Cyberattacken sind auch im Gesundheitswesen präsenter denn je. Marc Ruef konnte sich mit Anna Birkenmeier im Medinside zur aktuellen Lage im Rahmen eines Interviews austauschen und erklärt, wieso Spitäler nach wie vor schlecht vor Angriffen geschützt sind. Dabei sei das Ziel der Angreifer klar: So einfach wie möglich viel Geld zu verdienen, denn Cybercrime hat sich zu einem lukrativen Geschäftsmodell entwickelt.

Was für ein Motiv hat eine Hackergruppe, wenn sie die IT-Infrastruktur einer Psychiatrie oder eines Spitals lahmlegt?

Cybercrime ist zu einem Geschäftsmodell geworden, bei dem der klassische Grundsatz verfolgt wird, mit möglichst wenig Aufwand möglichst viel Geld zu verdienen. Bei einer Ransomware werden Daten verschlüsselt, so dass diese durch das Opfer «freigekauft» werden müssen.

Wie gehen die Hacker konkret vor?

In der Regel wird eine normale Infektion der Zielumgebung angestrebt, wie man das seit Jahrzehnten von Viren und Würmern kennt. Danach wird sich Zugriff auf Daten erschlichen und diese exfiltriert, um einen zusätzlichen Faustpfand zu haben. Erst dann werden die Daten verschlüsselt und das Opfer über seine missliche Lage informiert. Dieses wird dann zu einer Lösegeldzahlung gedrängt.

Wer steckt hinter solchen Hackergruppen und wie hoch sind die Lösegeld-Beträge in der Regel?

Gut organisierte Banden sind um derlei Ransomware-Infektionen bemüht. Früher wurde ein pauschales Lösegeld, unabhängig von angegriffenem Unternehmen und betroffenen Daten, verlangt. Heute nehmen sich die Kriminellen mehr Zeit, versuchen den Wert der Daten zu verstehen und dementsprechend personalisierte Kampagnen umzusetzen. Fünfstellige oder in Ausnahmefällen gar sechsstellige Lösegeldforderungen sind durchaus möglich. Jedes Unternehmen sollte sich selber fragen: Wo ist unsere Schmerzgrenze?

Wie muss/soll ein Spital in solch einem Fall reagieren?

Auf eine Kommunikation mit der Täterschaft sollte vorerst verzichtet werden. Es gilt unter Hochdruck Spezialisten beizuziehen, die den Ursprung und die Beschaffenheit der Infektion identifizieren können. Danach kann entschieden werden, wie mit dem Fall umgegangen wird. Im besten Fall kann ein Backup eingespielt werden … und im schlechtesten muss man halt der Lösegeldzahlung nachkommen.

Wie wahrscheinlich ist es, dass die Psychiatrie ihre Systeme selbst wiederherstellen kann ohne ein Lösegeld zu zahlen?

Täter kopieren in der heutigen Zeit die Daten, bevor sie verschlüsselt werden. Selbst wenn eine Organisation die verschlüsselten Daten wiederherstellen kann, kann mit einer Veröffentlichung der gestohlenen Daten gedroht werden. Da es sich im Gesundheitsumfeld oft um sehr heikle und besonders schützenswerte Daten handelt, sind solche Fälle besonders problematisch. Ein Backup ist also nicht immer die Lösung.

Wie kann sich ein Spital gegen Angriffe schützen?

Man kann nicht Digitalisierung zelebrieren, ohne ebenfalls Cybersecurity zu machen. Wer ein solches Risiko eingeht, muss mit einem empfindlichen Schaden rechnen. Klassische Mechanismen, wie Härten von Systemen, Patching, Netzwerksegmentierung, Firewalling und Antiviren-Lösungen können massgeblich dabei helfen, kein lohnendes Ziel zu sein. Nur so kann man das Geschäftsmodell der Kriminellen unattraktiv machen.

Aus Ihrer Erfahrung: sind die Spitäler und Gesundheitseinrichtungen diesbezüglich gut aufgestellt?

Nein. Der Fokus und die Informationskultur im Gesundheitsbereich widersprechen den Anforderungen der Cybersicherheit. Hier muss ein Umdenken stattfinden, um die Bedürfnisse beider Welten miteinander vereinen zu können. Eine besonders komplexe Herausforderung, um die man jedoch nicht herumkommen wird. Solange man das nicht tut, sind Mitarbeiter und Patienten die wahren Opfer, denn diese können sich nicht aus eigener Kraft gegen digitale Übergriffe wehren.

Links

• https://www.medinside.ch/cyberattacken-%C2%ABspitaeler-sind-schlecht-geschuetzt%C2%BB-20231027

Tags