Blog | Fachbeitrag

05.2024

Im Visier der Hacker: So schützen Sie Ihr Krankenhaus vor einem Cyberangriff

Cyberkriminelle greifen immer häufiger Krankenhäuser an. Damit gefährden sie die Sicherheit der Patientenversorgung und fügen den Kliniken wirtschaftlichen Schaden zu. Der Schutz der digitalen Infrastruktur im Krankenhaus wird daher immer wichtiger. Und dafür können Kliniken viel tun.

Hackerangriffe auf Krankenhäuser sind ein sensibles Thema. Zwar wird in der Öffentlichkeit zunehmend darüber berichtet, wenn Kliniken von Cyberkriminellen angegriffen werden. Es ist jedoch davon auszugehen, dass die Dunkelziffer der betroffenen Einrichtungen weitaus höher liegt. Zu groß ist die Angst vor einem Reputationsverlust der eigenen Einrichtung, sodass Angriffe häufig nicht den Behörden oder der Presse gemeldet werden. Dabei sind Cyber-Angriffe auf Gesundheitseinrichtungen und insbesondere Krankenhäuser kein Makel, sondern mittlerweile fast alltäglich.

132 Meldungen über Cyberangriffe aus dem Gesundheitssektor erhielt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den Jahren 2022 und 2023. Die Behörde schätzt die Bedrohungslage im Cyberraum insgesamt als besorgniserregend ein. „Diese Einschätzung gilt auch für Einrichtungen des Gesundheitswesens“, teilte das Amt im November mit. Die Frage ist also nicht ob, sondern wann ein Krankenhaus Ziel eines Cyberangriffs wird. Höchste Zeit also, dem Schutz der digitalen Infrastruktur die nötige Priorität einzuräumen.

Cyberangriff Krankenhaus: Ursachen für die Zunahme

Die Zunahme von Cyberangriffen auf Gesundheitseinrichtungen hat verschiedene Ursachen. So gibt es mittlerweile weltweit eine wachsende Hackerindustrie, die ausschließlich finanzielle Interessen verfolgt. Angreifer versuchen, Daten zu verschlüsseln, um Geld zu erpressen. Die Angriffe werden automatisiert und in hoher Frequenz durchgeführt, was die Wahrscheinlichkeit eines Erfolgs erhöht. Da in Kliniken der Druck besonders hoch ist, schnell wieder normal arbeiten zu können, um die Patientenversorgung sicherzustellen, sehen Hacker hier erhöhte Chancen, Lösegeld zu erpressen.

Zunehmend sind auch Staaten cyberkriminell aktiv. Sie nutzen Cyberangriffe jedoch nicht für finanzielle Ziele, sondern als Mittel der hybriden Kriegsführung. Einige Regierungen beschäftigen und bezahlen Experten, die Cyberangriffe in anderen Ländern durchführen, um an Informationen zu gelangen oder sich Vorteile in Konflikten zu verschaffen. Angriffe auf Gesundheitseinrichtungen zielen vermutlich vor allem darauf ab, das Vertrauen der Gesellschaft in ihre Institutionen zu untergraben und ein allgemeines Gefühl der Unsicherheit zu schüren.

Eine dritte Gruppe von Angreifern sind Hacker, die es als Hobby betrachten, Sicherheitslücken aufzuspüren und in Systeme einzudringen, um zu zeigen, dass sie besser mit IT umgehen können als große Institutionen. Manche Hacker verkaufen aber auch Informationen über Sicherheitslücken im Darknet.

Die zunehmende Digitalisierung im Gesundheitswesen führt parallel dazu, dass die Angriffsfläche auch im Krankenhaus größer wird. Denn jedes Gerät, das mit dem Internet verbunden ist, ist potenziell angreifbar und kann ein Einfallstor für Angriffe sein.

Neue Seminare:
IT-Sicherheit im Krankenhaus

Zur consus healthcare akademie

Folgen eines Cyberangriffs auf ein Krankenhaus

Wird ein Krankenhaus von Hackern angegriffen, können die Folgen unterschiedlich schwer sein. Sie reichen vom Ausfall einzelner PCs über den Diebstahl und die Veröffentlichung sensibler Patientendaten bis hin zum monatelangen Totalausfall der gesamten IT-Infrastruktur. Im schlimmsten Fall werden auch Menschenleben gefährdet, wenn beispielsweise Behandlungstermine abgesagt, Notaufnahmen geschlossen und Rettungswagen in entferntere Kliniken umgeleitet werden müssen.

Ein besonders schwerwiegender Vorfall war der Cyberangriff auf das Universitätsklinikum Düsseldorf 2020, bei dem unbekannte Täter in der Nacht zum 10. September auf einen Schlag 30 Server des Klinikums verschlüsselten. Telefone, E-Mails, der Zugriff auf Patientendaten – fast alles stand plötzlich still. Operationen mussten abgesagt werden, die Klinik meldete sich von der Notfallversorgung ab. Statt 70 bis 120 Operationen pro Tag konnten nur zehn bis 15 durchgeführt werden. Rettungswagen wurden tagelang zu anderen Krankenhäusern umgeleitet. Erst 13 Tage nach dem Angriff konnte das Universitätsklinikum die Notfallversorgung wieder aufnehmen. Die vollständige Wiederherstellung der IT-Infrastruktur dauerte Monate.

»Im Extremfall kann ein Großangriff ein Krankenhaus in die Insolvenz treiben.«

Unabhängig von der Schwere eines Cyberangriffs bedeutet er für ein Krankenhaus immer auch einen finanziellen Verlust. Meist müssen externe Dienstleister beauftragt werden, um den Schaden zu lokalisieren und zu beheben. In vielen Fällen muss neue Hardware angeschafft werden. Im Extremfall kann ein Großangriff ein Krankenhaus sogar in die Insolvenz treiben. Einnahmeausfälle durch ausgefallene Behandlungen sind für Krankenhäuser heute nur schwer zu verkraften, da die meisten über keine großen finanziellen Polster verfügen.

Mit dem Newsletter keine aktuellen Beiträge mehr verpassen

Jetzt abonnieren

Häufige Arten von Cyberangriffen

Es gibt verschiedene Arten von Cyberattacken, die unterschiedlich funktionieren. Hier sind die häufigsten:

Malware

Software, die auf einem Rechner Schaden anrichtet, wird als Malware bezeichnet. Dazu gehören Viren oder Ransomware. Ransomware heißt übersetzt so viel wie Erpresserprogramm, denn es zielt auf die Blockade des Computersystems oder die Verschlüsselung der Betriebs- und Nutzerdaten ab, um anschließend Lösegeld von den Geschädigten zu verlangen. Um Malware auf einem Rechner zu installieren, muss der Nutzer selbst auf einen Link zum Öffnen einer Datei klicken oder einen E-Mail-Anhang öffnen. Diese Aufforderungen werden meist in so genannten Phishing-Mails verschickt.

SQL-Injektionsangriff

Ein Angriff auf SQL-Server, der bekannte Schwachstellen ausnutzt, nennt man SQL-Injektionsangriff. Der Angreifer versucht den Server mithilfe eines bösartigen Codes dazu zu bringen, Informationen preiszugeben, die normalerweise nicht preisgegeben werden (z.B. Kreditkartennummern, Anmeldeinformationen).

Cross-Site-Scripting-Angriffe

Ähnlich wie ein SQL-Injektionsangriff funktioniert ein Cross-Site Scripting Angriff auf eine Website. Die Website selbst wird dabei aber nicht angegriffen, sondern es wird der Webbrowser genutzt, um schädliche Skripte in der Website einzubetten. Der Browser erkennt nicht, dass die Skripte nicht vertrauenswürdig sind, und führt sie bedenkenlos aus.

Denial-of-Service-Angriff

Wird eine Website mit mehr Datenverkehr überschwemmt, als sie verarbeiten kann, spricht man von einem Denial-of-Service-Angriff (DoS-Angriff). Der Server wird überlastet und ist nicht mehr erreichbar.

Session-Hijacking

Wird eine Internetsitzung von einem Angreifer gekapert, indem er sich als ein Computer ausgibt, der etwas anfordert, spricht man von Session-Hijacking. Er kann sich dann als legitimer Benutzer anmelden und an Informationen gelangen, die nicht für ihn bestimmt sind.

Diebstahl von Zugangsdaten

Häufig werden einfach gestohlene Zugangsdaten verwendet, die auf verschiedenen Wegen beschafft wurden. Der Angreifer geht davon aus, dass Benutzer häufig die gleichen Benutzernamen und Passwörter verwenden. Das ist nicht ungewöhnlich, wenn man ehrlich ist und sein eigenes Nutzerverhalten beobachtet.

Zero-Day-Sicherheitslücke

Wenn es Sicherheitslücken in einem System oder einer Software gibt, die dem Hersteller oder Anbieter nicht bekannt sind, nennt man das Zero-Day-Sicherheitslücke. Solche Schwachstellen werden heutzutage über das Darknet zum Kauf angeboten und bleiben häufig so lange unentdeckt, bis sie genutzt werden. Als Betroffener hat man null Tage Zeit, um die Schwachstelle zu beheben, daher der Name. Sobald der Hersteller über die Lücke informiert wurde, wird er sie schließen und es muss schnellstmöglich ein Patch ausgeliefert und eingespielt werden.

Social Engineering

Hacker können auch ohne ausgefeilte Technologien an sensible Daten gelangen. Beim Social Engineering werden Menschen per E-Mail oder Social-Media-Chat geschickt manipuliert und getäuscht, damit sie unvorsichtig werden und Informationen preisgeben. Die Täter geben sich als Kunden oder IT-Support aus oder nutzen die Hilfsbereitschaft ahnungsloser Menschen aus.

Strategien gegen Cyberangriffe

Die Gefahr ist erkannt, aber wie kann sie gebannt werden? Klar ist, dass sich Krankenhäuser mit allen zur Verfügung stehenden Mitteln schützen müssen. Dies liegt nicht nur in ihrem eigenen wirtschaftlichen Interesse, sondern auch im Sicherheitsinteresse der Bevölkerung. Krankenhäuser sind Teil der Kritischen Infrastruktur KRITIS und damit ebenso lebensnotwendig und grundlegend für das Funktionieren der Gesellschaft wie Wasser, Strom und Lebensmittel. Der Schutz vor Cyber-Angriffen ist für Krankenhäuser daher unerlässlich. Folgende Maßnahmen sollten dazu umgesetzt werden.

IT-Infrastruktur modernisieren

Häufig sind in den Kliniken noch sehr alte Geräte im Einsatz, auf die keine modernen Sicherheitsupdates mehr aufgespielt werden können. Diese müssen ausgetauscht werden, auch wenn die Geräte auf den ersten Blick noch funktionieren. Außerdem müssen die Systeme regelmäßig und zeitnah gepatcht werden, damit die Sicherheitsupdates immer aktuell sind.

Mitarbeiter schulen und sensibilisieren

Laut dem „Global Risk Report 2022“ des Weltwirtschaftsforums sind 95 Prozent aller Cybersicherheitsverletzungen auf menschliches Versagen zurückzuführen. Damit liegt hier der Schlüssel zum Schutz vor Cyberkriminalität. Mitarbeiter sollten regelmäßig für die bestehende Bedrohung sensibilisiert und geschult werden. Regelmäßige Awareness-Schulungen helfen, das richtige Verhalten im Umgang mit der IT klinikweit umzusetzen. Darüber hinaus sollten Notfallpläne erstellt und Notfallübungen durchgeführt werden, in denen der Ernstfall simuliert wird. Ist es tatsächlich zu einem Angriff gekommen, ist entscheidend, wann dieser entdeckt wird, wie man vorbereitet ist und welche Gegenmaßnahmen ergriffen werden. Wichtig ist, sehr genau zu analysieren, wann, wie und wo der Angriff stattgefunden hat, um eventuelle Spätfolgen zu vermeiden oder möglichst gering zu halten.

Eine Frau sitzt vor einem Computerbildschirm, auf dem ein Schloss zu sehen ist.

Gesetzliche Vorgaben umsetzen

Durch die Einstufung von Krankenhäusern als kritische Infrastruktur gibt es IT-Sicherheitsvorgaben, die eingehalten werden müssen. Seit 2022 sind laut § 75c SGB V „IT-Sicherheit in Krankenhäusern“ alle Kliniken dazu verpflichtet, “nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ ihrer IT-Systeme zu treffen. Die ab 2023 geltende neue EU-Richtlinie “NIS2” verschärft die Anforderungen an die Cybersicherheit weiter. Krankenhäuser müssen demnach umfassende Maßnahmen zur Risikobewertung, Sicherheitsimplementierung und Reaktion auf Angriffe ergreifen. Die Richtlinie muss bis Oktober 2024 in nationales Recht umgesetzt werden und ist dann für Krankenhäuser verpflichtend. Die Zeit bis dahin sollten Kliniken nutzen, um sich auf die neuen Anforderungen vorzubereiten.

KHZG-Gelder zielgerichtet einsetzen

Bei der Digitalisierung unterstützen Bund und Länder die Krankenhäuser mit dem Krankenhauszukunftsgesetz (KHZG). Bei der Umsetzung der bewilligten Projekte sind die Kliniken verpflichtet, 15 Prozent der Fördermittel zweckgebunden für die Verbesserung der IT-Sicherheit einzusetzen. Zwar sind die Fristen zur Beantragung abgelaufen, aber die Fristen zur Umsetzung der entsprechenden Projekte wurde deutlich verlängert. Bis Ende 2024 müssen die Projekte beauftragt sein. Dabei ist darauf zu achten, dass die Mittel an den richtigen Stellen eingesetzt werden. Die Maßnahmen müssen in das Gesamt-Sicherheitskonzept der Klinik passen und ineinandergreifen. IT-Sicherheit ist immer ein Bündel von Maßnahmen, das die gesamte Infrastruktur schützt.

Cybersicherheit im Krankenhaus zur Chefsache machen

Die meisten Experten sind sich einig: Eine hundertprozentige Sicherheit vor Cyberangriffen gibt es nicht. Je mehr die Digitalisierung im Krankenhaus voranschreitet, desto größer wird die Angriffsfläche für Hacker. Umso wichtiger ist es, alles zu tun, um den Schutz zu erhöhen. Cybersicherheit sollte in jeder Klinik Chefsache sein und ein wichtiger Fokus sollte auf der Schulung der Mitarbeiter liegen. Denn durch aufmerksames Nutzerverhalten können viele Angriffsversuche abgewehrt werden.

Sie finden diesen Artikel interessant und möchten ihn teilen?

Link kopieren

Frank Kleemann

Leitung Digitalisierung & IT

Frank Kleemann leitet den Bereich Digitalisierung und IT bei consus.health. Hier entwickelt er den BI- und IT-Bereich mit datengetriebenen Lösungen weiter. Ein weiterer Schwerpunkt seiner Arbeit ist die Unterstützung der Kunden auf dem Weg der Digitalisierung. Vor consus baute er federführend die IT der Autobahn GmbH des Bundes auf. Darüber hinaus verfügt er über langjährige Führungserfahrung in der Krankenhaus-IT.

Jetzt kontaktieren