„Die Hacker haben massiv aufgerüstet"

Herr Prof. Dörr, das Hasso-Plattner-Institut arbeitet derzeit an einer Studie über IT-Sicherheit im Gesundheitssektor. Wie ist der aktuelle Stand?

Prof.  Christian Dörr: Unser Ansatz ist es, mit verschiedenen Akteuren des Gesundheitswesens zu sprechen, um Schwachstellen und Lösungsansätze im Bereich Cybersicherheit zu identifizieren. Dazu zählen unter anderem Klinikdirektoren und Sicherheitsbeauftragte. Ein Ergebnis: Rund 30 Prozent aller Kliniken in Deutschland hatten bereits mindestens einen Sicherheitsvorfall und seit 2017 steigt die Zahl der Attacken extrem an. Die Studie wird voraussichtlich im Herbst veröffentlicht. Schon jetzt können wir sagen, dass sich die Sicherheitsarchitektur in diesem Sektor in den kommenden Jahren dramatisch verändern wird.

Was sind die Gründe? 

Dörr: Die Stichworte sind Datensicherheit und Datenaustausch. Wir haben auf der einen Seite die IT-Systeme der Krankenhäuser, die sich untereinander immer stärker vernetzen. Auf der anderen Seite sind die Arztpraxen, die unter anderem eine Nachsorge der aus den Kliniken entlassenen Patienten sicherstellen – das heißt, eine zunehmende Vernetzung zwischen stationärem und ambulantem Sektor. Hinzu kommt: Die Spezialisierung im Gesundheitswesen wird den Datenaustausch zwischen Kliniken, Fach- und Hausärzten weiter verstärken. Oft vergessen wird auch der Einsatz sogenannter Wearables. Also kleiner elektronischer Geräte – etwa Smartwatches – zur Gesundheitsüberwachung, die wir am Körper tragen und die ebenfalls jede Menge Daten erfassen und weiterleiten. Das heißt: Hackerangriffe auf Kliniken, die wir derzeit gehäuft beobachten, betreffen nicht nur die jeweilige Klinik, sondern weitere Kliniken, Praxen und auch die Patienten direkt.

Wie lassen sich diese sensiblen Datenflüsse sichern? 

Dörr: Lange Zeit folgte die IT-Sicherheit dem Perimeter-Modell. Das funktioniert vereinfacht gesagt so: Man geht davon aus, dass innerhalb eines Netzwerks alles sicher ist, wenn die Grenzen dieses Netzwerks durch Firewall, VPN und andere Maßnahmen geschützt werden. Stellen Sie sich das wie einen Wassergraben vor, der eine Burg umschließt. Sobald jemand jedoch den Wassergraben überwunden hat, kann er sich frei auf dem Burggelände bewegen. Nun ist ein Krankenhaus naturgemäß sehr durchlässig. Das lässt sich nicht vermeiden, denn es findet ein permanenter Datenaustausch innerhalb der Klinik mit den genannten Akteuren von außerhalb statt. Medizinische Geräte senden routinemäßig Daten zur Analyse in eine Cloud, medizinisches Personal muss regelmäßig auf Datenbanken zugreifen und die elektronische Patientenakte (ePA) verfügt auch über viele Schnittstellen. Die Angriffsfläche ist enorm.

Was ist die Alternative zum Perimeter-Modell?

Dörr: Erst einmal muss ich wissen, welche Geräte sich überhaupt in meiner Klinik befinden und wie diese miteinander kommunizieren. Schon diese Bestandsaufnahme ist komplexer, als es vielleicht scheint. So ist für die Neuanschaffung meist die Einkaufsabteilung zuständig oder der Klinikdirektor. Ich habe mit IT-Chefs gesprochen, die gar nicht wussten, welche Geräte sie im Krankenhaus haben. Notwendig ist also zunächst ein Überblick auf das Gesamtsystem, das heißt ein zentrales Sicherheitsmanagement.

Was ist der nächste Schritt?

Dörr: Als nächstes sollten IT-Abteilung und Klinikleitung klare Regeln definieren: Wer darf wann und unter welchen Voraussetzungen auf bestimmte Systeme zugreifen? Verstößt jemand gegen diese Regeln, werden automatisch Zugriffsrechte entzogen oder Rechner oder Datenbanken abgeschaltet. Das heißt, auch innerhalb der Firewall darf sich nicht mehr ohne Authentifizierung und ohne Überprüfung bewegt werden. Zero Trust heißt diese Weiterentwicklung des Perimeter-Modells. Vertraue niemandem, überprüfe jeden Zugriff. Sollte also jemand die äußere Firewall überwunden haben, bleibt sein Zugriff auf sensible Daten dennoch stark eingeschränkt.

Welche technischen Änderungen sind dafür nötig?

Dörr: Eine Firewall um die gesamte Klinik-IT bleibt weiter wichtig. Zusätzlich teile ich das IT-System in kleine, voneinander isolierbare Segmente und schütze diese über jeweils eigene Firewalls. Den nötigen Datenaustausch zwischen diesen Bereichen regele ich mit einem Identitäts-Management-System, das nur berechtigten Personen Zugriff gewährt, und einer Multi-Faktor-Authentifizierung, die über ein Passwort und ein zusätzliches Identifikationstool, beispielsweise Fingerabdruck, Gesichtserkennung oder Handy-PIN, sicherstellt, dass sich nur eine berechtigte Person ins System einloggen will. So kann ich die Datenflüsse zwischen Geräten kontrollieren und falls ein Rechner kompromittiert wird, verursacht das nur einen lokalen Schaden, betrifft vielleicht zwei oder drei Computer, aber nicht die Gesamt-IT.

Können Sie das ein einem Beispiel erklären?

Dörr: Sicher. Nehmen wir einen Kernspintomografen. Der muss mit dem PC des Radiologen kommunizieren, vielleicht mit der Patientendatenbank, eventuell mit dem Abrechnungssystem. Diese überschaubare Umgebung schütze ich mit einem eigenen Sicherheitssystem. Bemerke ich, dass der Kernspintomograf beginnt, nach anderen Geräten außerhalb seines Netzwerks zu suchen, verhindert dies die Firewall, weil es sehr wahrscheinlich ist, dass etwas nicht stimmt.

Eine solche Umstellung kostet Geld. Ist das realisierbar bei der chronischen Unterfinanzierung vieler Kliniken?

Dörr: Cybersicherheit kostet. Das stimmt. Aber ein Cybersicherheitsvorfall wird deutlich teurer. Zunächst brauchen Sie externe Spezialisten, die die IT nach einem Cyberangriff erneuern. Die Honorare solcher Experten erreichen im Verlauf von zwei, drei Monaten schnell Millionenbeträge. Für einen Bruchteil dieser Summen hätte man präventiv in die IT-Sicherheit investieren können. Ein weiterer Kostenfaktor: Die Klinik ist wochenlang offline, kann keine oder weniger Patienten aufnehmen. Vielleicht lässt sich ein Großteil der geplanten Operationen nachholen, kaum kompensieren lässt sich dagegen der Reputationsverlust. Patienten meiden die Einrichtung, möglicherweise über Jahre, weil sie um die Sicherheit ihrer persönlichen Daten fürchten. Gleichzeitig finden Sie weniger hochqualifiziertes Personal aufgrund des schlechten Images der Klinik. In unserer Studie berichten wir über Krankenhäuser, die nach einem Cyberangriff Konkurs anmelden mussten.

Wie laufen Cyberattacken auf Kliniken normalerweise ab?

Dörr: Häufig sind das Angriffe mit Ransomware, also Schadsoftware, die Daten verschlüsselt und so den Zugriff auf diese Daten unterbindet, um eine hohe Summe für die Entschlüsselung zu fordern. Meist verschicken die Täter als harmlose Links oder Mailanhänge getarnte Phishing-Mails, die sich arglose Mitarbeiter auf ihren Computer herunterladen. Anschließend sucht die Software automatisch nach weiteren Systemen, Servern und sensiblen Daten, verschlüsselt letztere mit einem Algorithmus und verschickt danach eine Lösegeldforderung mit der Drohung, bei Zahlungsverweigerung alle Daten zu löschen.

Der Mensch ist demnach die größte Schwachstelle?

Dörr: Genau. Die Auswertung von zigtausend Berichten von Polizei und Sicherheitsagenturen ergab, dass zu rund 80 Prozent der Faktor Mensch das Problem ist. Ich versuche es positiv zu formulieren: Der Mensch ist die beste Firewall.

Wonach richten sich die Höhen der geforderten Lösegeldsummen?

Dörr: Die Täter sind meist sehr gut über die wirtschaftliche Situation informiert. Sie lesen Unternehmensbilanzen, Pressemitteilungen oder Börsenberichte, kennen deshalb den Umsatz des Opfers und wissen, welche Beträge die Unternehmen realistischerweise zahlen können. Wir wissen von sieben- bis achtstelligen Beträgen. Manche Erpresser haben Versicherungen gehackt, die Policen gegen Hackerangriffe angeboten hatten, ermittelten dort die versicherten Unternehmen und die maximalen Deckungssummen. Anschließend hackten sie die versicherten Konzerne und forderten genau die versicherte Summe. Die Firma zahlte – der finanzielle Schaden war ja gedeckt. Inzwischen sind diese Versicherungen weitgehend vom Markt verschwunden. Sie wurden einfach unbezahlbar. Sicher ist aber: Die andere Seite hat massiv aufgerüstet und das ist vielen potentiellen Opfern nicht klar.

Was passiert, wenn jemand zahlt?

Dörr: Polizei und Staatsanwaltschaft raten davon ab. Unter anderem, weil eine Zahlung das Risiko erhöht, künftig angegriffen zu werden. Wir nennen das „Double Attack“. Die Klinik hat gezahlt, die Täter schalten die Daten frei, verkaufen aber den Zugang zu dem IT-System an andere Erpresser. Dieser verschlüsselt die Daten nach einer gewissen Zeit erneut und es folgt die nächste Erpressung.

Schützt ein Back-up vor Verschlüsselung und Verlust von Daten?

Dörr: Ein Back-up schützt davor, dass Sie ihre Daten verlieren. Es schützt nicht vor Erpressung. Die Täter drohen einfach, die Daten zu veröffentlichen. Werden hochsensible Angaben weltweit sichtbar – etwa von Menschen in psychiatrischer Behandlung oder auch die Gehälter aller Klinikmitarbeiter, ist das Image der Einrichtung nachhaltig beschädigt.

Wer sind die Täter?

Dörr: Wir beobachten im Netz tagesaktuell mehr als 100 Hackergruppen und unterscheiden zwischen verschiedenen Täterprofilen. Da gibt es die unzufriedenen Mitarbeiter, die ihren Arbeitgeber schädigen wollen. Es gibt Script-Kiddies, junge Hacker, die ihre Reputation in der Hackerszene aufpolieren möchten. Andere verstehen sich als Aktivisten, die politische Botschaften platzieren wollen. Es gibt Akteure, die im Auftrag fremder Staaten Unsicherheit erzeugen sollen. Dann sehen wir Cyberterroristen, denen es nur um Zerstörung geht. Große Hackergruppen bestehen aus hochspezialisierten Leuten, organisiert in einem pyramidenförmig angelegten Ökosystem. An der Spitze sind Millionäre, darunter agieren die Programmierer und am Ende arbeiten Laufburschen, die den gesamten Tag Mails schreiben. Letztere Aufgaben übernimmt zunehmend künstliche Intelligenz (KI). Damit eröffnen sich völlig neue Möglichkeiten für Erpresser.

Welche?

Dörr: Berühmt wurde der Fall einer Bank in Hongkong. Ein Buchhalter bekam vom vermeintlichen Finanzchef per Mail den Auftrag, 25 Millionen US-Dollar auf ein Konto zu überweisen. Selbstverständlich wollte sich der Buchhalter rückversichern. Also organisierte er eine Zoom-Konferenz mit Geschäftsführer, Finanzchef und anderen Mitarbeitern. Insgesamt vier oder fünf Leute. Das Problem: Er war der einzige echte Mensch und konferierte mit KI-generierten Deepfakes, die täuschend echt Aussehen und Stimmen seiner Kollegen imitierten. Tatsächlich verbargen sich dahinter Hacker-Kids. Diesen überwies der Mann am Ende die 25 Millionen.

IP-Adressen lassen sich verschleiern. Woher weiß man, woher die Hacker angreifen?

Dörr: Eine IP-Adresse hat ungefähr den Integritätswert einer Postkarte. Die kann ich auch mit beliebigem Absender verschicken. Beispielsweise können Hacker zunächst ein System kapern und von dem dortigen Mailserver ihren Angriff starten. So verdächtigt der Angegriffene einen falschen Absender als Angreifer.

Woher stammen dann Gewissheiten, dass Cyberattacken aus Russland oder China kommen?

Dörr: Gewissheiten gibt es nicht, aber Wahrscheinlichkeiten. Ein Indikator ist die mögliche Motivation. Wird der örtliche Handwerksbetrieb um ein paar hundert Euro erpresst, sind staatliche Akteure, Politaktivisten oder Cyberterroristen als Täter unwahrscheinlich. Skript-Kiddies wären dagegen eine realistische Option. Ein Hackerangriff auf die Bundesregierung kurz nach der Verabschiedung von Hilfsgeldern für die Ukraine lässt auf einen staatlichen Akteur schließen. Krankenhäuser waren zunächst ebenfalls im Visier von staatlich finanzierten Hackern. Dabei geht es darum, das Vertrauen der Bevölkerung eines anderen Landes in lebenswichtige Institutionen zu unterminieren. Irgendwann haben einige Hacker gemerkt, dass sich im Gesundheitssektor viel Geld erpressen lässt und operieren seitdem unabhängig von Regierungen auf eigene Rechnung.

Existieren, abgesehen von der Motivation, noch weitere Indikatoren, die auf die Herkunft der Hacker schließen lassen?

Dörr: Sicher. Ein weiterer Hinweis ist die Methodik. Das ist wie in der realen Welt. Dort versucht der Kriminalkommissar auch von der Art des Einbruchswerkzeugs oder dem Einbruchsweg auf den Täter zu schließen. Bei Cyberangriffen analysieren wir ebenfalls die verwendeten Tools und Strategien.

Also eine Mischung aus Motivation und Vorgehen?

Dörr: Genau! Wir nennen das Prinzip TTP – Tactics, Techniques and Procedures. Tactics untersucht die übergeordneten Ziele der Angreifer, Techniques die Umsetzungsmethode und Procedures die konkrete Vorgehensweise. Am Hasso-Plattner-Institut haben wir mal eine KI darauf trainiert, die Arbeitsweise einer bestimmten Hackergruppe zu untersuchen. Die KI ermittelte aufgrund der Zeitverschiebung, dass die Täter offenbar von China aus arbeiten; sie erkannte, wann die Leute Mittagpause machten und konnte sogar feststellen, wann einzelne Akteure Urlaub hatten. Sind das gerichtsfeste Beweise, wer hinter den Angriffen steckt? Selbstverständlich nicht. Aber starke Indizien.

Wenn all das bekannt ist – warum werden hierzulande in steigender Zahl Kliniken zum Opfer von Hackern?

Dörr: Ich habe ja schon erwähnt, dass Kliniken erstens naturgemäß durchlässige Systeme sind und zweitens der Cybersicherheit noch nicht überall die nötige Priorität eingeräumt wird. Ich habe Kliniken gesehen, in denen man über das Besucher-WLAN mit ein paar Klicks ins medizinische IT-System gelangen konnte. Ein weiteres Problem ist der Mangel an Fachkräften. Die Zahl der Studiengänge für Cybersicherheit in Deutschland kann man an zwei Händen abzählen. Unis in Bochum, Darmstadt, Lübeck, München und im Saarland bieten entsprechende Ausbildungen an. Dazu kommen ein paar Fachhochschulen. Am Hasso-Plattner-Institut bilden wir jährlich 30 Leute aus. Zusammengenommen sind das bundesweit etwa 1.500 Absolventinnen und Absolventen. Allein für die Kliniken benötigen wir rund 4000 Spezialistinnen und Spezialisten. Für eine flächendeckende Sicherheit in Verwaltung, Industrie, Bildung und Energie schätzungsweise zwischen 10.000–15.000 zusätzliche Fachkräfte.

Selbst wenn genügend Fachkräfte verfügbar wären: Eine Klinik oder ein Klinikverbund können sich eigene Cyber-Sicherheitsexperten leisten. Aber was ist mit einem kleinen Medizinischen Versorgungszentrum (MVZ) oder einer Einzelpraxis?

Dörr: Das ist richtig. Kleine Akteure haben diese Ressourcen nicht. Ihnen muss ich Lösungen anbieten, die so sicher sind, dass sie damit auch ohne eigene IT-Abteilung arbeiten können. Man könnte das so regeln, dass nur noch Geräte zugelassen werden, die bestimmte Sicherheitsstandards erfüllen. Das ist bei Medizinprodukten, die schon jetzt hohe Zulassungshürden haben, aber sehr komplex. Als Nutzer können Sie nicht mal schnell ein Update machen, wenn Sie eine Sicherheitslücke entdecken. Sie müssen sich an den Hersteller wenden, der das übernimmt und sein Produkt dann erneut zertifizieren lassen muss. Trotzdem führt kein Weg daran vorbei, kleinere Akteure im Gesundheitssektor mit sicheren Geräten auszustatten und dabei sind die Gerätehersteller gefragt.

Braucht es dazu mehr Regularien?

Dörr: Die braucht es. Aber darüber hinaus noch mehr. Dank des Krankenhaus-Zukunftsgesetzes gibt es Fördermittel für Cybersicherheit. Wir wissen aber, dass die Beträge oft nicht abgerufen werden. Wir benötigen viel umfassendere Vorgaben – die nicht nur die KRITIS-Kliniken betreffen, sondern den gesamten Gesundheitssektor.

Praxen, MVZ oder kleinere Kliniken könnten sich zu Verbünden zusammenschließen und ihre IT auch von einem externen Dienstleister betreuen lassen. Was halten Sie davon?

Dörr: Theoretisch eine gute Idee. Praktisch funktioniert das nicht. Unserer Studie hat gezeigt, dass die Sicherheitsvorfälle in solchen Modellen nicht abgenommen haben. Eher im Gegenteil.

Worin sehen Sie die Ursachen?

Dörr: Die Einrichtungen haben ihre IT an Profis ausgelagert und waren davon überzeugt, sich nun selbst um nichts mehr kümmern zu müssen. Offensichtlich ein Trugschluss. Deshalb plädiere ich ja für eine klare Gesetzgebung durch Bund und Länder.

Auf wieviel Zustimmung stoßen Sie mit Ihrer Forderung nach mehr Regulierung?

Dörr: Das kommt darauf an, mit wem ich spreche. Geschäftsführer von Kliniken stimmen in der Regel zu. Die sagen: Wenn ich mich auf einen gesetzlichen Auftrag berufen kann, lassen sich entsprechende Änderungen schnell etablieren. Ähnlich sehen das die Sicherheitsbeauftragten, die in ihren Einrichtungen ja oft gegen Windmühlen kämpfen. Die Beschäftigten auf den Stationen sehen Vorschriften naturgemäß kritischer, weil sie höheren Aufwand fürchten.

Wie wollen Sie Ärzte und Pflegepersonal, die oft schon jetzt unter hoher Arbeitsbelastung stehen, von höheren obligatorischen Sicherheitsanforderungen überzeugen?

Dörr: Mit smarten, praktikablen Lösungen. Wir brauchen nicht noch größere Papierberge, sondern eindeutige Zuständigkeiten und nutzerfreundliche Software und Geräte. Ob wir wollen oder nicht – die Angreifer rüsten in einem extrem hohen Tempo auf und wenn wir nicht mithalten ist unsere Infrastruktur, vor allem der Gesundheitssektor, gefährdet.