Suchen

DRK

Wieder Attacken auf Krankenhäuser

| Autor/ Redakteur: Susanne Ehneß / Julia Engelke

Erneut wurden deutsche Krankenhäuser per Erpressungstrojaner lahmgelegt. Was Datenschutz und Security-Anbieter dazu sagen – und was Kliniken im Notfall tun können.

Firmen zum Thema

Erneut gab es einen Ransomware-Angriff auf Krankenhäuser
Erneut gab es einen Ransomware-Angriff auf Krankenhäuser
( © Andrey Popov-stock.adobe.com )
  • Angriff auf die Trägergesellschaft Süd-West des Deutschen Roten Kreuzes (DRK)
  • Ransomware zielt bewusst auf öffentliche Einrichtungen
  • Im Notfall auf Handbetrieb umstellen

Die Trägergesellschaft Süd-West des Deutschen Roten Kreuzes (DRK) ist kürzlich Opfer eines Ransomware-Angriffs geworden. Unter dem Dach der DRK-Trägergesellschaft befinden sich elf Krankenhäuser an dreizehn Standorten und vier Altenpflegeeinrichtungen in den Bundesländern Rheinland-Pfalz und Saarland, die meisten davon haben die Folgen des Angriffs auf die IT-Infrastruktur durch Schadsoftware gespürt. „Die durch diese erfolgte Verschlüsselung von Daten im IT-Verbund der Trägergesellschaft hat zu weitreichenden Beeinträchtigungen des Krankenhausbetriebs geführt“, erklärte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann. Mittlerweile sollen die meisten Häuser wieder in den Normalbetrieb zurückgekehrt sein.

Der DSGVO verpflichtet

Die DRK-Trägergesellschaft hat den Angriff auf ihre IT-Infrastruktur gemäß Artikel 33 der EU-Datenschutz-Grundverordnung (DSGVO) dem LfDI als zuständige Aufsichtsbehörde angezeigt, daraufhin wurde ein förmliches Verfahren zur Aufklärung der Angelegenheit eingeleitet.

„Informationstechnik ist in den administrativen und medizinischen Prozessen für eine zeitgemäße Patientenversorgung unverzichtbar. Der aktuelle Vorfall belegt jedoch, wie verwundbar Krankenhäuser mit der Digitalisierung ihre Abläufe werden und wie wichtig es deshalb ist, geeignete und wirksame Vorkehrungen zum Schutz der Patientendaten bereits präventiv zu ergreifen“, so Dr. Kugelmann. „IT-Strukturen und Patientendaten müssen daher über eine ausreichende Widerstandsfähigkeit gegenüber Cyber-Attacken und einen angemessenen Schutz verfügen. Andernfalls drohen Schäden für die Gesundheit und den Datenschutz von Patientinnen und Patienten und wirtschaftliche Schäden.“

Krankenhäuser, die aufgrund der Zahl ihrer Behandlungsfälle als kritische Infrastruktur (KRITIS) gelten, unterliegen laut Dr. Kugelmann schon nach den Vorgaben des Informationssicherheitsrechts der Pflicht, bestimmte Sicherheitsvorkehrungen zu treffen. Die Deutsche Krankenhausgesellschaft habe in diesem Zusammenhang den branchenspezifischen Sicherheitsstandard zur Informationssicherheit im Krankenhaus erstellt. „Die Notwendigkeit des Schutzes kritischer Infrastrukturen steht außer Zweifel“, so Dr. Kugelmann, „das Recht der Patienten, dass ihre Daten vor Beeinträchtigungen geschützt sind, kann aber nicht von Behandlungszahlen abhängig gemacht werden, sondern muss immer in allen stationären Einrichtungen gewährleistet werden. Deshalb decken sich in diesem Zusammenhang die Anforderungen des Datenschutzes und der Informationssicherheit. Auch Einrichtungen unterhalb der KRITIS-Schwelle müssen daher geeignete Schutzmaßnahmen nach dem Stand der Technik vorsehen. Die EU Datenschutz-Grundverordnung verpflichtet sie dazu.“

Schutzwall gegen gezielte Angriffe

Nicht nur beim Datenschutz, auch bei den Security-Software-Anbietern läuten bei solchen Vorfällen sämtliche Alarmglocken. „Man kann nur vermuten, dass wieder einmal ein tüchtiger Mitarbeiter auf eine gut gefälschte eMail hereingefallen ist, wie es allein in Deutschland täglich hundertfach passiert“, kommentiert Jochen Koehler von Anbieter Bromium. Wirklich vorwerfen könne man es diesem Mitarbeiter sicher nicht. „Vielleicht ist es doch an der Zeit, die Sicherheitstechnik ein wenig aufzurüsten und sich nicht länger allein auf die rechtzeitige Detektion von Schadcode zu verlassen. Der folgerichtige Weg ist die Isolation aller riskanten Anwenderaktivitäten. Solche Lösungen setzen nicht reaktiv auf die reine Erkennung von Angriffen, sondern bauen proaktiv einen Schutzwall auf“, erläutert Koehler und schließt mit einem kleinen Seitenhieb: „Derartige Maßnahmen dürften dem Gesundheitswesen nicht unbekannt sein: Patienten aus Epidemie-Krisengebieten werden bei ihrer Aufnahme ja schließlich auch isoliert.“

Von ungezielten, zufälligen Angriffen kann man nach Einschätzung von Dirk Arendt von Anbieter Checkpoint nicht sprechen: „Wir haben es hier nicht mehr mit Wellen von Ransomware-Angriffen zu tun, die sich durch Zufall verbreiten und solche Einrichtungen als Kollateralschäden treffen.“ Ransomware ziele bewusst auf öffentliche Einrichtungen. „Bei der Gemeinde Niestetal wurden die IT-Systeme der Verwaltung und des Rathauses im April zeitweise lahmgelegt. Im Mai war es die Verwaltung der Gemeinde Veitsbronn im Landkreis Fürth, die mit einer Ransomware zu kämpfen hatte. In den USA sind Universitäten und sogar Städte betroffen. Das Problem wuchs in Nordamerika derart an, dass sich 227 Bürgermeister zusammengeschlossen haben, um in einer Meldung zu verkünden, dass sie kein Lösegeld mehr zahlen. Der Beschluss folgte der Meldung, dass der Stadtrat der Kleinstadt Riviera Beach in Florida tatsächlich Bitcoin im Wert von umgerechnet 600.000 US-Dollar Lösegeld zahlte, um die IT-Systeme zu entschlüsseln. Mit dieser Entscheidung stehen sie nicht allein, mehrere Städte zahlten und spielten den Angreifern so in die Hände. Seit Jahresbeginn wurden insgesamt 22 Städte und Gemeinden in den USA von Ransomware getroffen“, erläutert Arendt. Öffentliche Verwaltungen, Betreiber von Krankenhäusern und KRITIS-Betreiber sollten daher allgemein unbedingt wachsam bleiben. Als technische Maßnahmen empfiehlt er IT-Sicherheitslösungen wie Threat Prevention, Threat Emulation und Threat Extraction.

Buchtipp „Industrial IT Security“Das Fachbuch „Industrial IT Security" erläutert nicht nur potenzielle Sicherheitsrisiken für Steuerungstechnik und Standard-Informationstechnologien in Industrieunternehmen, sondern zeigt auch passende Lösungswege zum Schutz der IT-Systeme auf. „Industrial IT Security“ kann hier versandkostenfrei oder als eBook bestellt werden.

Was kann man im Notfall tun?

Die Krankenhaus GmbH Weilheim-Schongau hat eine solche Situation bereits überstanden. „Die Systeme im Krankenhaus laufen nicht stabil“, hieß es im Oktober 2018, als Geschäftsführer Florian Diebel einen Telefonanruf seiner IT annahm. Ein Mitarbeiter hatte leichtfertig den Anhang einer privaten eMail geöffnet, da er dachte, es handle sich um eine Rechnung. Tatsächlich war es aber ein Krypto-Trojaner, der sofort Zugang zu den internen Laufwerken erlangte und damit begann, Files zu verschlüsseln – versehen mit einer Zahlungsaufforderung in Bitcoins. Florian Diebel traf gemeinsam mit seinen IT-Administratoren die Entscheidung, umgehend alle Systeme herunterzufahren.

„Wir haben auf Handbetrieb umgestellt: Die Gesundheitskarten kamen nicht ins Lesegerät, sondern wurden abgeschrieben. Jede Information wurde handschriftlich festgehalten und anschließend im System nachgetragen – das hat uns einiges an Zeit gekostet“, erläutert Diebel. Das Herunterfahren der Systeme sei aber sehr geordnet verlaufen. „Wir sind vertraut mit kritischen Situationen, schalten uns zusammen, beurteilen die Lage und ergreifen Maßnahmen. Hier kamen wir aber alleine nicht weiter“, so Diebel.

Hilfe kam vonseiten des IT-Dienstleisters Sepago. Deren wichtigstes Werkzeug: die „Windows Defender Advanced Threat Protection (WDATP)“ – eine Lösung aus dem Enterprise-Mobility- und Security-Portfolio von Microsoft 365. Beim hastig anberaumten Kickoff-Meeting im Krankenhaus waren neben Sepago, der Klinikleitung und der IT auch Beamte von Interpol dabei – ein Standardprozedere bei zur Anzeige gebrachten Cyberangriffen. „Im ersten Schritt haben wir die cloudbasierte WDATP ausgebracht, um zu verhindern, dass sich der Schädling weiter ausbreitet“, erzählt Alexander Benoit, Lead Security Analyst bei der Sepago GmbH.

Dann begann die Suche nach „Patient 0“ – dem ersten Rechner, der befallen wurde. Als der gefunden und der Schadcode extrahiert war, übernahm das sogenannte „Security Operation Center“ von Sepago in Köln mit der IT-Forensik, nutzte die verhaltensbasierte Erkennung von Windows Defender mit Advanced Hunting und tauschte sich mit Microsoft aus. „Über die Machine-Learning-Module in der Azure Cloud konnten wir den Schädlingstyp GandCrab 5.3 identifizieren und schnell Maßnahmen ergreifen“, so Benoit. Am Abend des zweiten Tages wurden die Systeme dann sukzessive wieder hochgefahren. Alexander Benoit lobt das gute Backup-Management des Krankenhauses: „Die Sicherung ist komplett getrennt von der Arbeitsumgebung – das ist eher selten.“

Und wie sichert sich das Krankenhaus Weilheim-Schongau künftig ab? Die kritischen Systeme sind nun konsequent mit WDATP ausgestattet, der nächste Schritt ist der Rollout von Office 365 Advanced Threat Protection und Azure Advanced Threat Protection.

Lesen Sie auch

Weitere Meldungen aus der Medizintechnik-Branche und über Medizintechnik-Unternehmen finden Sie in unserem Themenkanal Szene.

Dieser Artikel ist zuerst erschienen auf unserem Schwesterportal www.healthcare-computing.de.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46058359)