Malware, Verschlüsselungstrojaner, Datenleaks, Passwortdatenbanken: technisches Spezialwissen und komplexe Abläufe sind für Anwender im Krankenhaus nicht mehr komplett zu erfassen. Für höheren Schutz der vernetzten Systeme ist die IT in der Pflicht - interdisziplinär zusammen mit Management und Klinikfachbereichen. Das war Thema beim 124. Health IT Talk Berlin Brandenburg im Juli 2021. Moderator war Dr. Adrian Schuster, Vorsitzender Landesvertretung Berlin-Brandenburg.BVMI e.V. – Berufsverband der medizinischen Informatiker.
IT-Sicherheit ist in der Gesundheitswirtschaft ein Dauerbrenner, dem sich der Health-IT Talk regelmäßig widmet. „Smarte“ Geräte in Kliniknetzen bieten enorme Angriffsfläche für Cyberkriminelle. Weltweit stieg die Zahl der Cyber-Angriffe gegen Krankenhäuser um 45 Prozent im vergangenen Jahr. Alle anderen Sektoren der Weltwirtschaft zusammen ergaben dagegen nur einen Anstieg um 22 Prozent. Global deutlich wird eine weitere Professionalisierung und Industrialisierung der Cybercrime-Welt. Entsprechend müssen Staaten, Organisationen, Unternehmen und Anwender ihre Strukturen, Prozesse und Absicherungen weiter ausbauen. Stefan Maith, Team Leader Public Sector Government/Healthcare/Education bei Check Point Software Technologies GmbH, Köln gab dazu im Health IT Talk einen Überblick.
Ransomware-Angriffe mit Erpressung
Eine Angriffstaktik sind Ransomware-Angriffe mit Erpressung des Opfers. Fakt ist: Die Attacke startet nicht mit der Schadsoftware. Davor steht die Phishing Mail als Einfallstor mit der bekannten Schwachstelle “Mitarbeiter”. Informations- und Cybersicherheit hat branchenübergreifend enorm an Bedeutung gewonnen. Wachstum auf der dunklen Seite der "Cyberfront" ist zu beobachten. Die Kriminellen sind bemüht, ihre Geschäftsmodelle zu optimieren, um höhere Renditen zu erzielen. Die Sicherheitsforscher von Check Point Research haben bei Cyberkriminellen eine neue Taktik beobachtet, wie diese ihre Lösegeldforderungen noch erpresserischer gestalten. Bereits seit längerem hat sich die doppelte Lösegeldforderung als gängige Praxis bei Ransomware-Angriffen etabliert. Dabei werden die Daten gestohlen und mit deren Veröffentlichung gedroht. Zeitgleich werden die Daten beim Unternehmen verschlüsselt, so dass sie für das Unternehmen nicht mehr zugänglich sind. Dies wird als doppelte Erpressung bezeichnet. Bei einer weiteren Vorgehensweise erhalten auch Kunden, Lieferanten, Patienten oder Partnerunternehmen des angegriffenen Unternehmens Lösegeldforderungen. Bei ihnen ist ihre Integrität durch die gestohlenen Daten gefährdet. Sie erhalten entsprechende Zahlungsaufforderungen.
Erste Fälle für die dreifache Erpressung fanden im Oktober 2020 in Europa statt. In einer finnischen Klinik für Psychotherapie mit 40.000 Patienten tauchte ein Datenleck in Verbindung mit Ransomware auf. Nachfolgend wurde eine große Summe des Lösegeldes von der Klinik gefordert. Doch auch einzelne Patienten erhielten Lösegeldforderungen in geringerer Höhe. Diese drohten die Kriminellen mit der Veröffentlichung von Aufzeichnungen aus Therapiesitzungen.
Das Angriffsschema mit doppelter Erpressung weist zwei neue Stufen auf. Es sind DDoS-Angriffe (Distributed Denial-of-Service) und Telefonanrufe bei den Geschäftspartnern des angegriffenen Unternehmens, um den Druck auf die Opfer zu erhöhen.
IOT - höherer Schutzbedarf der vernetzten Systeme
Experten warnen davor, dass Kriminelle vermehrt Internet of Things (IoT)-Geräte nutzen, um sich unerlaubten Zugang zu Netzwerken in Krankenhäusern zu verschaffen und lateral durch das System zu bewegen, Daten zu stehlen (Verkaufspreis pro Electronic Health Record zwischen 250 und 1000 Euro) und diese zu verschlüsseln sowie für den Alltag kritische Funktionen zu sabotieren.
Bei IoT verlangen mehr Geräte und mehr individuelle Verbindungspunkte zum Internet breiteren und höheren Schutzbedarf der vernetzten Systeme. IT und Medizintechnik müssen sich gegen Attacken rüsten. IoT-Geräte in Krankenhäusern vereinfachen Behandlungen, sie übernehmen die Überwachung von Patienten und die Dokumentation intelligent und automatisiert. Jedoch genießt in der Konzeption und bei der Herstellung der einzelnen Geräte die IT-Sicherheit selten eine hohe Priorität. Dieser Umstand, kombiniert mit der Tatsache, dass etwa die Hälfte der angeschlossenen Geräte, wie Ultraschall- und MRT-Geräte, auf veralteten Betriebssystemen laufen, die nicht mehr unterstützt oder gewartet werden, schafft eine entsprechend große Angriffsfläche für Hacker.
Es gilt, die unterschiedlichen Angriffswege zu sperren. Dazu ist volle Transparenz nötig. Ein umfassendes Konzept zum Schutz der Geräte kann erst dann entstehen, wenn die IT-Fachkräfte über alle Geräte, die auf deren Netzwerk zugreifen, vollständig informiert sind. Viele Unternehmen verlassen sich noch darauf, Geräte manuell zu finden und zu identifizieren. Das mag für traditionelle Server und Workstations als Umgebung funktionieren, kann aber nicht mit der Vielzahl der IoT-Geräte mithalten, da dies eine automatisierte Lösung für eine vollständige Abdeckung erfordert.
Sicherheit erhöht eine Zero-Trust-Netzwerksegmentierung. Seitliche Bewegung bedeutet, dass sich Hacker, sobald sie einmal in dem Netzwerk sind, frei bewegen können und bestimmte Geräte, wie Mailserver, ins Visier nehmen, um Schaden anzurichten oder auf wichtige Informationen zuzugreifen. Es braucht Programme, welche die Segmentierung des Netzwerks vereinfachen, wodurch sichere Bereiche auf der Basis von Zero Trust entstehen, die abgeschottet sind und den Zugriff nur legitimen Geschäftsanforderungen und autorisierten Personen gewähren.
Kernprozesse - und mehr
Gesetze forcieren mit Vorgaben die Weiterentwicklung beim IT-Sicherheitsgesetz 2.0 und KRITIS. Die Betreiber ausgewählter kritischer Infrastrukturen sind über das IT-Sicherheitsgesetz dazu verpflichtet, ein Mindestniveau der IT-Sicherheit einzuhalten. Der KRITISche Stammtisch untersucht seit Jahren dieses Themenfeld und vernetzt die Experten und Anwender. Konrad Christoph, Teamleiter Gesundheitswesen bei SHD, Dresden, und Mike Zimmermann, IT-Sicherheitsbeauftragter des Universitätsklinikums Carl Gustav Carus Dresden, informierten über den aktuellen Stand der gesetzlichen Regelungen sowie bei KRITIS. Der Schwellenwert von 30000 Fallzahlen p.a. als Messgröße bleibt bestehen, im Blick stehen verstärkt dabei Klinikverbünde und -ketten. Was sich ändert: Die Befugnisse des BSI weiten sich aus, mit erweiterten Kontroll- und Prüfungsbefugnissen. Angesagt ist eine aktive Schwachstellensuche und -beseitigung. Im Bußgeldkatalog steht künftig maximal 2 Millionen Strafzahlung (bisher 100000 Euro). Bei Kernkomponenten greifen Standards. Der Gesetzgeber kann Mindeststandards für kritische Komponenten definieren. Herstllerkontrole umfasst die einführung einer Vertrauenswürdigkeitserklärung, was die gesamte Zulieferkette betrifft. Ein einheitliches IT-Sicherheitskennzeichen gilt als transparentes Gütesiegel. Doch die Freude über diese Änderungen ist verfrüht. Details sind in den jeweiligen Rechtsverordnungen erst noch zu definieren.
Konrad Christoph wies besonders auf die Komplexität der Informationsverarbeitung und der damit verbundenen Verwundbarkeit hin. Sie betrifft nicht nur den Kernprozess als medizinische Behandlung, sondern auch die Unterstützungs- und Management-Prozesse.
Hier sei als Beispiel auf die Gebäudeleittechnik hingewiesen, man stelle sich vor, dass Klimaanlagensystem wird manipuliert, welche Auswirkung das auf dem laufenden Klinikbetrieb wie OP- oder Intensiv-Bereich hätte. Denn auch das Klimaanlagensystem hat u.a. Fernwartungszugänge und ist dadurch von außen erreichbar und damit angreifbar. Auch für diesen Mitarbeiterkreis sollte eine regelmäßige Awareness-Schulung geplant und durchgeführt werden.
Konrad Christoph merkte zum Bereich Einkauf an, dass jedes Gerät einen Lebenszyklus besitzt, unabhängig ob Investition oder Leihstellung, der bei der Beschaffung beginnt und bei der Außerbetriebsetzung endet. Hier sei besonders auf das Risiko bei der vernetzten Medizintechnik hingewiesen. Bei Beschaffungsbeginn sollte die DIN 80001-1 und ergänzend MDS2 (Manufacturer Disclosure Statement for Medical Device Security) in der Zusammenarbeit mit der Medizintechnik und IT noch stärkere Berücksichtigung finden.
Impulse beim Health IT Talk Berlin Brandenburg im Juli 2021 gab es genug. Für die Betreiber kritischer Infrastrukturen gilt das IT-Sicherheitsgesetz, wonach effektive Sicherheitsmaßnahmen zu etablieren sind. Merke: IT-Sicherheit ist interne Herausforderung, als Chefsache, und interdisziplinär als Pflicht für die IT zusammen mit Klinikfachbereichen. Die Unternehmensleitung hat die Verantwortung, für eine hinreichende Abwehr des Unternehmens gegen Cyberattacken zu sorgen. Überregionale Kooperation ist angesagt: Auf Grund der sehr großen Herausforderungen der Informationssicherheit in Kliniken sowie der fehlenden hochspezialisierten Ressourcen sollten die Überlegungen einer Zusammenarbeit von mehreren Kliniken – jenseits von Klinikkonkurrenzdenken - mehr Raum finden.
Beim Health-IT Talk am 9.8.2021 steht das Thema „Digitale Reifegradmessung“ auf dem Programm. Im KHZG ist die Reifegradmessung aller geförderten Kliniken im zweijährigen Abstand vorgesehen und wird praktisch durch das Konsortium "DigitalRadar" umgesetzt. Wie sieht das Reifegradmodell aus, wie wird es entwickelt, wie ergibt sich der Bezug zu bereits etablierten (internationalen) Modellen?
Health-IT Talk
Branchenprofis tauschen sich im monatlich stattfinden Health-IT-Talk Berlin-Brandenburg verbands- und fachrichtungsübergreifend zur Digitalisierung der Gesundheitswirtschaft aus. Die vier Partner (BVMI, KH-IT, SIBB, TMF) beschäftigen sich mit aktuellen Branchenthemen in Fachvortrag und Diskussion.
www.health-it-talk.de
Quelle Text: Wolf-Dietrich Lorenz
Foto:
(oben links) Stefan Maith, Team Leader Public Sector Government/Healthcare/Education bei Check Point Software Technologies GmbH, Köln
(oben rechts) Mike Zimmermann, IT-Sicherheitsbeauftragter des Universitätsklinikums Carl Gustav Carus Dresden
(unten) Konrad Christoph, Teamleiter Gesundheitswesen bei SHD, Dresden