Wenn die Infusion gehackt wird….

Die Bedeutung der IT-Sicherheit

Man muss nicht gleich den Superlativ benutzen, auch wenn ein Schadensfall ganz neue Dimensionen erreicht. Das, was der britische National Health Service (NHS) am 12. Mai und den Tagen danach erlebte, war zumindest ein Vorgeschmack auf das, was man sich vielleicht gemeinhin als „Worst Case“ vorstellt. In einer Reihe von Kliniken ging gar nichts mehr. Dieses Unglück hätte vermieden werden können, wenn die IT-Sicherheit auf dem höchstmöglichen Niveau gewesen wäre.

Operationen mussten ausfallen, Patienten wurden nach Hause geschickt, selbst Krebskranke oder welche mit Herzleiden. Obwohl der Trojaner „WannaCry“ auch andere Institutionen und Wirtschaftsbereiche teilweise lahmgelegt hatte, war seine Auswirkung auf den NHS wohl die dramatischste Demonstration, wie Cyberattacken an dieser Flanke der Kritischen Infrastruktur aussehen. Eine Ransomware, nach deren Herkunft nun gefahndet wird, hat im Alleingang die Rechner außer Gefecht gesetzt und Lösegeldforderungen auf die Bildschirme projiziert.

Feind zielt auf IT-Sicherheit ab

Sofort nach dieser Attacke gab die Universität der Bundeswehr in München eine Pressemeldung mit der Überschrift „Planspiel: Hackerangriff gegen Krankenhaus“ heraus. Ein IT-Angriff, heißt es darin, auf die Kritische Infrastruktur wie etwa Krankenhäuser kann fatale Folgen haben: Ein Stromausfall wäre trotz Notstromaggregat verheerend und würde die Klinik ins Chaos stürzen. Aber auch medizinische Geräte wie etwa Operationsroboter und Herzschrittmacher lassen sich hacken. Zweifelsfrei wäre deren Manipulation lebensgefährlich. Sollten Kriminelle sich Zugriff auf die Patientendaten verschaffen, könnten sie diese zur Erpressung Beteiligter nutzen oder manipulieren.

ERSTE ERFAHRUNGEN IN DEUTSCHLAND

„Stellen sie sich vor, dass Infusionen falsch gegeben werden, weil die Informationen nicht mehr stimmen“, erklärt Ulrike Lechner, Professorin für Wirtschaftsinformatik, die an dem Planspiel maßgeblich beteiligt war. Es sind noch eine ganze Reihe weiterer Szenarien denkbar, wenn die Bildschirme im modernen OP plötzlich schwarz bleiben oder nur noch die Lösegeldforderungen der Cybergangster anzeigen.

Ein Sprecher des NHS erklärte zwar – wie das Internet-Portal des Londoner „Daily Mirror“ berichtet – man hätte in diesem Stadium „keine Hinweise darauf, dass auf Patientendaten zugegriffen wurde.“ Werde aber „weiterhin mit betroffenen Organisationen zusammenarbeiten, um dies zu bestätigen.“ Eine Beruhigungspille mit eingeschränkter Wirkung.

In Deutschland hatte man schon in einem kleineren Rahmen Erfahrung mit Schadsoftware sammeln müssen. Ein Computervirus die Arbeit des Lukas-Krankenhauses in Neuss bei Düsseldorf stark beeinträchtigt. Im Februar vergangenen Jahres war festgestellt worden, dass sich eine Schadsoftware im Informationssystem der Klinik ausbreitet, bestätigte damals die Sprecherin der Klinik.

Im Krankenhaus wurde daraufhin „wie vor 15 Jahren gearbeitet“, es wurde gedruckt und gefaxt, Befunde mit Boten übermittelt. „Etwa 15 Prozent der Operationen haben nicht stattgefunden“, räumte sie ein.

POKER MIT DER KRANKENAKTE?

Angriffe auf Kliniken respektive das Gesundheitswesen lassen noch ganz andere Szenarien möglich erscheinen. Man stelle sich nur vor, ein Unternehmer sucht einen Teilhaber für seine Firma. Er ist aus gesundheitlichen Gründen dazu gezwungen. Ein Interessent meldet sich und verhandelt – sehr geschickt.

Was der Anbieter nicht weiß, sein Verhandlungspartner hat sich von Hacker-Profis seine Krankenakte besorgen lassen. Sicher nicht weit hergeholt ist auch der Gedanke, dass jemand mit den Informationen aus einer Patientenakte, gerne das Schicksal eines unliebsamen Konkurrenten selbst in die Hand nehmen würde.

DEFIBRILLATOR ALS MORDWAFFE

Schon vor rund zehn Jahren war bekannt geworden, dass Herzschrittmacher – Kardioverter- Defibrillatoren (CD) – gehackt werden können. Heutzutage werden CD über eine Funk-Schnittstelle gewartet und justiert. Ärzte können so die Therapie anpassen, ohne zum Skalpell greifen zu müssen. Doch diese drahtlosen Verbindungen sind nach Erkenntnissen von Fachleuten in vielen Fällen schlecht oder sogar überhaupt nicht gesichert.

Hacker haben dadurch theoretisch die Möglichkeit, über die Funkschnittstelle des CD auf sämtliche Funktionen des Geräts zuzugreifen. Mit der Möglichkeit, das lebenserhaltende Gerät ganz auszuschalten…

„Defibrillator als Mordwaffe“, schrieb schon vor Jahren eine Tageszeitung und malte damit ein Szenario aus, das längst nicht mehr Science- Fiction-Autoren vorbehalten ist. Ein zur letalen Waffe gehackter Herzschrittmacher stellt auch Ermittler und Justiz vor ungeahnte neue Probleme. Nicht ohne Grund räumt der Gesetzgeber dem Datenschutz auf diesem sensiblen Gebiet einen so hohen Stellenwert ein.

DIEBSTAHL HOCHWERTIGER MEDIZINTECHNIK

Aber auch von anderer Seite droht Gefahr für Leib und Leben. Die Hörfunksendung „ARD radiofeature“ brachte es am 10. Mai auf den Punkt: „Schmerzmittel, Krebsmedikamente oder Blutverdünner. Verunreinigte und gefälschte Medikamente landen auch in Deutschland in Apotheken und Krankenhäusern. Ein tödliches Risiko für die Patienten.“ Weltweit erzielt der Handel mit gefälschten, minderwertigen und illegalen Präparaten laut WHO geschätzte Umsätze von bis zu 400 Milliarden Euro.

Ob hochmodern agierende Gangster der Cyberwelt oder althergebracht händische arbeitende Langfinger, Krankenhäuser sind für alle Spielarten der grauen Schattenwelt ein „Operationsraum“. Dabei wird der gezielte Diebstahl hochwertiger und teurer medizinischer Technik offensichtlich zu einem neuen Geschäftszweig krimineller Banden.

Von einem Gewerbegebiet in Güstrow (Mecklenburg-Vorpommern) wurde Anfang Mai ein Lastwagen mit einer Ladung hochwertiger medizinischer Geräte gestohlen.

In Luxemburg erbeuteten Einbrecher aus den Untersuchungsräumen des „Centre hospitalier de Luxembourg“ wenige Wochen zuvor 20 Endoskopie-Geräte. Der Schaden: 600.000 Euro. Ohne den Ermittlungsergebnissen vorgreifen zu wollen, kann man dazu diagnostizieren, dass die Ganoven diese wertvolle und nur von ausgebildeten Fachkräften zu bedienende Beute nicht auf Flohmärkten anbieten werden.

SCHÜSSE AUF DEN SPEZIALISTEN

Kann IT-Sicherheit IT-Bedrohungen vollständig entfernen? Ein weiterer wunder Punkt auf der Sicherheits- Checkliste der Kliniken: Gewalt gegen Ärzte und Personal. Immer mehr Ärzte klagen über aggressives Verhalten von Patienten in Praxen, Kliniken und Notfallambulanzen. Schuld daran „ist die absolute Arbeitsüberlastung, vor allem auch in den Notaufnahmen“, so Frank Ulrich Montgomery, Präsident der Bundesärztekammer, in einem Pressebericht: „Da kann es nicht darum gehen, wer als erstes behandelt werden will, sondern wer als erstes behandelt werden muss.“

Oft sind die Motive gar nicht zu klären. So zum Beispiel beim gewaltsamen Tod des Tumorexperten der Berliner Charité. Ein 72-jähriger, unheilbar erkrankter Krebspatient, hatte in einem Behandlungszimmer unvermittelt eine Pistole gezogen und mehrere Schüsse auf den Oberarzt Dr. Thomas P. abgefeuert. „Nach den tödlichen Schüssen entbrannte eine Diskussion über die Sicherheit in Krankenhäusern“, stellte eine Zeitung wenig später fest.

SICHERUNGSMASSNAHMEN UNVERZICHTBAR

Ulrike Lechner von der Bundeswehr zieht nach dem Planspiel ein Resümee: „Ransomware ist eine ernst zu nehmende Gefahr – Die kritischen Infrastrukturen kennen ihre wichtigsten Daten und Programme und schützen sie entsprechend. Ransomware jedoch kann auch dann eine erhebliche Bedrohung darstellen, wenn sie „nur“ wenige wichtige Daten und Programme befällt.

Ransomware kann viele unterschiedliche Lücken nutzen und lange Zeit unentdeckt bleiben – neben den üblichen IT-Sicherheitsmaßnahmen sind funktionierende Datensicherungen wichtig, genau wie die laufende Protokollierung des IT-Betriebs. Austausch von Informationen unter den Unternehmen und Behörden ist ein zentrales Thema – um Informationen über aktuelle Bedrohungen genau wie über funktionierende, pragmatische Schutzmaßnahmen auszutauschen umso die Ausbreitung von Ransomware schnell einzugrenzen.“ Es gibt also gute Gründe, die Checkliste für die Sicherheit in den Kliniken in kurzen Abständen immer wieder durchzugehen. Der IT-Sicherheit-Ingenieur muss geeignete Maßnahmen ergreifen, da Hacker ständig auf der Suche sind.

Autor: Peter Niggl, Chefredakteur SECURITYinsight