15.01.2024 – Kategorie: Health – IT

Cybersecurity: Krankenhäuser besser schützen

Die Anzahl der Cyberangriffe nimmt immer weiter zu, insbesondere auf die kritische Infrastruktur. Gefragt ist Echtzeit-Cybersecurity.

Die Anzahl der Cyberangriffe nimmt immer weiter zu, insbesondere auf die kritische Infrastruktur. Sowohl staatliche als auch private Cybersysteme, auch im Gesundheitssektor, welcher zu den KRITIS zählt, sind gefährdet. Eine umfassende Plattform für Echtzeit-Cybersecurity und operativer Transparenz mithilfe künstlicher Intelligenz kann hier Abhilfe schaffen. Besonders notwendig hier der Echtzeitschutz.

Digitale Systeme kritischer Infrastrukturen (KRITIS) werden immer häufiger Opfer von Cyberattacken. Dementsprechend müssen sie besonders geschützt werden, vor allem die am stärksten betroffenen Bereiche, zu denen zweifellos mittlerweile die OT zählt. Die häufigsten und gefährlichsten Arten von Angriffen sind hier solche, die eine Unterbrechung kritischer Prozesse oder Systeme zur Folge haben.

Dazu können Angriffe gehören, die zu Geräteausfällen, z.B. dem Abschalten von Beatmungsgeräten, Prozessabschaltungen, wie heruntergefahrene Server, oder sogar zu physischen Schäden durch Explosionen von Schaltkreisüberlastungen führen. Gegen diese Angriffe, genauso wie gegen Ransomware, muss man sich zweifelsohne wappnen. Denn sie bedeuten eine akute Gefährdung von Leib und Leben der Patienten. Zudem können sie erhebliche Störungen und finanzielle Verluste verursachen.

Ohne Cybersecurity droht Verlust von Daten, Geld und Leistung

Dies sind einige der bemerkenswerten Cyberangriffe auf Krankenhäuser seit 2020:

  • Im September 2020 starb eine Patientin in Düsseldorf, nachdem ihr Rettungswagen wegen einer Cyberattacke auf das dortige Universitätsklinikum umgeleitet werden musste.
  • Im November 2020 wurde ein universitäres Gesundheitsnetzwerk in Vermont Ziel eines Cyberangriffs, bei dem 5.000 Systeme gestört wurden und 300 Mitarbeiter beurlaubt wurden. Die Kosten des Angriffs wurden auf 1,5 Millionen Dollar pro Tag geschätzt.
  • Im August 2021 wurde in Dutzenden von Krankenhäusern in West Virginia und Ohio aufgrund eines Ransomware-Angriffs tagelang der Betrieb lahmgelegt.
  • Im Dezember 2022 führte ein Ransomware-Angriff in einem französischen Krankenhaus zu einem Datenleck und einer Unterbrechung des Betriebs.
  • Im Februar 2023 waren die Internetseiten mehrerer Kliniken in Franken aufgrund von DoS (Denial of Service) Attacken für mehrere Stunden nicht erreichbar.

Hier wird besonders deutlich, dass Unternehmen der Gesundheitsbranche anfällig für Angriffe auf ihre digitalen Infrastrukturen sind. Nicht zuletzt da sie häufig nicht ausreichend geschützt werden. Dieser Umstand, in Verbindung mit der qualitativen und quantitativen Fülle an Zielen, so z.B. Patientendaten und Gerätestillstand, macht sie zu einem beliebten Opfer. Dies ist ein Umstand, welcher bei massiven, parallelen Attacken auf beispielsweise Krankenhäuser einer Stadt oder Region schwerwiegende Folgen für die öffentliche Gesundheit haben kann.

Die Schwächsten als liebstes Ziel

Beliebtestes Ziel sind sensible Informationen über Patientinnen und Patienten. Diese Arten von Daten sind nicht nur hochsensibel, sondern auch für den Betrieb der Krankenhäuser von entscheidender Bedeutung.  Angreifer können sie nutzen, um erhebliche Störungen und finanzielle Verluste zu verursachen. Oftmals sind es Ransomware-Attacken in denen damit gedroht wird, widerrechtlich verschlüsselte Daten weiterhin unzugänglich zu lassen, zu löschen oder unverschlüsselt zu veröffentlichen.

Viren mit Cybersecurity rechtzeitig in Quarantäne schicken

Rechtzeitig zu erkennen, welche Daten bedroht sind und verschlüsselt werden, ist essenziell. Der Schlüssel hierfür ist es, verdächtige Aktivitäten bereits in den OT-Systemen zu erkennen. Besonders ungewöhnliches Verhalten und Abweichungen von normalen Betriebsmustern sind zu beachten. Auslöser für automatisierten Alarm können ungewöhnlicher Netzwerkverkehr, unautorisierte Zugriffsversuche oder ungewöhnliche Änderungen der Systemkonfigurationen sein.

Ist derartiges aufgefallen, müssen die infizierten Systeme sowie Dateien sofort in Quarantäne durch die benachrichtigten IT/OT-Security-Teams geschickt werden. Auch kritische Prozesse müssen abgeschaltet und Systeme aus Backups wiederhergestellt werden.

Aufgrund der hohen Frequenz von Angriffen und den immer ausgefeilter agierenden kriminellen Banden, ist sowohl Prävention als auch schnelle Reaktion gefragt. Denn sollten Daten oder Systeme einmal kompromittiert sein, bedarf es zügiger und entschlossener Hilfe in Form z.B. einer Hotline für dringende Probleme, Vor-Ort-Support und Remote-Unterstützung. Dies in Verbindung mit einer umfassenden Cybersicherheitsstrategie, senkt Risiken vor und während eine Angriffs. Hier mit inbegriffen sind auch regelmäßige Schwachstellenbewertungen, Netzwerküberwachung und Reaktionspläne für Zwischenfälle.

Bewährtes Framework nutzen

Empfehlenswert ist das NIST Cybersecurity Framework als Leitfaden für bewährte Praktiken auf hohem Niveau, da es eine einfache Sprache und einen umfassenden Überblick bietet. Jedes gute Cybersicherheitsprogramm sollte Schutzmaßnahmen (Identifizieren und Schützen), Erkennungsmethoden (Erkennen) und Pläne für die Reaktion auf Vorfälle (Reagieren und Wiederherstellen) umfassen.

  • Identifizieren (Identify)

Gute Sicherheit beginnt mit großer Transparenz. Da Krankenhäuser eine wachsende Anzahl von IoT-, BAS (Building Automation Systems)- und OT-Geräten in ihre Gesundheits- und Anlagensysteme integrieren, wird die Implementierung eines automatisierten Tools zur Bestandsverwaltung diesen Prozess vereinfachen. Empfehlenswert ist beispielsweise eine Lösung (ein Tool), mit dem sich das gesamte Ökosystem des Gesundheitswesens und die damit verbundenen Risiken an einem Ort überwachen lassen. Die Risikominderung hat Priorität, damit die Patienten sicher sind und die Einrichtungen funktionieren. Gute Prävention macht vieles leichter.

  • Schützen (Protect)

Cybersicherheitsteams im Gesundheitswesen sollten in ein starkes Identitäts- und Zugriffsmanagement und eine Netzwerksegmentierung investieren sowie ihre Mitarbeiter in Sachen Sicherheit schulen. Die Schaffung einer Kultur der Cybersicherheit ist entscheidend für den anhaltenden Erfolg dieser Bemühungen. Mitarbeiterinnen und Mitarbeiter sind sowohl die größte Schwäche aber auch die wertvollste Ressource.

  • Erkennen (Detect)

Um ein potenzielles Cybersecurity-Ereignis zu erkennen, sollten sowohl der Netzwerkverkehr als auch die Geräte-Baselines überwacht werden.  Eine Lösung für deren Erkennung, die mehrere Arten der Bedrohungserkennung kombiniert und eine Vielzahl von IT-, OT- und IoT-Protokollen unterstützt, um eine möglichst breite Abdeckung zu erreichen, eignet sich besonders gut. Außerdem sollte sie detaillierte Bedrohungsindikatoren wie Yara-Regeln, Paketregeln, STIX-Indikatoren, Bedrohungsdefinitionen und Schwachstellensignaturen bieten.

  • Reagieren (Respond)

Einen Plan für die Reaktion auf Cybersicherheitsvorfälle im Vorfeld zu entwickeln und zu implementieren, ist stets von Vorteil. Dieser sollte Verfahren zum Auffinden und Isolieren betroffener Geräte und Systeme sowie zur Kommunikation über den Vorfall mit den relevanten Parteien miteinschließen.

Wenn ein potenzielles Cybersecurity-Ereignis erkannt wird, sollte die Lösung zur Erkennung von Bedrohungen in der Lage sein, Warnmeldungen zu Vorfällen zu gruppieren, um den Sicherheits- und Betriebsmitarbeitern einen konsolidierten Überblick zu geben. Außerdem sollte das Tool kontextbezogene und umsetzbare Informationen wie IR-Playbooks und Bedrohungsdaten bieten, um schnell reagieren zu können.

  • Wiederherstellen (Revocer)

Darüber hinaus ist es wichtig, auch die Wiederherstellung im Blick zu haben und dafür einen Plan zu erstellen. Dieser sollte nicht nur die technischen Aspekte berücksichtigen, sondern – je nach Intensität und den Auswirkungen der Attacke – auch die Kommunikation in Richtung Mitarbeiter und Öffentlichkeit beinhalten. Gleichzeitig sollte kommuniziert werden, wie das Problem behoben werden kann. Die Bestandsverwaltungslösung sollte zudem eine schnelle forensische Analyse unterstützen, damit die beeinträchtigten Abläufe wiederhergestellt werden können. Hierfür sollten aktuelle Bestandsprofile zusammen mit einem Zeitrahmen für die beeinträchtigten Geräte bereitstehen. Ziel ist es, sie schnell wieder in den bekannten guten Zustand zurückzuversetzen.

Prävention und Reaktion gehen Hand in Hand

Mithilfe beständiger Präventionsmaßnahmen, regelmäßigen Penetrationstests und einem starken Partner, der die Sicherheit gebündelt organisiert, lassen sich Gefahren minimieren. Für Leib und Leben, insbesondere von Schutzbefohlenen wie den Patienten in den Krankenhäusern, muss Sicherheit oberste Priorität haben. Sonst wird aus einer digitalen Bedrohung schnell eine echte Lebensgefahr.

Will Roth

Der Autor: Will Roth ist VP DACH | EE | Baltic States bei Nozomi

Lesen Sie auch: Cyberattacken: Trotz hohen Risikos investiert der Gesundheitssektor zurückhaltend in mehr Sicherheit


Teilen Sie die Meldung „Cybersecurity: Krankenhäuser besser schützen“ mit Ihren Kontakten:


Scroll to Top