Krankenhäuser und Arztpraxen sind ein beliebtes Angriffsziel von Kryptotrojanern

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

Erpressungsversuche über Ransomware boomen. Die Verschlüsselung führt zum Totalausfall aller Systeme. © nicescene – stock.adobe.com

Der diesjährige Internistenkongress setzte deutliche Schwerpunkte im Digitalen. Thematisiert wurde auch, was vielen Ärzten noch Science-Fiction zu sein scheint, aber längst Realität ist: Cyberkriminalität – ein Phänomen, das die medizinische Versorgung in ihren Grund­festen gefährden kann. Cyberkrieger wissen sowieso, dass die medizinische Versorgung zu den neuralgischen Punkten eines Landes gehört.

Zuerst fallen nur ein paar Befundarbeitsplätze in der Radiologie aus. Dann werden es mehr. Auf einmal ein Totalausfall der CT-Bildgebung. Der Virus, der über einen USB-Stick eingeschleust wurde, breitet sich aus. Immer mehr Rechner des Hauses werden von ihm befallen – Belegungspläne werden an die Wand gemalt, es dürfen keine Notfallpatienten mehr aufgenommen werden und kritische Patienten müssen in andere Kliniken verlegt werden.

Dieses Szenario spielte sich Anfang Februar in der Berliner Charité ab – zum Glück nur als Übung. Zwei Jahre zuvor waren solche Szenen im Lukas-Krankenhaus in Neuss erschreckende Realität. In dem als digitalem Vorzeigekrankenhaus geltenden Haus hatte sich ein Erpressertrojaner eingenistet und blitzschnell verbreitet. Sein Ziel: Die Dateien im Netzwerk so zu verschlüsseln, dass ein Zugriff darauf für das Krankenhaus unmöglich wird.

Über eine Nachricht auf den infizierten Rechnern forderten die Erpresser Lösegeld für die Software, mit der die Dateien entschlüsselt werden können. Der Kampf um den Datenzugriff dauerte mehrere Tage, eingeschaltet waren auch das Landeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Krankenhaus konnte sich letztlich über das Einspielen eines Back-ups retten, Lösegeld wurde keines gezahlt – aber der Kampf gegen den Trojaner hat rund eine Million Euro gekostet und viele Zweifel aufkommen lassen.

15 Stellen für mehr Sicherheit, alle außerhalb der IT

Seitdem sind zwei Jahre vergangen – was haben die Kliniken gelernt? Martin Peuker, CIO und Leiter des Geschäftsbereichs IT der Charité, erzählt auf dem Internistenkongress, was die Hauptstadtklinik in die Wege geleitet hat, um sich vor Cyberangriffen zu schützen. Grundlegend seien dabei organisatorische Maßnahmen gewesen.

Geteiltes Passwort ist gar kein Passwort

Im Gesundheitswesen gibt es erheblichen Nachholbedarf, was die digitalen Sicherheit betrifft. Das zeigte eine Analyse der Versicherer. Die Defizite beginnen schon bei so einfachen Dingen wie dem Passwort zum Praxissystem: So nutzten 22 von 25 Praxen sehr einfache Passwörter (wie: Behandlung oder Praxis) oder gar keine. In 22 von 25 Praxen teilten sich mehrere Nutzer ein Kennwort. Und in 20 von 25 Praxen hatten alle Benutzer Admin-Rechte.

Quelle: IT-Sicherheitsüberprüfung des GDV, Dez 2018

„Das klingt vielleicht nicht nach Rocket Science“, so Peuker, doch habe die Charitè so viel in Sachen Cybersicherheit aufholen können. Heute gebe es mit der Stabsstelle Informationssicherheit, der Datenschutzabteilung und dem Datenschutzmanagement 15 Personen außerhalb der IT, die sich auf organisatorischer Ebene um Datenschutz und Informationssicherheit kümmern – obwohl keine der Maßnahmen in einer DRG-Pauschale mitfinanziert sei. Zu den technischen Maßnahmen gehörten die Separierung von Netzwerksegmenten, die Schaffung von Redundanz durch zwei Rechenzentren und der Endgeräteschutz über z.B. Rechtetrennung, lokale Firewall­einstellung und verbesserte Antivirenlösungen. Dazu sei ein Mobile Device Management implementiert worden – „die Zukunft ist nicht nur digital, auch mobil“, so Peuker.

Den Ausnahmezustand üben – wer ist eigentlich betroffen?

Ziel der Stabsübung Anfang des Jahres sei es dann gewesen, Abläufe im Falle eines möglichen Eingriffs zu üben und die von der IT ergriffenen Maßnahmen zur technischen Bewältigung des Szenarios mit der Krisenstabsarbeit im Krankenhaus zu verzahnen. Wie verhalten sich Ärzteschaft, Pflegekräfte und anderes Personal, welche Maßnahmen müssen ergriffen werden? Welche Bereiche sind von einem solchen – vermeintlich rein technischen – Szenario überhaupt betroffen?

Auch das evangelische Krankenhaus in Gießen ist Vorreiter in Sachen „Neuland“. Das papierarme Krankenhaus verfolgt schon länger eine gezielte Digitalisierungsstrategie, die digitale Visite ist längst Teil der Prozesse. Sebastian Polag ist Geschäftsführer der Klinik. Er hat die Hacker sogar selbst eingeladen. Allerdings musste er sie auch bezahlen (im sehr niedrigen fünfstelligen Bereich): Die Berufshacker sollten für ihn einen Offsite- und einen Vor-Ort-Pentest durchführen, also Penetrationstests, die Sicherheitslücken ausfindig machen.

Bevor er den Profihackern aber am 13. August 2018 für 48 Stunden freie Hand ließ, erfolgte eine Selbsteinschätzung, die Sicherheitsentscheidungen nach sich zog. Dazu gehörte die konzernweite Sperrung der USB-Ports, die Erhöhung der E-Mail-Sicherheit über die Sperrung von Anhängen, die Verschlüsselung aller Mobile Devices, die Aktualisierung des Netzwerkplans und die Überprüfung von Firewalls, Servern, Switches, WLAN und Firmware.

Die größten Schwachstellen verstecken sich in der Software!

Dank dieser Vorbereitung ist es den Hackern – die auch in leere Büros eindrangen und z.B. über den Drucker Eingang suchten – tatsächlich nicht gelungen, in das System einzudringen. Von außen also kein Zugriff möglich. Von innen hingegen konnten sie Schwachstellen nutzen, etwa die unzureichende Trennung der internen Cluster, was einem Angreifer der Strahlentherapie auch gleich noch den Zugriff auf die Herzkatheter ermöglichen könnte.

Das Bemerkenswerte sei aber gewesen, so Polag, dass sich zugekaufte Software als die größte Schwachstelle offenbarte: das Krankenhausinformationssystem, die Patientenakten, Archivsysteme und medizintechnische Software und Applikationen. Das Krankenhaus zog hieraus eine harte Konsequenz: Bei relevanter Software führt das Haus heute Pentests auf eigene Kosten durch, um sich keine Sicherheitslücken ins Haus zu holen. Erschreckend.

In den Praxen lassen Mitarbeiter den Virus oft selbst rein

Und bei den Niedergelassenen? Ein- bis zweimal in der Woche wird beim bayerischen Landesamt für Datenschutz ein Unternehmen – darunter viele Arztpraxen – mit der Schreckensmeldung vorstellig, das System sei von einem Schadprogramm befallen. Häufigstes Einfallstor für Schadprogramme ist die „Schwachstelle Mensch“, sagt Andreas Sachs, der beim Bayerischen Landesamt für Datenschutz für Cybersicherheit und Technischen Datenschutz verantwortlich ist.

Der klassische Fall beginnt mit dem Mitarbeiter, der einen Anhang öffnet, weil in der E-Mail auf eine offene Rechnung verwiesen wird. Diese Mails können täuschend echt geschrieben sein und sogar von einem bekannten Account stammen. Der Mitarbeiter kann die Rechnung nicht zuordnen, er vermutet eine falsche Adressierung und löscht die Mail. Da der Antivirenscanner nicht angeschlagen hat, denkt er sich nichts. Doch im Hintergrund macht der Schadcode seine Arbeit. Manche Eindringlinge sind heute sogar in der Lage, im Vorfeld den Kontostand der Praxis oder des Krankenhauses auszuspähen, um eine Summe exakt in der zur Verfügung stehenden Höhe zu fordern, so der Experte.

Selbst die Datensicherung kann vom Virus befallen sein

Verschlüsselt sind dann auch Dateien auf den zentralen Servern und ganze Datenbanken. Mit einer funktionierenden Datensicherung gibt es eine Chance, das System wieder zum Laufen zu bringen. Aber das dauert in der Regel mehrere Tage und es ist auch nicht gewiss, dass es funktioniert: Größere Einrichtungen werden heute von so gewitzten Programmen angegriffen, dass auch die Datensicherungen vor der heimtückischen Verschlüsselung nicht sicher sind.

Um für diese realen Bedrohungen Awareness zu schaffen, führt das Bayerische Landesamt gerade gezielt Prüfungen in Arztpraxen durch. Dabei schauen sie auf die technische und organisatorische Eignung und Wirksamkeit der automatisierten Back-ups und die Praxis des Zurückspielens von Back-ups, den Anschluss des Praxisverwaltungssystems oder von Netzwerklaufwerken an das Internet und die Sensibilisierung der Mitarbeiter zum Thema Kryptotrojaner und Phishing.

Als Zwischenergebnis konnte die Behörde schon festhalten, dass die Praxis-IT oft ans Internet angeschlossen ist, sodass eine Infektion durch Ransomware nicht nur wahrscheinlicher ist, sondern bei Befall auch mit einem größeren Schadens­ausmaß zu rechnen ist. In einigen Praxen waren offensichtlich auch die Back-up-Konzepte nicht ausreichend und es fehlten Routinen, Übungen und Tests des Einspielens von Datensicherungen. „Einziger Lichtblick der Prüfung“ sei gewesen, dass die Arztpraxen von der Bedrohung durch Ransomware wussten. Das ist gut – es reicht aber leider nicht.