Dass der Gesundheitsbereich von diesen Gefahren nicht verschont bleiben würde, wagte eigentlich niemand zu bezweifeln. Und in der Tat entdecken Cyberkriminelle zunehmend Krankenhäuser und Arztpraxen als lohnende Ziele. Gestohlene Patientendaten können im Darknet verkauft werden. Simple Daten wie Name, Anschrift und Geburtsdatum werden für rund 8 US-Dollar gehandelt. Für umfangreiche Patienteninformationen wird dann schon eher um die 500 Dollar eingesetzt. Ein echter Markt für Schweizer Patientendaten existiert nicht. Noch nicht. Doch nicht nur Datendiebstahl ist eine konkrete Gefahr, sondern auch Erpressung durch sogenannte «Ransomware». Bei dieser speziellen Form von Malware werden die legitimen Daten einer Organisation plötzlich verschlüsselt. Der Zugriff bleibt damit vorerst nicht mehr möglich. Erst wenn eine «Lösegeldsumme» an den Ransomware-Entwickler gezahlt wird, werden die Daten wieder entschlüsselt. Hat man sich eine solche Ransomware eingefangen, kann das sehr schnell sehr teuer werden. Und wenn man zu lange wartet, können die nicht mehr zugänglichen Daten eventuell fatale Folgen haben. Dies hat die weltweite Infektion der Ransomware «WannaCry» eindrücklich aufgezeigt.

Der Gesundheitsbereich verbessert sich
Im Gesundheitsbereich hat man gemerkt, dass man hier nicht mehr nur einfach zuschauen und hoffen darf. Durch neue Geschäftsfelder wie M-Health oder das elektronische Patientendossier wird das Thema Cybersecurity plötzlich sehr akut in den Mittelpunkt gerückt. Und dies ist auch dringendst nötig. Einerseits muss man sich um all die Geräte kümmern, die in den administrativen Bereichen eingesetzt werden. Hier unterscheiden sich die Anforderungen nicht gross von denen eines jeden anderen Unternehmens: Arbeitsplatzrechner, Server, VPN-Gateways, Firewalls, Drucker – alles, was man heutzutage braucht.

In einem ersten Schritt müssen diese Systeme solid aufgesetzt und konfiguriert werden. Durch ein sogenanntes «Härten» (engl. Hardening) wird die Angriffsfläche reduziert. Indem zum Beispiel vorgängig Patches installiert, nicht mehr benötigte Komponenten deaktiviert und Antiviren-Lösungen etabliert werden. Ein solches Härten hat einer Richtlinie zu folgen, die generisch und/oder für Spezialsysteme definiert wird. Dadurch kann ein einheitlicher Sicherheitsstandard in der Umgebung etabliert werden.

In einem weiteren Schritt müssen die Systeme fortwährend gewartet werden. Sobald neue Schwachstellen bekannt werden, müssen diese bewertet und zu grossem Risiko adressiert werden. In den meisten Fällen reicht wiederum das Einspielen eines Patches oder einer neuen Software-Version. In Ausnahmen können komplementäre Massnahmen, wie zum Beispiel das Einbinden einer Firewall-Lösung, erforderlich werden.

Herausforderung Medizingeräte
Dieser sichere Lebenszyklus von Computersystemen wurde in den letzten 25 Jahren gut erforscht und kann mittlerweile wirtschaftlich und effizient gelebt werden. Ein bisschen komplizierter wird es dann, wenn man jene Geräte betrachtet, die hauptsächlich für den medizinischen Einsatz vorgesehen sind. Also Arbeitsplatzrechner, die sich zum Beispiel in einem Untersuchungszimmer finden. Da diese physisch exponiert sind, eine Spezialaufgabe erfüllen und mit sehr heiklen Daten umgehen müssen, ist hier besondere Sorgfalt aufzubringen. Die Anforderungen werden höher sein. Und die Komplexität sowie Individualität der Systeme wird nicht mehr mit einfachen Standardlösungen zurechtkommen. Genauso in Bezug auf Medizinalgeräte. Diese werden gut und gerne unterschätzt. Oftmals werden sie nicht als Computer wahrgenommen, die ebenfalls gehackt und mit Viren infiziert werden können. Die Bedienung sieht anders aus, manchmal haben sie zum Beispiel keine Tastatur. Doch allen Endes sind sie genauso Computer. Viele von ihnen basieren gar auf klassischen Betriebssystemen, wie zum Beispiel Windows oder Linux. Die Hersteller dieser Geräte sind aber darum bemüht, diese offensichtliche Einsicht nicht direkt offenzulegen. Aus diesem Grund wirken viele Medizinalgeräte nicht so, wie sie eigentlich sind.

Dass sich solche Geräte manipulieren lassen, wurde in der Vergangenheit immer wieder bewiesen. Im Rahmen von Sicherheitsprüfungen, die wir für verschiedene Krankenhäuser und Gerätehersteller durchgeführt haben, haben sich teilweise haarsträubende Schwachstellen aufgetan. Die Einflussnahme auf Dosisabgaben oder das Beeinflussen der angezeigten Vitaldaten sind nur zwei Beispiele, die einem zu denken geben. Die Gerätehersteller möchten am liebsten nichts von diesen Problemen wissen. Denn sie müssten mit Patches oder Updates nachbessern. Das kostet zusätzlichen Entwicklungsaufwand. Zudem würden die bestehenden Geräte ihre Marktzulassung verlieren, die aufwendig und kostenintensiv nachgeholt werden müsste. Hier besteht ganz klar ein Interessenskonflikt, in dem schlussendlich der Patient in jedem Fall das Nachsehen hat.

Wir empfehlen, dass schon vor Anschaffung der Geräte der Umgang mit Schwachstellen durch den Hersteller vertraglich geregelt wird. Er muss schon hier in die Pflicht genommen werden, die bestmögliche Qualität liefern zu können. Falls er dann doch nicht mithelfen will, das Problem zu lösen, können eigenmächtige Massnahmen angestrebt werden, bis eine permanente Lösung gefunden werden kann. Zum Beispiel können betroffene Geräte in einer dedizierten Netzwerkzone gesammelt werden, um bei einer Viren-Infektion die Ausbreitung auf andere Bereiche einzuschränken. Dies gilt es individuell anzuschauen und die damit einhergehenden Aufwände zu verstehen.

Fazit
Cybersecurity ist ein Thema, das zwingend Teil einer hochtechnologisierten Gesellschaft sein muss. Computerkriminalität gehört unweigerlich zum heutigen Leben. Dessen muss man sich bewusst sein, die Gefahren identifizieren, um Risiken reduzieren zu können. Im Gesundheitsbereich hat man da vielerorts noch aufzuholen. Dies ist man den Daten der eigenen Mitarbeiter und der Gesundheit der Patienten schuldig.

*Mitinhaber und Head of Research, scip AG