Krankenhäuser im Visier von Cyberkriminellen

18.09.2020

Krankenhäuser im Visier von Cyberkriminellen

Cybersicherheit | Cyberattacken | Schutz

Am frühen Donnerstagmorgen ist es passiert. Die IT-Systeme der Uniklinik Düsseldorf sind ausgefallen. Nichts ging mehr. Inzwischen wurde von den Behörden bestätigt, dass es sich bei dem Vorfall um einen Hackerangriff handelt. Isabel Pfeiffer-Poensgen, Ministerin für Kultur und Wissenschaft in NRW, erklärte im Landtag, dass ein Erpresserschreiben zugeschickt wurde, welches allerdings nach Einschalten der Polizei zurückgezogen worden sei. Die Düsseldorfer Uniklinik zählt zu den größten Krankenhäusern in Nordrhein-Westfalen und behandelt jährlich bis zu 350.000 Patienten.

Durch den Hackerangriff ist ein Normalbetrieb im Krankenhaus nicht möglich. Der Rettungsdienst zur Notaufnahme musste eingestellt werden, bedürftigen Personen wird geraten, das Krankenhaus vorerst nicht aufzusuchen und anstehende Behandlungstermine wurden abgesagt oder verschoben.

Dies ist nicht der erste Vorfall, bei dem die IT eines Krankenhauses durch einen Hackerangriff außer Kraft gesetzt wird. Es kommt immer wieder vor, dass Krankenhäuser, Praxen oder Forschungsinstitute ins Visier von Cyberkriminellen geraten. Im Sommer 2019 wurde die Trägergesellschaft Süd-West des Deutschen Roten Kreuzes Opfer eines Ransomware-Angriffs. Betroffen waren 13 Krankenhäuser. Schlimmeres konnte durch eine schnelle Reaktion und das Herunterfahren der IT-Systeme verhindert werden. Dennoch konnten Ärzte und Pflegepersonal tagelang nur mit Papier und Stift arbeiten. Im Dezember 2019 breitete sich die Emotet Schadsoftware in einem Krankenhaus im bayerischen Fürth aus. Darüber hinaus berichtete das Handelsblatt, dass seit Anfang 2020 – und somit seit Beginn der Ausbreitung des Coronavirus’ in Deutschland – das Risiko von Cyberangriffen auf Krankenhäuser weiter angestiegen ist. Beispielsweise nutzten Cyberkriminelle, die der rechtsextremen Gruppe „Staatsstreichorchester” angehören, die angespannte Lage und schickten ein Erpresserschreiben an Gesundheitsminister Jens Spahn. Es enthielt die Aufforderung, 25 Millionen Euro auf ein Bitcoin-Konto zu überweisen, um so großflächige Hackerangriffe auf deutsche Krankenhäuser zu verhindern. Wie der Vorfall ausging, ist allerdings nicht bekannt.

Warum werden Krankenhäuser öfter Opfer von Cyberangriffen?

Der Vorfall in der Uniklinik Düsseldorf verdeutlicht, dass Cyberangriffe auf Krankenhäuser massive Auswirkungen haben. Die Versorgung der Patienten ist eingeschränkt, Behandlungstermine und Operationen müssen im Extremfall abgesagt werden und hochsensible Daten können in falsche Hände geraten. Dadurch können Hacker massiven Druck ausüben. Das wiederum macht Krankenhäuser zu einem lukrativen Ziel für Cyberkriminelle.

Gleichzeitig sind Krankenhäuser potenziell sehr anfällig für Cyberangriffe, denn viele verschiedene Personen haben Zugriff auf die komplexen, vernetzten Computersysteme. Das bedarf eines hohen Grads an IT-Sicherheit. Dies bezieht sich zum einen auf ausreichend geschultes Personal, welches rund um die Uhr für die Sicherheit der Server und IT-Systeme sorgt. Zum anderen müssen auch die Mitarbeiter des Krankenhauses für Cyberrisiken sensibilisiert und ausreichend geschult werden. Für dieses hohe Level an Maßnahmen fehlt es oftmals an Ressourcen, seien es Kosten, Zeit oder auch Personal, was letztlich dazu führt, dass das Gefahrenrisiko eines Cyberangriffs steigt.

Zu den häufigsten Angriffsarten zählen die Verbreitung von Schadsoftware und Ransomware. Außerdem häufen sich DDoS Angriffe. Dabei kommt es zu einer gezielten Überlastung der Server, was letztlich ebenfalls einen normalen Krankenhausbetrieb und die damit verbundene Gesundheitsversorgung unmöglich macht.

Wie cybersicher ist das deutsche Gesundheitswesen?

Eine bevölkerungsrepräsentative Umfrage von PWC zum Thema “Datensicherheit in Kliniken und Arztpraxen” aus dem Jahr 2019 zeigt, dass 28 Prozent der Befragten Ausfälle der IT als großes Risiko einstufen hinsichtlich möglicher Komplikationen bei einem Krankenhausaufenthalt. Noch ernster schätzen die Befragten die Lage bei allgemeinmedizinischen Praxen ein. Hier glauben 45 Prozent, dass diese gar nicht oder zumindest nicht ausreichend auf Cybergefahren vorbereitet sind.

Seit 2019 gibt es die KRITIS- Verordnung des BSI (Bundesamt für Sicherheit in der Informationstechnik), die bestimmte Branchen aufgrund der Bedeutung und Relevanz, die sie für die gesamtdeutsche Bevölkerung haben, als angriffsrelevant und schützenswert einstuft. Krankenhäuser, die stationär mehr als 30.000 Patienten aufnehmen können, gehören dazu. Diese Institutionen müssen besondere Nachweise erbringen und IT-Sicherheitsanforderungen erfüllen. Zusätzlich unterliegen sie der Meldepflicht, sollten sie Opfer eines Cyberangriffs geworden sein. Diese BSI-Verordnung gilt allerdings nicht für kleinere Krankenhäuser und Arztpraxen. Diese sind eigenständig für ihre IT-Sicherheit verantwortlich. Laut der PWC Studie glauben allerdings 51 Prozent der Befragten, dass kleine und vor allem auch ländliche Krankenhäuser schlecht bzw. sehr schlecht auf Cyberangriffe vorbereitet sind.

Wie kann man sich als Krankenhaus vor Cyberangriffen schützen?

Wie in vielen anderen Branchen ist eine umfassende Sensibilisierung der Mitarbeiter wichtig. Das sehen auch die Befragten der PWC Studie so. 87 Prozent sagten, dass Schulungen und Trainings geeignete Maßnahmen sind, um Cyberangriffe in Kliniken und Praxen zu minimieren.

Richard Renner, Geschäftsführer bei Perseus, sagt:

“Ein hoher Grad an Sensibilisierung, regelmäßige Tests und Schulungen können dazu beitragen, dass Mitarbeiter auch in Stresssituationen wachsam und aufmerksam sind. Dadurch wird der falsche Klick oder der falsche Download verhindert. Sollten Hacker dennoch erfolgreich sein bei ihrer Attacke, ist schnelles Notfallmanagement essenziell. Bei einem Cyberangriff zählt jede Minute, um Schlimmeres verhindern zu können.”

Im Fall von Krankenhäusern können auch intensive und regelmäßige Penetrationstests helfen. Dabei werden IT-Systeme durch IT-Experten umfangreich getestet und Sicherheitslücken frühzeitig erkannt. Die Lücken können dann durch die Experten umgehend geschlossen werden, bevor ein Hacker diese als Einfallstor nutzen kann.

18.09.2020

Hospitals targeted by cybercriminals

Cyber security | Cyber attacks | Protection

It happened early Thursday morning. The IT systems at Düsseldorf University Hospital crashed. Nothing worked anymore. Authorities have since confirmed that the incident was a hacker attack. Isabel Pfeiffer-Poensgen, Minister of Culture and Science in North Rhine-Westphalia, told the state parliament that a ransom note had been sent, but that it had been withdrawn after the police were called. The Düsseldorf University Hospital is one of the largest hospitals in North Rhine-Westphalia and treats up to 350,000 patients annually.

The hacker attack has made normal operations at the hospital impossible. The emergency services to the emergency room had to be suspended, people in need are advised not to go to the hospital for the time being, and upcoming treatment appointments have been cancelled or postponed.

This is not the first incident in which a hospital’s IT system has been disabled by a hacker attack. Hospitals, medical practices and research institutes are repeatedly targeted by cybercriminals. In the summer of 2019, the South-West branch of the German Red Cross was the victim of a ransomware attack. Thirteen hospitals were affected. Worse was prevented by a quick response and the shutdown of the IT systems. Nevertheless, doctors and nursing staff were only able to work with pen and paper for days. In December 2019, the Emotet malware spread in a hospital in Fürth, Bavaria. In addition, the Handelsblatt newspaper reported that since the beginning of 2020 – and thus since the start of the coronavirus outbreak in Germany – the risk of cyber attacks on hospitals has continued to rise. For example, cybercriminals belonging to the right-wing extremist group ‘Staatsstreichorchester’ (Coup Orchestra) took advantage of the tense situation and sent a ransom note to Health Minister Jens Spahn. It demanded that €25 million be transferred to a Bitcoin account in order to prevent large-scale hacker attacks on German hospitals. However, it is not known how the incident ended.

Why are hospitals more often the victims of cyber attacks?

The incident at Düsseldorf University Hospital illustrates that cyber attacks on hospitals have a massive impact. Patient care is restricted, treatment appointments and operations have to be cancelled in extreme cases, and highly sensitive data can fall into the wrong hands. This allows hackers to exert massive pressure. This, in turn, makes hospitals a lucrative target for cybercriminals.

At the same time, hospitals are potentially very vulnerable to cyber attacks because many different people have access to complex, networked computer systems. This requires a high level of IT security. On the one hand, this means having sufficiently trained staff who are available around the clock to ensure the security of servers and IT systems. On the other hand, hospital employees must also be made aware of cyber risks and receive adequate training. There is often a lack of resources, whether in terms of costs, time or personnel, to implement this high level of measures, which ultimately leads to an increased risk of cyber attacks.

The most common types of attacks include the spread of malware and ransomware. DDoS attacks are also becoming more frequent. These involve deliberately overloading the servers, which ultimately makes normal hospital operations and the associated healthcare provision impossible.

How cyber-secure is the German healthcare system?

A representative survey of the population conducted by PWC on the topic of ‘Data security in hospitals and doctors‘ practices’ in 2019 shows that 28 percent of respondents consider IT failures to be a major risk in terms of possible complications during a hospital stay. The respondents consider the situation in general medical practices to be even more serious. Here, 45 percent believe that they are not at all or at least not sufficiently prepared for cyber threats.

Since 2019, the KRITIS Regulation of the BSI (Federal Office for Information Security) has been in force, which classifies certain industries as vulnerable to attack and worthy of protection due to their importance and relevance to the entire German population. Hospitals that can admit more than 30,000 inpatients are included. These institutions must provide special evidence and meet IT security requirements. In addition, they are subject to a reporting obligation if they become victims of a cyber attack. However, this BSI regulation does not apply to smaller hospitals and medical practices. These are responsible for their own IT security. According to the PWC study, however, 51 percent of those surveyed believe that small and, above all, rural hospitals are poorly or very poorly prepared for cyber attacks.

How can hospitals protect themselves against cyber attacks?

As in many other industries, comprehensive employee awareness is important. This is also the view of those surveyed in the PWC study. 87 percent said that training and education are appropriate measures to minimise cyber attacks in clinics and practices.

Richard Renner, Managing Director at Perseus, says:

‘A high level of awareness, regular testing and training can help ensure that employees remain alert and attentive even in stressful situations. This prevents the wrong click or download. If hackers are nevertheless successful in their attack, rapid emergency management is essential. In a cyber attack, every minute counts to prevent worse damage.’

In the case of hospitals, intensive and regular penetration tests can also help. These involve IT experts extensively testing IT systems and identifying security gaps at an early stage. The gaps can then be closed immediately by the experts before a hacker can use them as a gateway.