„Cyberangriffe auf Kliniken verfolgen immer häufiger politische Ziele“
Cyberangriffe auf Krankenhäuser sind häufig erfolgreich. Neben monetären Motiven steht immer öfter politische Motivation dahinter. Wer die Hacker sind, wie sie vorgehen und was am besten vor Attacken schützt, erklärt Felix Kuhlenkamp, Bereichsleiter Sicherheitspolitik bei Bitkom.
Was sind die gefährlichsten Branchen für Cyberangriffe?
Felix Kuhlenkamp: Jedes Unternehmen aus jeder Branche ist gefährdet und muss sich schützen. In der Vergangenheit wurde von den Tätern ein Fokus auf kritische Infrastrukturen und Unternehmen mit finanziellen Ressourcen gelegt. Wir beobachten in den vergangenen Jahren allerdings einen starken Anstieg von Cyberangriffen quer durch alle Branchen und Unternehmensgrößen. Für größere und längerfristig geplante Angriffe werden häufig gezielt Unternehmen ausgesucht, die über professionelles Hacking oder Phishing attackiert werden können. Gleichzeitig gibt es Angriffsarten, bei denen wahllos versucht wird, bekannte Schwachstellen bei Unternehmen auszunutzen. Wer nicht die notwendigen Sicherheitsvorkehrungen hat, wird dann getroffen.
Wo ordnen Sie dabei Gesundheitseinrichtungen und Krankenhäuser ein?
Kuhlenkamp: Gesundheitseinrichtungen und Krankenhäuser gehören zur kritischen Infrastruktur und sind damit ein attraktives Ziel für Cyberangreifer. Außerdem gibt der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) von 2024 an, dass die Einrichtungen noch Aufholbedarf in ihren Systemen für Informationssicherheit und zur Aufrechterhaltung der Geschäftskontinuität haben. Dadurch erhöht sich noch einmal ihr Risiko.
Wie hoch ist der Schaden, der durch Cyberangriffe in der Gesundheitsbranche beziehungsweise in Krankenhäusern entsteht?
Kuhlenkamp: Das lässt sich leider auf die Branche genau nicht beziffern. In der gesamten deutschen Wirtschaft ist im vergangenen Jahr ein Schaden durch Cyberangriffe in Höhe von 178,6 Milliarden Euro entstanden. Er wird durch Ausfall, Diebstahl und Schädigung von Betriebssystemen, Umsatzeinbuße, datenschutzrechtliche Maßnahmen, Patentrechtsverletzungen und Erpressung verursacht. Auf Sektoren lässt sich das nicht herunterbrechen. Im Gesundheitssektor entsteht im schlimmsten Fall nicht nur ein monetärer Schaden, sondern auch ein daraus resultierender Schaden, der sich auf die Gesundheit der Patientinnen und Patienten auswirken kann.
Sind die mutmaßlichen Täter identifizierbar? Wer steckt hinter solchen Angriffen?
Kuhlenkamp: Der Angriffshintergrund ist nicht immer eindeutig. Aber man kann zwei Sachen ganz klar sagen: Die meisten Cyberangriffe kommen aus China und Russland. Dahinter stecken immer häufiger professionell aufgestellte organisierte Kriminalität und Banden. Während in der Vergangenheit – vor sieben oder acht Jahren – noch häufig Einzelpersonen als Täter gehandelt haben, sind die Angriffe heutzutage deutlich professionalisierter. Im letzten Jahr haben wir einen klaren Anstieg von Angriffen gesehen, bei denen ausländische Nachrichtendienste als Täter ermittelt wurden, vor allem Russland und China haben ihre Aktivitäten intensiviert. Es gibt auch Hinweise darauf, dass organisierte Kriminalität und ausländische Nachrichtendienste zusammenarbeiten oder sich gegenseitig unterstützen. In Ländern wie Russland oder China werden Hackergruppen zum Teil toleriert.
Sind das gezielte Angriffe, um Deutschland zu schwächen? Oder bieten die unzureichenden Sicherheitssysteme der Krankenhäuser ein günstiges Ziel, um Lösegeld zu erpressen?
Kuhlenkamp: Sowohl als auch. Gerade Krankenhäuser stehen in einem Grau-Bereich zwischen den beiden Intentionen. Wenn staatlich gelenkte Aktionen durchgeführt werden, geht es meist darum, Deutschland zu schwächen und Verunsicherung zu säen – oder aber die Sicherheitsmaßnahmen zu testen, um sich möglicherweise auf spätere Angriffe vorzubereiten. Wenn kritische Infrastrukturen lahmgelegt werden, wie im Falle von Krankenhäusern, können sich die Leute nicht mehr sicher sein, dass die IT-Systeme einem Angriff gewappnet sind. Sie verlieren das Vertrauen in die Institution. Auf der anderen Ebene gibt es den monetären Ansatz, insbesondere in Form von Ransomware-Attacken. Hier werden die Daten auf einem IT-System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. Aus unseren Befragungen wissen wir, dass Ransomware-Attacken mittlerweile die häufigste Angriffsform sind. Gerade im Krankenhaus können die Beweggründe aber nicht klar differenziert werden, oft trifft beides zu.
Sollte ein Krankenhaus im Falle einer Erpressung Lösegeld zahlen oder ist das eher kontraproduktiv?
Kuhlenkamp: Wir empfehlen ganz klar, kein Lösegeld zu zahlen – das betrifft alle Unternehmen. Auch die Polizeibehörden oder das BSI raten davon ab. Das hat verschiedene Gründe. Erstens gibt es keine Garantie, dass man seine verschlüsselten Daten zurückerhält, wenn man eine Lösegeldzahlung vornimmt. Es kann sogar sein, dass man eine noch höhere Forderung erhält, anstatt die Daten zurückzubekommen. Zweitens macht man sich dadurch erpressbar und wieder angreifbar. Wenn die professionellen Hacker wissen, dass ein Krankenhaus bereit ist, viel Geld zu zahlen und die Sicherheitsmaßnahmen nicht ausreichend angepasst wurden, kann es zu einem erneuten Erpressungsversuch kommen. Die entscheidende Empfehlung ist, ein Backup der Daten zu erstellen und sicherzugehen, dass die Daten auch wieder zurückgespielt werden können. Die Sicherung der Daten sollte von jedem Unternehmen erwartet werden und im Idealfall muss kein Lösegeld an die Erpresser gezahlt werden. Wenn kein Backup vorliegt, ist es meistens schon zu spät, wenn ein Krankenhaus in eine Ransomware-Attacke gerät.
„Wenn staatlich gelenkte Aktionen durchgeführt werden, geht es meist darum, Deutschland zu schwächen und Verunsicherung zu säen.“
Bereichsleiter Sicherheitspolitik bei Bitkom
Was müssten Krankenhäuser tun, damit sie vor einem Cyberangriff geschützt sind und wo bestehen aktuell die größten Sicherheitslücken?
Kuhlenkamp: Zweierlei. Einerseits geht es um die technische Komponente. In den Krankenhäusern müssten entsprechende Information Security Management Systems (ISMS) erarbeitet werden, wie die Einführung und die regelmäßige Anwendung von Software-Updates, Zwei-Faktor-Authentifizierung und der Ausbau von Backup-Strukturen. Das BSI veröffentlicht jedes Jahr einen Lagebericht zu den Reifegraden der ISMS in den kritischen Infrastrukturen. Der Gesundheitssektor hat hier deutlichen Aufholbedarf. Andererseits ist es auch eine Sensibilisierungsfrage. Wie gut hat man die Mitarbeitenden in den Krankenhäusern über mögliche Angriffsformen geschult? Die Angestellten müssen Bescheid wissen, welche Gefahren es gibt und wie man sich davor schützen kann.
Was sind die Gefahren für die Patienten bei einem Cyberangriff?
Kuhlenkamp: Das hängt vom Krankenhaus ab. Die Frage ist, inwiefern die Krankenhäuser ihre IT an die Systeme geknüpft haben, die direkt mit dem Patienten zu tun haben. Aber selbst, wenn ein Cyberangriff nicht zu einem Systemausfall führt, kann er direkte Auswirkungen auf den Patienten haben. Es reicht schon aus, dass die Computer von Ärztinnen und Ärzten nicht mehr verfügbar sind, wenn eine Ransomware-Attacke läuft. Ich benutze dafür gerne die Laborwege als Beispiel, und das ist nur eines von vielen. Analyseergebnisse aus dem Labor können nicht mehr per E-Mail versendet werden und Pflegekräfte müssen oft einen langen Weg im Krankenhaus zurücklegen. Dadurch geht Zeit verloren, was kritisch für die Patientinnen und Patienten werden kann. Denn teilweise sind Minuten entscheidend.
Was könnte die Politik für die Cybersicherheit von Krankenhäusern und kritischer Infrastruktur tun?
Kuhlenkamp: Die Politik ist bestrebt, die Sicherheitsregulierung für Unternehmen und Institutionen verpflichtend zu machen. Das Gesetz „Network and Information Security Directive 2“ (NIS-2) ist am 16. Januar 2023 in Kraft getreten. Die Richtlinie soll Cyber-Sicherheits-Standards in Unternehmen ab einer gewissen Größe in kritischen Sektoren etablieren. Deutschland hängt bei der Umsetzung deutlich hinterher und das Gesetz musste in der neuen Legislatur erneut eingebracht werden. Beim KRITIS-Dachgesetz geht es um die physische Sicherheit von klinischen Infrastrukturen, wie auch Krankenhäusern. Regulativ passiert also einiges und vieles ist in der Umsetzungsphase.
Mitwirkende des Beitrags
Autorin
Autorin
Datenschutzhinweis
Ihr Beitrag wird vor der Veröffentlichung von der Redaktion auf anstößige Inhalte überprüft. Wir verarbeiten und nutzen Ihren Namen und Ihren Kommentar ausschließlich für die Anzeige Ihres Beitrags. Ihre E-Mail-Adresse wird nicht veröffentlicht, sondern lediglich für eventuelle Rückfragen an Sie im Rahmen der Freischaltung Ihres Kommentars verwendet. Die E-Mail-Adresse wird nach 60 Tagen gelöscht und maximal vier Wochen später aus dem Backup entfernt.
Allgemeine Informationen zur Datenverarbeitung und zu Ihren Betroffenenrechten und Beschwerdemöglichkeiten finden Sie unter https://www.aok.de/pp/datenschutzrechte. Bei Fragen wenden Sie sich an den AOK-Bundesverband, Rosenthaler Str. 31, 10178 Berlin oder an unseren Datenschutzbeauftragten über das Kontaktformular.