Wenn Ransomware Krankenhäuser überfällt

Heute startet in Berlin die Fachmesse für IT in der Medizin – die ConHIT. Bis zum 21. April werden Themen rund um das Motto „vernetzte Medizin“ besprochen. Der ConHIT-Kongress greift den Themenschwerpunkt „IT-Sicherheit im Gesundheitswesen“ auf. Doch wie steht es eigentlich um die IT-Sicherheit sogenannter KRITIS-Sektoren (KRITIS= Kritische Infrastrukturen) wie Energie, Finanzen, Gesundheitswesen und Transport?

Nun ja – Die stetige Verfügbarkeit von Daten, aber auch komplexe Zugriffsberechtigungen sind heutzutage Voraussetzungen für ordnungsgemäße Arbeitsabläufe in Krankenhäusern und medizinischen Institutionen. Die ConHIT-Veranstalter haben erkannt, dass nur ein ausgefeiltes IT-Sicherheitssystem sensible Gesundheitsdaten vor unbefugten Zugriffen Dritter schützen kann. Mit Ransomware-Angriffssimulationen sollen den Teilnehmern der Messe korrekte Verhaltensweisen im Ernstfall erläutert werden.

Ransomware verschlüsselt Krankenhausdaten

Erst im Februar dieses Jahres musste das Lukaskrankenhaus in Neuss das IT-System herunterfahren, um einen Befall von hochsensiblen Patientendaten zu verhindern. Schuld war eine Ransomware wie TeslaCrypt. Der Auslöser war wie so oft das unbewusste Öffnen eines schädlichen E-Mail-Anhangs. Die Probleme im Krankenhaus waren von erheblichem Ausmaß. Die Einrichtung, die schon mehr als zehn Jahre fast ausschließlich „online“ arbeitet, war in ihrem Betrieb stark eingeschränkt. Normalerweise können die Ärzte Patientenbefunde auf Tablets anschauen. Nun mussten sie wieder zu Papier und Stift greifen. Herzinfarktpatienten wurden sogar auf umliegende Krankenhäuser verteilt.

Das Beispiel zeigt gut, inwieweit medizinische Einrichtungen bereits vernetzt und damit angreifbar sind.

BSI-Bericht zu Ransomware

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) greift in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2015 ein Beispiel über einen Ransomware-Angriff auf ein Krankenhaus auf. Die Quintessenz aus dem Kapitel Schadsoftware ist der Zuwachs von Bedrohungen durch Schadprogramme (z. B. Verschlüsselungstrojaner) sowohl für private Anwender als auch für Unternehmen und Behörden. Das BSI rät, IT-Sicherheit als Gesamtkonzept zu begreifen. Dazu gehören auch die Mitarbeiter eines Krankenhauses mit Zugang zur IT-Infrastruktur.

Schäden für Unternehmen durch Ransomware

Das Ausmaß bei Ransomware-Angriffen auf Unternehmen kann erhebliche Folgen haben. Potentielle Schäden lassen sich in Eigenschäden, Reputationsschäden und Fremdschäden kategorisieren. Am Beispiel des Krankenhauses werden unter Eigenschäden alle Kosten durch Betriebsbeeinträchtigungen bzw. -unterbrechungen subsummiert. Das sind z.B. Kosten, die bei Ausfall einer Behandlung oder auch zur Wiederherstellung von Daten anfallen. Darunter fällt auch die etwaige Zahlung des Lösegelds, um an den Entschlüsselungs-Code zu gelangen.

Daneben ergeben sich Fremdschäden. Bei Krankenhäusern kann das die Nichterfüllung einer Leistung am Patienten sein. Insbesondere bei Kritischen Infrastrukturen können die Fremdschäden potenziell sehr hoch sein.

Auch Reputationsschäden entstehen neben den oben genannten. Die Berichte über das Lukaskrankenhaus haben sich beispielsweise auch auf das Ansehen des Hauses ausgewirkt.

Schutz vor Ransomware

Es gibt diverse Präventionsmaßnahmen, um das IT-System von Unternehmen und Behörden abzusichern. Neben einem aktuellen Betriebssystem, dem neusten Virenschutz und dem Erstellen von Back-Ups muss vor allem an die Awareness der Mitarbeiter appelliert werden. In Mitarbeiterschulungen sollte auf zwei ganz bedeutende Infektionswege für Schadprogramme hingewiesen werden: Das ist zum einen das Einschleusen durch unbedarftes Öffnen von Anhängen in E-Mails, wie es im Lukaskrankenhaus in Neuss der Fall war – und zum anderen der Besuch von kompromittierten Webseiten im Internet (Drive-By-Exploits).

Fazit

Die Bedrohungslage ist heikel. Ransomware wird eines der beherrschenden IT-Sicherheitsthemen 2016 sein, weil die Verschlüsselungstrojaner für Cyber-Kriminelle ein lukratives Geschäft sind. Trotz massiver Berichterstattung und Aufklärung verbreiten sich Locky und TeslaCrypt weiterhin sehr schnell. Es bleibt nichts Anderes übrig, als sich ein gutes IT-Sicherheitskonzept zu überlegen und umzusetzen.

IT-Systeme können im Gesundheitswesen viele ihrer Stärken erst durch aktiven Datenaustausch ausspielen. Auch deshalb sind Messen wie die ConHIT in Berlin wegweisend für Krankenhäuser und medizinische Institutionen, wenn es um Chancen und Risiken von Big und Smart Data geht.

Autor , ESET