Wenn der Hacker Spitalpatienten mitbehandelt

Zunehmende Vernetzung, ungeschützte Medizinalgeräte und nicht mehr zeitgemässe IT machen Spitäler anfällig für Cyberattacken: Der Angriff mit «Wanna Cry» war dabei nur der letzte Schrei.

Diesmal kamen die Kliniken offenbar mit einem blauen Auge davon. Dutzende Spitäler in Grossbritannien hat das Computervirus «Wanna Cry» am Wochenende lahmgelegt. Die Rettungsstellen konnten nur eingeschränkt arbeiten, Operationen mussten teilweise verschoben werden, Patientendaten liessen sich nicht aufrufen, und die Telefone blieben mitunter stumm.

«Extrem besorgniserregend» – so beurteilte Mark Porter, Chef der britischen Ärzteorganisation BMA, die Cyberattacke auf den nationalen Gesundheitsdienst (NHS) in einer Erklärung am Montag. Zur Erleichterung vieler Experten ebbten die Probleme zu Wochenbeginn wieder ab. Auch die gefürchtete zweite wellenartige Verbreitungs des Virus blieb nach dem Hochfahren zahlloser Arbeitsplatzrechner am Montagmorgen aus.

«Die Schweiz hat Glück gehabt»

«Hierzulande sind Spitäler offenbar nicht getroffen worden – die Schweiz hat Glück gehabt», kommentiert der IT-Experte Urs Achermann von der Hint AG in Lenzburg, die sich auf die Cybersicherheit von Klinik- und Pflegeeinrichtungen spezialisiert hat. Freilich handle es sich bei Hackerattacken um ein generelles – und zunehmendes – Problem im Gesundheitsbereich. Allein unter ihren eigenen fünfzehn Schweizer Kunden stellt die Firma im Schnitt drei Cyberangriffe monatlich fest. Sowohl kleinere Pflegeheime wie grosse Spitäler würden attackiert, sagt Achermann.Cyberattacke «Wanna Cry»15.5.2017, 14:02

«Wanna Cry» ist nur eine weitere Variante der derzeit besonders häufigen Verschlüsselungsviren, die auch Erpressungstrojaner, Ransomware oder Cryptolocker genannt werden. Die Viren machen Dateien unlesbar, wodurch sich auch Anwendungsprogramme häufig nicht mehr starten lassen. Meist werden die Opfer angewiesen, ein Lösegeld in der Internet-Währung Bitcoin für den passenden Entschlüsselungscode zu bezahlen. Bei «Wanna Cry» kam indes noch hinzu, dass sich der Trojaner nach der Infizierung einzelner Rechner ohne weiteres Zutun aggressiv in Unternehmensnetzwerken verbreitete, die Malware also die Eigenschaften eines klassischen Verschlüsselungsvirus mit jenen eines Computerwurms verband.

«Wenn man es nicht selbst gesehen hat, glaubt man kaum, wie schnell der Schaden entstehen kann», sagt Achermann. Einmal entdeckte sein Team einen Cryptolocker-Angriff auf eine Schweizer Klinik nach knapp 20 Minuten und trennte den infizierten Computer vom Netz. Dennoch waren bereits 20 000 Dateien unbrauchbar geworden.

Wie anfällig die IT-Systeme von Krankenhäusern sind, zeigen auch Erfahrungen in anderen Ländern. Überrascht von einem Cyberangriff während des Karnevals im vergangenen Jahr, musste eine deutsche Klinik ihre 800 Computer und 100 Server abschalten, um die Ausbreitung eines Erpressungstrojaners im Netz der Klinik zu verhindern. Tagelang konnte das weitgehend digitalisierte Spital keine Schwerverletzten aufnehmen und nur eingeschränkt Herzkatheter-Eingriffe durchführen. Die computergesteuerte Strahlentherapie für Krebspatienten fiel gut eine Woche aus.

Ebenso machte Anfang 2016 der Fall einer Privatklinik in Hollywood Furore, die rund 17 000 Dollar in Bitcoin für die Entschlüsselung ihrer gehackten Dateien bezahlte. Es sei der schnellste und effizienteste Weg gewesen, um den normalen Betrieb wieder herzustellen, erklärte der Klinikchef gegenüber der Los Angeles Times. Auch das Kansas Heart Hospital zahlte bei einer Cryptolocker-Attacke Lösegeld – woraufhin die Hacker die Daten jedoch nur teilweise freigaben und mit einer erneuten Forderung aufwarteten.

Einer der Gründe für die Verwundbarkeit von Kliniken liegt darin, dass sie laut Experten bei der Cybersicherheit um Jahre hinterherhinken. Beispielsweise fehlen häufig leistungsfähige Back-up-Systeme, die verschlüsselte Daten notfalls in kürzester Zeit wiederherstellen können. «Im Vergleich etwa zu Banken sind Spitäler leichte Beute», urteilt der Schweizer Ingenieur Martin Darms, der im Rahmen seiner Masterarbeit die IT-Netzwerke von sieben hiesigen Kliniken auf kritische Schwachstellen untersucht hat. Dabei zeigte sich, dass das Schutzniveau stark variiert und bei einer der Einrichtungen bedenklich gering ausfiel.

Beim englischen NHS, so wurde bei der «Wanna Cry»-Attacke klar, laufen knapp 5 Prozent der Computer auf dem praktisch ungeschützten Betriebssystem Windows XP. Ende 2015 waren es sogar noch über 15 Prozent. Allerdings griff das Virus auch höhere, nicht rechtzeitig aktualisierte Windows-Versionen an – und dies keineswegs nur im Gesundheitssektor, sondern etwa auch bei der Deutschen Bahn oder beim Autohersteller Renault.

«System-Aktualisierungen in Unternehmensnetzwerken sind in der Praxis schwieriger, als man denkt», kommentiert Achermann. So arbeiteten Kliniken heutzutage mit zahlreichen verschiedenen Software-Paketen, die bei jedem grösseren Update auf reibungsloses Funktionieren geprüft werden müssten, was Zeit und Ressourcen verschlinge. Hinzu kommt, dass Hacker mit einem gezielten «social engineering» menschliche Verhaltensweisen ausnutzen, um auch in technisch gut gepflegte Netzwerke einzudringen. Ein typisches Instrument sind sogenannte Spear-Fishing-E-Mails, die inhaltlich hochspezifisch sind und kaum Misstrauen erwecken. Achermann schildert den Fall einer Mitarbeiterin in einer Klinik-Personalabteilung, die eine perfekt formulierte Bewerbungs-E-Mail auf eine tatsächlich ausgeschriebene Stelle bekam und interessiert den enthaltenen Link zum Download der kompletten Unterlagen anklickte. Umgehend installierte sich ein Erpressungstrojaner auf ihrem Rechner.

Eine Cyberattacke hat weltweit Computer abstürzen lassen, etwa in Spitälern in Grossbritannien und in Firmen von Russland bis Taiwan. Experten sprechen von mindestens 200 000 getroffenen Computersystemen in 150 Ländern. – Am Bahnhof von Frankfurt am Main waren die Anzeigetafeln zeitweise ausser Betrieb. (Bild: Gernot Hensel / EPA)

Spezifisch für Spitäler ist neben diesen generellen Risiken digitaler Kommunikation jedoch ein weiteres, in der Öffentlichkeit kaum bekanntes Problem: die Schutzlosigkeit medizinischer Geräte. Viele Apparaturen in radiologischen Abteilungen, Labors oder Intensivstationen sind mittlerweile eng in die Klinik-IT eingebunden, damit etwa Bilder und Labordaten auf Stationscomputern abgerufen werden können oder das Monitoring von Intensivpatienten zentralisiert werden kann. Zugleich laufen die Geräte oft weiterhin auf älteren Betriebssystemen. Updates oder Virenscanner dürfen meist nicht aufgespielt werden, da dies die Zulassung oder die Herstellergarantie gefährdet. Dadurch bleibt Malware im Gerätepark typischerweise unentdeckt.

Infizierte Medizinalgeräte

Als die kalifornische Cybertechnologie-Firma TrapX vor längerem in mehr als sechzig Krankenhäusern eine Spezialsoftware zur Aufdeckung von Hackerattacken auf Medizinalgeräte installierte, fanden sich in sämtlichen Kliniken Apparate, die durch Schadprogramme infiziert worden waren. In einem Fall nutzten Hacker die manipulierte Software von Blutgasanalysatoren als digitale Hintertür, um Patientendaten aus anderen Teilen des Spitalnetzes an einen Server in Osteuropa zu überspielen. 2015 warnte die amerikanische Zulassungsbehörde FDA erstmals davor, eine elektronisch gesteuerte Insulinpumpe des Herstellers Hospira zu benutzen, da sie über das Netz der Klinik gehackt und die abgegebene Medikamentendosis praktisch beliebig verändert werden könnte. Zwar kommen solche Szenarien bei unspezifischen Cyberattacken wie durch «Wanna Cry» kaum in Betracht, liegen aber für gezielt vorgehende Hackergruppen durchaus im Bereich des Möglichen.

«Prinzipiell kann man heute von aussen fast alle Geräte torpedieren», sagt Philipp Stoll vom Universitäts-Kinderspital beider Basel (UKBB). Stoll hat an einem vor kurzem fertiggestellten, nicht öffentlichen Expertenbericht mitgewirkt, der im Rahmen der nationalen Strategie zum Schutz vor Cyber-Risiken vom Bundesamt für Bevölkerungsschutz koordiniert wurde und Massnahmen für eine bessere IT-Sicherheit im Gesundheitssektor vorschlägt.

Dabei gehe es ebenso um die Sensibilisierung von Mitarbeitern wie um technische Fragen, sagt Stoll. Beispielsweise lassen sich IT-Systeme durch interne Firewalls segmentieren und dadurch gegen Angriffe widerstandsfähiger machen. «Viele Spitäler haben in letzter Zeit bereits aufgerüstet», bekräftigt Stoll. Freilich stosse man damit auch an finanzielle Grenzen im Gesundheitssystem. So passt etwa das UKBB sein LAN- und WLAN-Netz derzeit an veränderte technische Standards an. Allein die Kosten für diese Massnahme belaufen sich auf 1,8 Millionen Franken.

source: https://www.nzz.ch/digital/computervirus-wanna-cry-wenn-der-hacker-mitbehandelt-ld.1294555

Related posts