeitung zeigt: „Darüberhinausgehende Einübung von Bewältigungsmaßnahmen im Rahmen eines Notfallmanagements (bspw. für manuelle Ersatzverfahren, die bei einem stunden- oder tageweisen Serverausfalls angewendet werden müssten) finden kaum statt.“

Vorhandene Schutztechnologien nutzen und Engpässe schließen

Vor dem Hintergrund einer fortschreitenden Digitalisierung im Gesundheitswesen und der zeitnahen Einführung der elektronischen Patientenakte ist ein weiterer Fokus auf Datensicherheit und Datenschutz unbedingt erforderlich. Wie schon aus der Untersuchung des BSI hervorgeht, sind die meisten Kliniken rein technisch ordentlich aufgestellt. Konkrete Angriffe von außen werden durch ein breites Sortiment an Schutzmechanismen adressiert, wie etwa Firewalls, DMZ, Routing, Spam- und Malware-Schutz, VPN und verschlüsselte Internetverbindungen.
Verbesserungsbedarf besteht jedoch bei technischen Schutzmaßnahmen, die eine aktive Teilhabe der Angestellten erfordert. So sieht das BSI etwa Akzeptanzprobleme bei der Verschlüsselung mobiler Speichermedien und E-Mails. In vielen Kliniken fällt zudem die Netzwerksegmentierung unvollständig aus. Dadurch sind Netze für Medizintechnik, Verwaltung, Applikationen und Patienten beziehungsweise Gäste nicht sauber voneinander abgetrennt. Diese Defizite erhöhen die Gefahr von unkontrolliertem Datenabfluss und der Verbreitung von Schadsoftware innerhalb der Krankenhaus-IT. Kontinuierliches Netzwerkmonitoring zur Detektion und Reaktion wenden ebenfalls nur wenige Krankenhäuser an, dasselbe Bild zeigt sich beim Blick auf zentralisierte Scans von E-Mails für die Abwehr von Malware oder Phishing-Angriffen.

Trotz aller technischer Schutzmaßnahmen lassen sich Sicherheitslücken in den eingesetzten Tools nie zur Gänze ausschließen, wie auch der aktuelle Fall in Düsseldorf beweist. Gleichfalls unterlaufen selbst gut geschultem Personal Fehler im alltäglichen Umgang mit Informationstechnik. Umso wichtiger ist daher eine ganzheitliche Sicht auf das Thema Cybersecurity, die zusätzlich zur präventiven Abwehr auch Maßnahmen für die Aufrechterhaltung zentraler Prozesse und den möglichst schnellen Wiederanlauf der betroffenen Systeme umfasst. Grundlage bildet hier der Aufbau und die beständige Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS). Darin verwalten und konzipieren Krankenhäuser sicherheitsrelevante Richtlinien und Methoden, die neben technischen Schutzmaßnahmen auch organisatorische Elemente wie IT-Risikomanagement und IT-Notfallmanagement umfassen.

Langfristig wird sich ein bedarfsgerechtes Schutzniveau in kleinen und größeren Kliniken nur durch eine konsequente Evaluierung und Priorisierung aller vorhandenen Prozesse gewährleisten lassen. Das BSI empfiehlt, dabei den primären Fokus auf den sogenannten kritischen Dienstleistungen (kDL) der stationären medizinischen Versorgung zu legen. Eine solche Beurteilung zeigt deutlich die wechselseitigen IT-Abhängigkeiten von zentralen Prozessen auf und ermöglicht dadurch eine Einstufung der Kritikalität von den einzelnen Vorgängen. Das Resultat ist eine bedrohungsorientierte Absicherung der Krankenhaus-IT nach dem Stand der Technik, die auch ökonomischen Gesichtspunkten standhält.

Versehentliche Attacke

In Düsseldorf läuft derweil die Entschlüsselung der kompromittierten Daten, die laut Auskunft der Uniklinik noch mehrere Wochen in Anspruch nehmen wird. Nachdem die Verantwortlichen Kontakt mit den Tätern aufgenommen und diese über die akute Bedrohungslage informiert hatten, händigten die Hacker den erforderlichen Entschlüsselungscode aus – ohne auf das Lösegeld zu bestehen. Der Angriff galt wohl der Heinrich-Heine-Universität Düsseldorf, die Uniklinik wurde nur zufällig Opfer der Ransomware-Attacke – das legt zumindest das Erpresserschreiben nahe, das nicht an das Krankenhaus gerichtet war. Die genaue Aufarbeitung der Cyberattacke durch Klinik, Justizministerium und BSI ist ebenfalls noch nicht abgeschlossen. Bislang wurde noch nicht kommuniziert, in welcher Ebene des Krankenhausnetzwerks die Hintertüren installiert waren und wie diese den Kontrollen der externen Sicherheitsspezialisten entgingen.

Myra schützt digitale Infrastrukturen im Gesundheitswesen

Myra sichert unter anderem Regierungswebseiten und Online-Portale von Bundesbehörden wie Infektionsschutz.de der Bundeszentrale für gesundheitliche Aufklärung (BZgA) sowie auch das Webportal des Bundesministeriums für Gesundheit (BMG). Über die Webseiten von BZgA und BMG versorgt das Bundesgesundheitsministerium die Bevölkerung etwa mit den wichtigsten Informationen rund um das Coronavirus.

Diesen Artikel teilen