Cyberangriffe auf Krankenhäuser

Aus KommunalWiki

Seit Jahren nehmen Cyberangriffe auf Krankenhäuser kontinuierlich zu. Ein Grund dafür ist die allgemeine Zunahme von Hacker-Attacken, die keine Institution verschonen; ein anderer die zunehmend umfangreiche, komplexe und meist historisch gewachsene IT-Landschaft in den Kliniken. Lehmann/Matusiewicz verweisen in ihrem Text (siehe unter Links und Materialien) zudem auf unterbesetzte, unterfinanzierte oder vollständig ausgelagerte IT-Abteilungen. Sie zeigen auch, dass Cyberangriffe auf Krankenhäuser höhere Kosten verursachen als in allen anderen Sektoren.

Gefährdung ernst nehmen[Bearbeiten]

Krankenhäuser gehören zweifellos zur kritischen Infrastruktur, ihre (nicht nur Cyber-)Sicherheit verdient damit besondere Aufmerksamkeit. Wie einzelne Vorfälle zeigen, können Cyberangriffe auf Kliniken durchaus gefährlich für Patient:innen werden, fast immer geraten dabei auch (teils hochsensible) Daten in die falschen Hände. Dabei ist zu beachten, dass Daten von Patient:innen teilweise kein Verfallsdatum haben; sie können nach Bekanntwerden eines Vorfalls nicht einfach geändert und damit ungültig gemacht werden wie z.B. Passwörter oder EMail-Adressen.

Zweifellos ist die Bedrohung hoch mit potenziell dramatischen Folgen für die Bevölkerung. Axel Ekkernkamp, Mitglied des Wehrmedizinischen Beirats, sagt dem Tagesspiegel: „Nie in der Bundesrepublik waren Krankenhäuser so bedroht wie heute. ... Sabotage in Kliniken hätte einen massenpsychologischen Effekt, der besonders verheerend wäre. Deshalb sind Krankenhäuser nicht nur hochattraktive Ziele für Lösegelderpresser, sondern auch für diverse Feinde von Freiheit und Demokratie.“ Nicht zuletzt im Kriegsfall werden auch staatlich organisierte Cyberangriffe erwartet, wie sie bereits - gesteuert vom Iran - in Israel stattfanden. Neben Krankenhäusern können auch Arztpraxen, Krankenkassen und auf Kund:innen aus dem Gesundheitsbereich spezialisierte IT-Dienstleister Ziel von Angriffen sein. Eine Umfrage ergab, dass 2022 drei Viertel aller Gesundheitseinrichtungen Angriffsversuche registrierten, von denen ein Drittel Folgen hatte. Häufiger als in anderen Bereichen sind Krankenhäuser auch bereit, für die Entschlüsselung ihrer Daten Lösegelder zu zahlen, was ebenfalls einen Anreiz für potenzielle Angreifer darstellt.[1]

Die virtuelle Absicherung ist so notwendig wie der Schutz vor traditionellen Gefahren. Oder könnten Sie sich ein Krankenhaus ohne Feuerlöscher und Fluchtwege vorstellen?“
Jörg Asma,Partner Cyber Security bei PwC Deutschland (Quelle)

Chronologie der Sicherheitsvorfälle[Bearbeiten]

Die folgende Aufzählung ist mit Sicherheit nicht vollständig; Ergänzungen sind willkommen.

2020[Bearbeiten]

Einer der folgenschwersten Hackerangriffe auf ein Krankenhaus traf die Düsseldorfer Uniklinik; er führte im September 2020 zum Tod einer Patientin. Da die IT-Systeme der Uniklinik ausgefallen waren, wurde sie in ein anderes, 25 km entferntes Krankenhaus verlegt, wo sie wegen der verspäteten Behandlung starb. Das Krankenhaus stand 13 Tage lang für Rettungsdienste nicht zur Verfügung. Das eigentliche Ziel der Erpresser war die Universität selbst gewesen; nachdem die Polizei ihnen mitteilte, dass ein Krankenhaus betroffen und Patienten gefährdet waren, zogen sie ihre Forderung zurück und händigten den Schlüssel aus, mit dem die verschlüsselten Daten wiederhergestellt werden konnten.[2]

2021[Bearbeiten]

Am 14.07.2021 meldete das Städtische Klinikum Wolfenbüttel einen Angriff mit Ransomware;[3] den Hackern, so ein Sprecher des Klinikums, gehe es um Geld, Daten seien nicht abgeflossen. Die medizinische Versorgung sei nicht gefährdet, die notwendige Dokumentation sei vorerst auf Papier und Stift umgestellt worden. Ein Sprecher der Staatsanwaltschaft lobte die Vorbereitung der Klinik auf ein solches Szenario. Der Angriff sei schnell entdeckt worden, eine aktuelle Sicherung wichtiger Daten sei vorhanden.[4]

Im September 2021 wurden die Rechner des privaten SRH-Klinikverbunds angegriffen. Betroffen waren wohl hauptsächlich Server in Bildungseinrichtungen des Verbunds, aus Sicherheitsgründen wurden jedoch die Systeme von vielen Kliniken ebenfalls zeitweilig vom Netz genommen.[5]

Am 29.11.2021 wurde auf dem Mailserver der Bayerischen Krankenhausgesellschaft (BKG) Schadsoftware aktiv, die Mails mit Signaturen von Angestellten der Krankenhausgesellschaft verschickte; dies wurde zwei Tage später bekanntgegeben. Die Mail-Kommunikation der BKG war einige Tage lang nicht möglich. Weitere Systeme waren laut BKG nicht betroffen, insbesondere keine Krankenhäuser.[6]

Zwei Tage später, am 01.12.2021 wurde dann in den IT-Systemen des Klinikums Braunschweig ein Schadprogramm entdeckt. Das Problem konnte jedoch innerhalb weniger Stunden behoben werden; in dieser Zeit war keine Mail-Kommunikation möglich. Für die Versorgung von Patient*innen relevante Systeme waren nicht betroffen.[7]

2022[Bearbeiten]

Das Klinikum Lippe mit Sitz in Detmold und weiteren Standorten in Lemgo und Bad Salzuflen, nach eigenen Angaben eines der größten kommunalen Krankenhäuser Deutschlands, wurde am 17.11.2022 Opfer eines Cyberangriffs. Die Überwachungssysteme des Klinikums bemerkten den Angriff, die gesamte IT-Infrastruktur wurde heruntergefahren und von externen Netzen getrennt. Das Klinikum schaltete das Landeskriminalamt ein und beauftragte zusätzlich spezielle IT-Dienstleistungsunternehmen. Die IT-Infrastruktur wurde nach Angaben der Klinik neu aufgesetzt. Anscheinend reichten jedoch die Datensicherungen nicht aus, verschlüsselte Daten mussten wiedergewonnen werden. Jedenfalls meldete das Klinikum am 30.11., "nach intensiven Verhandlungen mit den Erpressern" sei es gelungen, "die Übergabe der notwendigen Daten zur Entschlüsselung der Systeme zu erhalten". Ein Lösegeld sei nicht gezahlt worden.[8]

2023[Bearbeiten]

Am 31.01.2023 wurden die Homepages mehrerer Kliniken in Franken durch einen DDos-Angriff[9] für einige Stunden beeinträchtigt. Die Angriffe konnten durch einfache Sicherheitsmaßnahmen abgewehrt werden und betrafen nicht die interne IT der Kliniken. Betroffen waren u.a. die Geomed-Klinik in Gerolzhofen (Landkreis Schweinfurt) sowie das Stadtkrankenhaus der kreisfreien Stadt Schwabach (Regierungsbezirk Mittelfranken). Es gibt Anzeichen dafür, dass die Angriffe von russischen Hackern ausgingen und mit dem Ukraine-Krieg in Zusammenhang stehen.[10]

Am 10.05.2023 wurde das Netz des Bremer Klinikverbunds "Gesundheit Nord" (kurz Geno) vom Internet abgekoppelt, nachdem "ungewöhnliche Vorgänge" festgestellt wurden. Intern blieb das Netz intakt, so dass die Einrichtungen des Klinikverbundes sich untereinander E-Mails schicken konnten, doch war die elektronische Kommunikation nach außen nicht mehr möglich. Ob es sich um einen Cyberangriff handelte, konnte auch nach drei Tagen noch nicht mitgeteilt werden.[11]

Das Klinikum Esslingen (Baden-Württemberg) stellte am 28.11.2023 einen Angriff fest, der unter Ausnutzung einer Schwachstelle in der Kommunikationssoftware Citrix ausgeführt wurde. Laut Auskunft des Klinikums wurde "gezielt Schaden" bei einigen Servern angerichtet. Bildgebende Systeme in der Radiologie, im Bereich Ultraschall und Endoskopie seien betroffen. In der Verwaltung seien unternehmensinterne Daten gelöscht worden, Patientendaten seien jedoch nicht abgeflossen. Das Klinikum richtete einen Krisenstab ein und schaltete die Polizei ein. Die Klinikleitung rechnete damit, einen voll funktionsfähigen Klinikbetrieb innerhalb eines Tages wiederherzustellen.[12]

Gleich drei Krankenhäuser, die alle zur Katholischen Hospitalvereinigung Ostwestfalen (KHO) gGmbH gehören, waren am 24.12.2023 Ziel eines Cyberangriffs. Es handelt sich um das Franziskus Hospital Bielefeld, das Sankt Vinzenz Hospital Rheda-Wiedenbrück und das Mathilden Hospital Herford; später wurde bekannt, dass auch Häuser in Erwitte und Geseke betroffen waren, die attackierten Kliniken haben zusammen 455 Betten. Vermutet wurde, dass mit der Ransomware Lockbit 3.0 Daten verschlüsselt wurden. Die Systeme wurden sofort heruntergefahren, die IT der betroffenen Krankenhäuser fiel komplett aus. Ein Team aus internen und externen IT-Sicherheitsspezialist:innen wurde gebildet, um den Vorfall aufzuklären und Daten zu sichern. Auch die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) der Staatsanwaltschaft sowie Expert:innen der Polizei Dortmund wurden eingeschaltet. Die Versorgung der Patient:innen, so die Hospitalvereinigung, laufe mit geringen Einschränkungen weiter, die Kliniken wurden jedoch von der Notfallversorgung abgemeldet.[13]

2024[Bearbeiten]

Am 27.01.2024, traf es die Bezirkskliniken Mittelfranken (Bayern), ein kommunales Gesundheitsunternehmen des Bezirks Mittelfranken für psychische und neurologische Erkrankungen. Bei den Analysen stellte das Unternehmen fest, dass die Angreifer nicht nur Daten verschlüsselt, sondern zuvor auch abgezogen hatten, darunter auch personenbezogene und unternehmensinterne Daten. Alle IT-Systeme wurden vom Netz getrennt, Polizei, Staatsanwaltschaft und die Datenschutzbehörden wurden informiert. Die Kliniken wurden von der Notfallversorgung abgemeldet, ein Krisenstab wurde gebildet. Der Klinikbetrieb lief weiter, jedoch war teilweise die Kommunikation nach außen beeinträchtigt. Die Angreifer nahmen Kontakt mit dem Unternehmen auf, dieses weigerte sich jedoch, ein Lösegeld zu zahlen: "Wir nehmen bewusst die Umstände in Kauf, statt das kriminelle Handeln der Hacker zu unterstützen", heißt es in der entsprechenden Mitteilung des Unternehmens vom 01.02.[14]

Zwei Tage später, am 29.01.2024, wurde ein Cyberangriff auf die Caritas-Klinik Dominikus in Berlin festgestellt. Nach eigenen Angaben leitete die Klinik gemeinsam mit einer externen Sicherheitsfirma unverzüglich Maßnahmen ein, um die Ausbreitung des Angriffs zu stoppen und die Situation zu analysieren. Ein Krisenstab wurde eingerichtet und Anzeige bei der Kriminalpolizei erstattet. Auch die Datenschutzbehörden wurden unterrichtet. Der Klinikbetrieb laufe weiter, doch wie in vorhergehenden Fällen wurde die Rettungsstelle des Krankenhauses von der Notfallversorgung abgemeldet. Die digitale Kommunikation und die Erreichbarkeit seien jedoch beeinträchtigt. Ein Mobiltelefon mit einer Notfallnummer stellte die Kommunikation sicher. Die Klinik sei durch Notfallpläne und eine klare Backup-Strategie gut vorbereitet und können die Krisensituation daher meistern. Die können aufgrund der riesigen Datenmenge jedoch dauern. Sollten Daten in falsche Hände gelangt sein, würden Betroffene umgehend informiert. Eine Woche nach dem Angriff, am 05.02., teilte die Klinik mit, dass die Telefonanlage wieder in Betrieb und die Klinik daher wieder regulär erreichbar sei. Die Maßnahmen zum Wiederaufbau der IT-Struktur seien zügig vorangeschritten, dauerten jedoch offenbar noch an.[15]

Empfehlungen zur Vorbeugung[Bearbeiten]

Laut Lehmann/Matusiewicz wären die meisten Hackerangriffe vermeidbar gewesen, wenn die Branchenspezifischen Sicherheitsstandards (B3S) eingehalten worden wären. Die Autor:innen verweisen darauf, dass Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr dem Umsetzungsplan der kritischen Infrastruktur (UP KRITIS) unterliegen. Dieser von der Deutschen Krankenhausgesellschaft (DKG) in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Plan enthält etwa 200 Empfehlungen und Anforderungen für Maßnahmen, die sich auf die Dimensionen Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Daten beziehen. Die Verpflichtungen, IT-Sicherheitsvorkehrungen zu treffen, resultieren auch aus § 75c SGB V, dem Patientendaten-Schutz-Gesetz (PDSG) und dem BSI-Gesetz.

Die B3S sehen auch eine Audit der Sicherheitsmaßnahmen alle zwei Jahre vor; dies bewerten Lehmann/Matusiewicz jedoch kritisch, weil dabei nur die Prozesse und nicht die Technik überprüft werden und weil die Auditor:innen vom Krankenhaus bezahlt werden, so dass ein Interessenkonflikt entsteht und eher ein preisgünstiges Audit gewählt wird. Die Autor:innen empfehlen daher die Einrichtung einer neutralen Prüfinstanz.

Projekt "SiKIS": Sicherheit von Informationssystemen[Bearbeiten]

Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) prüft das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) die Sicherheit von Krankenhausinformationssystemen. Das Projekt "Sicherheitseigenschaften von Krankenhausinformationssystemen" (SiKIS) läuft vom November 2023 bis November 2024; die Forscher:innen suchen dabei gezielt nach Schwachstellen, beispielsweise überprüfen sie, wie die Informationssysteme auf absichtlich falsche Eingabewerte oder nicht standardkonforme Nachrichten reagieren. Die teilnehmenden Krankenhäuser können so einen kostenlosen Penetrationstest und einen anschließenden Schwachstellenreport erhalten; auch die Hersteller der jeweiligen Software werden über gefundene Angriffsmöglichkeiten informiert.[16]

Oft übersehen: Gefährdung der Operational Technology[Bearbeiten]

Auch die Operational Technology (OT), die Steuerungssysteme von medizinischen Geräten und der Gebäudeinfrastruktur, kann zum Angriffsziel werden. Diese wird nicht immer in gleicher Weise in den Blick genommen wie die eigentliche IT-Infrastruktur. Hinzu kommt, dass medizinische Geräte ein Zulassungsverfahren durchlaufen müssen und ohne erneute Überprüfung nicht verändert werden dürfen. Dies hindert die Hersteller oft daran, zeitnah auf Sicherheitslücken zu reagieren und Updates bereitzustellen. So kommt in medizinischen Geräten oft veraltete Software zum Einsatz.

Fußnoten[Bearbeiten]

  1. Tagesspiegel, „Krankenhäuser nie so bedroht wie heute“, 15.01.2024
  2. Heise, Hackerangriff auf Uniklinik Düsseldorf: Ermittlungen nach Tod einer Frau, zuletzt aktualisiert 17.09.2020; Lehmann/Matusiewicz (siehe unter Links und weitere Materialien)
  3. Zum Begriff siehe den Abschnitt Ransomware im Artikel Cyberangriffe.
  4. heise, Cybercrime: Ransomware legt IT des Klinikums Wolfenbüttel lahm, 15.07.2021; siehe auch NDR: Wolfenbüttel: Vielversprechende Spuren nach Hackerangriff, 19.07.2021.
  5. Golem.de: Mehrere Kliniken nach Hackerangriff vom Netz genommen, 22.09.2021
  6. Golem, Hackerangriff auf Krankenhausgesellschaft, 02.12.2021
  7. NDR, Klinikum Braunschweig wehrt Cyber-Attacke ab, 02.12.2021
  8. Radio Lippe, Massiver Hackerangriff auf das Klinikum Lippe, 17.11.2022; Klinikum Lippe, Teilausfall der IT-Systeme, zuletzt aktualisiert 30.11.2022; heise: Ransomware: Klinikum Lippe entschlüsselt Daten nach "intensiven Verhandlungen", 30.11.2022; Radio Lippe: Hackerangriff auf Klinikum Lippe beendet - keine Lösegeldzahlung, 30.11.2022
  9. Siehe zu diesem Begriff den Abschnitt DDoS-Attacke im Artikel Cyberangriffe.
  10. BR, Hacker-Angriffe auf mehrere Kliniken in Franken, 01.02.2023
  11. heise, Vermuteter Cyber-Angriff: Bremer Kliniken seit Mittwoch ohne Internet, 13.05.2023
  12. Der Teckbote, Hackerangriff auf das Klinikum Esslingen, 29.11.2023; heise online: Cyberangriff auf Klinikum Esslingen gelang über Schwachstelle in Citrix-Zugang, 01.12.2023
  13. heise: Cyberangriff auf Kliniken in Ostwestfalen, 25.12.2023; Golem: Weihnachtliche IT-Ausfälle in drei deutschen Kliniken, 27.12.2023; t-online: "Wir haben einen kompletten EDV-Ausfall", zuletzt aktualisiert 03.02.2024
  14. Bezirkskliniken Mittelfranken: Hackerangriff in den Bezirkskliniken Mittelfranken, Pressemitteilung vom 28.01.2024; BR, Hackerangriff auf Bezirkskliniken Mittelfranken, 29.01.2024; Borns IT- und Windows-Blog: Cyberangriff auf Bezirkskliniken Mittelfranken, Daten abgezogen, IT seit 27.1.2024 offline, 30.01.2024; Bezirkskliniken Mittelfranken: Update zum Hackerangriff in den Bezirkskliniken Mittelfranken, 01.02.2024; heise: Cyberangriff: Kliniken Mittelfranken verhandeln nicht, Neustart der Systeme, 01.02.2024
  15. Caritasverband Berlin: Caritas-Klinik Dominikus von Cyberangriff betroffen, 31.01.2024; heise: Caritas-Klinik Dominikus: Nächstes Krankenhaus kämpft mit Ransomware, 01.02.2024; Borns IT- und Windows-Blog: Cyberangriffe: Landratsamt Kelheim; Caritas-Klinik Dominikus in Berlin; Datenfunde im Darknet, 02.02.2024; Tagesspiegel, Caritas-Klinik in Berlin-Reinickendorf wieder erreichbar, 05.02.2024
  16. Fraunhofer SIT: [SiKIS - Sicherheitseigenschaften von Krankenhausinformationssystemen]; heise: Studie prüft IT-Sicherheit von Krankenhäusern, Interview mit Dr. Christoph Saatjohann, Mitglied der Forschungsgruppe "Applied Cryptography and Medical IT Security" am SIT, 20.12.2023

Links und Materialien[Bearbeiten]

Literatur[Bearbeiten]

  • Thomas Jäschke (Hrsg.): Datenschutz, Informations- und Cybersicherheit im Gesundheitswesen. Grundlagen – Konzepte – Umsetzung. 3. Auflage 2023, Medizinisch Wissenschaftliche Verlagsgesellschaft Berlin, 468 Seiten, ISBN: 978-3-95466-823-6, 99,95 €

Siehe auch[Bearbeiten]