Der erste Halbjahresbericht des NCSC (Nationales Zentrum für Cybersicherheit) befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte 2020 in der Schweiz und international. Das Schwerpunktthema bilden die Digitalisierung und die Cyberbedrohungen im Gesundheitswesen.
Die Digitalisierung schreitet auch im Gesundheitswesen unaufhaltsam voran. Globalisierte Lieferketten, computergesteuerte Logistik oder elektronische Patientendossiers bestätigen dies. Doch die zunehmende Digitalisierung bietet auch potentielle Angriffsflächen für Cyberkriminelle. Erfolgreiche Angriffe im Gesundheitswesen haben weitreichende Konsequenzen. Ein Datenabfluss kann besonders schützenswerte Personendaten betreffen. Ausserdem können Funktionsausfälle von IT-Systemen oder eine auch nur temporäre Nichtverfügbarkeit von Daten die Gesundheit oder sogar das Leben von Menschen gefährden. Im Halbjahresbericht werden aktuelle Fälle sowie die erforderlichen Schutzmassnahmen beleuchtet.
Digitalisierung im Gesundheitswesen
Daten über die Gesundheit von Personen sind gemäss Datenschutzgesetz «besonders schützenswerte Personendaten» und sollen entsprechend besonders gut vor unbefugter Kenntnisnahme geschützt werden. Sie sind einmalig und lassen sich bei Missbrauch nicht wie Passwörter einfach ändern. Gesundheitsdaten müssen aber auch vor Zerstörung geschützt sein. Ergebnisse früherer Untersuchungen lassen sich nicht nachträglich erheben. Die Digitalisierung kann dieses Risiko entschärfen. Daneben ist auch der Schutz von Patientendaten vor unbefugter Veränderung sicherzustellen. Infusionen mit der falschen Blutgruppe können tragisch enden. Falschinformationen über Medikamentenunverträglichkeiten oder Allergien können verheerende Folgen haben. Ausschliesslich berechtigte Personen sollen auf solche Daten zugreifen können und der Kreis von Personen, die diese Daten ändern können, muss weitestgehend eingeschränkt sein.
Medizinische Geräte sind mittlerweile vielfach kleine oder grosse vernetzte Computer. Röntgenbilder werden digital erfasst und Untersuchungsergebnisse werden mehr oder weniger direkt ins Netzwerk der Praxis oder des Spitals eingespiesen oder in eine Cloud hochgeladen. Untersuchungsergebnisse von bildgebenden Verfahren wie Computertomographie-Scans oder Röntgenbilder wurden schon mehrfach auf ungenügend gesicherten Cloud-Servern und auf aus dem Internet erreichbaren Datenträgern festgestellt – inklusive zugehöriger Patienten-daten. Je grösser und komplizierter der Analyseapparat, desto eher hat er zudem eine Schnittstelle zu seinem Hersteller, der die Funktion überwacht und das Gerät bei Bedarf auch aus der Ferne warten kann.
Den risikoadäquaten Umgang mit der totalen Vernetzung und dem Fernzugriff auf digitale Daten sowie eine angemessene sektorspezifische Kultur muss der Gesundheitssektor weiter etablieren. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt in seinem Abschlussbericht zum Projekt «ManiMed» (Manipulation von Medizinprodukten), dass in jedem Produkt Schwachstellen gefunden wurden. In fast allen Fällen sei die IT-Sicherheit und nicht unmittelbar die Patientensicherheit betroffen gewesen
Neben medizinischen Geräten gibt es eine grosse Fülle weiterer Medizinprodukte. Darunter fallen auch verschiedenste Verbrauchsmaterialien für Untersuchungen und Operationen. Beispielsweise werden verschiedene invasiv genutzte Einwegprodukte aus Qualitätssicherungsgründen nachverfolgt. Bei nicht unbeschränkt haltbaren und teuren Produkten wird jede Verwendung auch deshalb erfasst, weil keine grossen Vorräte gehalten werden und zeitnah Ersatz nachbestellt werden muss. Medizinische Implantate wie Hüft- und Knieprothesen werden im schweizerischen Implantat-Register (SIRIS) eingetragen. Auch dies dient der Qualitätssicherung. Das Register soll eine Beurteilung der langfristigen Implantat- respektive Behandlungsqualität ermöglichen. Zudem dient es als Frühwarnsystem bei Produkte- und Prozessfehlern.
Die Nachvollziehbarkeit von für Untersuchungen und Behandlungen verwendeten Produkten erhöht zweifellos die Sicherheit der Gesundheit von Patientinnen und Patienten. Gleichzeitig ist jedoch auch auf die Vertraulichkeit und Integrität der gespeicherten Daten zu achten und Zugriffe auf, wie auch die Bearbeitung der Daten müssen nachvollziehbar sein.
Cyberbedrohungen im Gesundheitswesen
Spitäler und andere Gesundheitsdienstleister sind den gleichen Cyberbedrohungen ausgesetzt wie alle Unternehmen, die einen Internetanschluss haben und mit Computern arbeiten. Deshalb sind auch im Gesundheitswesen Zugänge zu Daten und Systemen möglichst mit Mehrfaktorauthentisierung abzusichern, Infektionen mit Schadsoftware zu verhindern oder zumindest zeitnah zu erkennen und zu beheben. Eine wichtige Schutzmassnahme ist zudem, die Mitarbeitenden im sicheren Umgang mit Informatikmitteln zu sensibilisieren und die Cyberbedrohungen im Gesundheitswesen, wie etwa Social Engineering, aufzuzeigen.
Während die Bedrohungen in den meisten Sektoren sehr ähnlich oder sogar gleich sind, weisen die Konsequenzen von erfolgreichen Angriffen im Gesundheitswesen durchaus Eigenheiten auf. So sind zum einen bei einem Datenabfluss meistens unabänderliche, besonders schützenswerte Personendaten betroffen und zum anderen können Funktionsausfälle von IT-Systemen oder eine auch nur temporäre Nichtverfügbarkeit von Daten die Gesundheit oder sogar das Leben von Menschen gefährden.
Schon seit einigen Jahren grassieren Verschlüsselungstrojaner (Ransomware) als erfolgreiches kriminelles Geschäftsmodell, das auch gegen Spitäler eingesetzt wird. Mittlerweile greifen die Täter vor der Verschlüsselung möglichst viele Daten ab, um ein zusätzliches Erpressungsmittel zu haben. Bei einem Psychotherapie-Unternehmens in Finnland versuchten Erpresser erfolglos, vom Unternehmen Geld zu erhalten, um die Veröffentlichung von Patientendaten und Inhalten von Therapiegesprächen zu verhindern. In der Folge versuchten die Kriminellen die betroffenen Patientinnen und Patienten direkt zu erpressen.
Während einer Pandemie6 können Krankheitsfälle in kurzer Zeit erheblich zunehmen und das Gesundheitswesen an seine Kapazitätsgrenzen führen. Wenn sich dann noch Cybervorfälle ereignen, die zu Funktionseinschränkungen bei Gesundheitsdienstleistern führen, hat dies unter Umständen lebensbedrohliche Konsequenzen. Weltweit für Aufsehen sorgte der Fall der Universitätsklinik Düsseldorf, welche im September 2020 von Ransomware betroffen war.
Bereits im Sommer 2020 wurde die Hirslanden-Gruppe Opfer von Ransomware. Die verschlüsselten Daten konnten dort jedoch mithilfe von Backups wiederhergestellt werden und die Patientenversorgung soll zu keiner Zeit gefährdet gewesen sein. Bei zwei weiteren Spitälern in der Schweiz konnten Infektionen mit dem Trojaner «Emotet» frühzeitig erkannt und behoben werden.
Das Personal im Gesundheitswesen ist während einer Pandemie aussergewöhnlich gefordert und nicht selten überarbeitet. Auf Social Engineering-Methoden fallen Personen eher herein, wenn sie bereits aufgrund von äusseren Umständen unter Druck stehen. Social Engineering zeichnet sich unter anderem durch das Vorspiegeln von Dringlichkeit aus. Durch die Kumulation von echtem und künstlich erzeugtem Druck steigen die Erfolgschancen solcher Angriffe. Das Risiko, dass in der Eile auf einen bösartigen Link in einem E-Mail geklickt oder ein schädliches Attachment geöffnet wird, nimmt zu. Neben der Implementierung technischer Massnahmen sollten alle Mitarbeitenden auf die Gefahren von Social Engineering sensibilisiert werden. Es sind administrative Prozesse zu etablieren, mit denen Betrugsversuche und andere Social Engineering-Angriffe erkannt werden können.
Ransomware birgt grösstes Schadenspotenzial
Vorfälle mit Verschlüsselungstrojanern (Ransomware) zählen zu den Ereignissen mit dem grössten Schadenspotential, denn Betriebsausfälle und Wiederherstellung verursachen grosse Kosten und führen im schlimmsten Fall zu einem kompletten Datenverlust. Für die in Aussicht gestellte Entschlüsselung der Daten werden von den Angreifern hohe Lösegelder gefordert. In der zweiten Jahreshälfte 2020 sind beim NCSC 34 Meldungen dazu aus verschiedenen Wirtschaftssektoren in der Schweiz eingegangen. Rund 80 Prozent der Meldungen betrafen kleine und mittlere Unternehmen (KMU).
Eine weitere Schadsoftware sorgte im letzten Jahr weltweit für Schlagzeilen. Nach mehrmonatigem Unterbruch beobachtete das NCSC seit Juli 2020 erneut verschiedene Spam-Wellen der «Emotet»-Schadsoftware. Ursprünglich als E-Banking-Trojaner bekannt, wurde «Emotet» zuletzt vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware verwendet, bis dann am 27. Januar 2021 Europol bekannt gab, dass das «Emotet-Botnet» durch eine koordinierte Aktion internationaler Strafverfolgungs- und Justizbehörden deaktiviert worden war. Der Halbjahresbericht gibt Einblick in die Funktionsweise von «Emotet».
Im zweiten Halbjahr 2020 sind bei der Anlaufstelle des NCSC insgesamt 5’542 Meldungen zu Cybervorfällen von Privatpersonen und Unternehmen eingegangen. Davon machen die 2’917 Meldungen zu Betrug weiterhin den grössten Anteil aus. Am häufigsten gemeldet werden dabei Vorschussbetrug, Fake-Sextortion und Gebührenfallen.
Seit Ende 2020 ist die Website NCSC online mit dem Meldeformular für Cybervorfälle, welches sich an die Öffentlichkeit richtet. Meldende erhalten automatisiert Vorschläge für das weitere Vorgehen und eine erste Hilfestellung. Meldungen aus der Bevölkerung leisten einen wichtigen Beitrag, damit das NCSC Trends rasch erkennen, geeignete Gegenmassnahmen ergreifen sowie ein möglichst vollständiges Cyberlagebild erstellen kann.
