Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann JBS, COOP und zuletzt der Landkreis Anhalt-Bitterfeld.
In allen Beispielen wurde ein Teil der Grundversorgung für die Einwohner ausgehebelt. Der Landkreis Anhalt-Bitterfeld ist weiterhin nahezu handlungsunfähig und konnte unter anderem keine Sozialhilfen mehr auszahlen. Der Hackerangriff schädigt die Bürger im Landkreis direkt.
Ebenfalls schwerwiegend sind Cyberattacken, bei denen Krankenhäuser erfolgreich gehackt werden. Auch hier wird die Liste der Angriffe immer länger: Ein besonders drastischer Fall ereignete sich im September 2020 im Uniklinikum Düsseldorf, als Cyberkriminelle die IT-Systeme korrumpierten und lahmlegten. Die Folge war, dass eine Patientin nicht rechtzeitig versorgt werden konnte und starb.
Laut Check Point Research wurden Krankenhäuser in Deutschland seit November 2020 besonders stark ins Visier genommen, Cyberattacken gegen sie nahmen um 220 Prozent zu. Im Vergleich dazu stieg die Zahl aller anderen Wirtschaftssektoren zusammen um 22 Prozent. Im Durchschnitt erlebt die Gesundheitsbranche 187 Millionen Angriffe pro Monat weltweit, was in etwa 498 Attacken im Monat pro Organisation entspricht.
Mehr Gewicht für Cybersicherheit
Krankenhäuser haben wie viele andere Branchen ihre Prozesse immer stärker digitalisiert, weshalb sie auch anfälliger werden für Angriffe und stärker gesichert werden müssen. Cybersecurity hat in der Gesundheitsbranche an Bedeutung gewonnen, auch weil neue Richtlinien mehr Engagement auf diesem Gebiet fordern.
Bis Ende 2021 sind Kliniken und Krankenhäuser verpflichtet, ihre IT-Security zu verstärken und kontinuierlich zu überprüfen. Dabei geht es nicht nur um die wachsende Bedrohung durch Cyberattacken, sondern um die Einhaltung gesetzlicher Vorgaben. Laut § 8a BSIG sind Institutionen im Gesundheitswesen verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur IT-Sicherheit zu treffen. Konkret bedeutet das, dass ab dem 01.01.2022 die Sicherheitsmaßnahmen aller Krankenhäuser auf den aktuellen Stand der Technik ausgerichtet sein müssen. Damit sich auch kleinere Hospitäler vor Hackerangriffen schützen können, hat das Bundesamt für Soziale Sicherung einen Krankenhauszukunftsfond (KHZF) eingerichtet, der 4,3 Milliarden Euro für digitale Schutzmaßnahmen zur Verfügung stellt.
Obwohl der Gesundheitssektor stark reglementiert ist und es dort grundsätzlich länger dauert, neue Technologien einzuführen, als in anderen Branchen, wurden viele kritische Arbeitsabläufe auf den Stationen im Krankenhaus bereits durchgängig digitalisiert. Alle anfallenden Informationen – von Bestellformularen über Röntgenbilder bis hin zu Kardiografie – werden per Datum digital erfasst. Es ist für IT-Verantwortliche daher wichtig, einen genauen Überblick zu behalten, wo welche Daten abgelegt und gespeichert sind. Oft fehlt dieser, weil Daten auf verschiedenste Infrastrukturen und Datensilos verstreut und die Daten in eigenen Datenstrukturen abgelegt sind. Diese werden wiederum ihrerseits mit eigenen isolierten Programmen gesichert. Die Punktlösungen überlappen zum Teil oder lassen Lücken in der Abdeckung, die man erst dann entdeckt, wenn Daten korrumpiert wurden oder verloren gehen. Ohne ein konsolidiertes Gesamtbild erhöht sich daher die Gefahr, einen Restore nicht anforderungsbezogen und zeitnah umsetzen zu können.
Kampf gegen Ransomware
Es ist essenziell, alle Daten im Krankenhaus vom Rand des Netzes (dem Edge) über die zentralen Rechenzentren bis hin zur Cloud lückenlos mit einer Datenschutzlösung abzudecken. Dadurch gewinnen Verantwortliche nicht nur einen vollständigen Überblick über den Datenbestand in ihrer gesamten IT-Infrastruktur. Sie können mit weniger Kosten und weniger Aufwand alle Daten mit demselben hohen Schutzniveau sichern und wiederherstellen, unabhängig vom Speicherort.
Dank einer zentralen Datenschutzlösung ist es zudem möglich, einen effizienten und automatisierten Backup und Desaster Recovery-Plan durchzusetzen, der die wichtigen Applikationen hochverfügbar hält und es zugleich erlaubt, hochsensible Daten auf ihrem Weg durch die Backup-Infrastruktur und auf den Backup-Systemen selbst zu verschlüsseln.
Ein solches Konzept hilft ebenfalls, Symptome einer laufenden Cyberattacke mit Ransomware zu erkennen. Wenn Ransomware die Daten verschlüsselt, entsteht Last auf dem System und die Daten werden erkennbar manipuliert. Das löst auf der Backup-Seite zwei Effekte aus: Statt wie üblich zwei Stunden dauert das Backup dieses Ziels plötzlich sechs Stunden. Außerdem sinkt die Deduplikationsrate der Daten in den Keller. Deduplikation vergleicht auf Segmentebene die Daten im Backup mit den Produktionsdaten und sichert nur, was sich verändert hat. Es ist klar, dass stark verschlüsselte Files sich erheblich von der Klarform unterscheiden. Das ist ein deutlicher Hinweis für IT-Teams, sich das Zielsystem unbedingt anzuschauen. Aber jede einzelne Punktlösung, die isoliert einen Workload absichert, schwächt am Ende das Gesamtsystem und die Reaktionsfähigkeit. Daher ist es entscheidend, dass das Backup-System alle Workloads, alle Clouds, alle Storage- und Datenquellen zentral und ganzheitlich unterstützt.
Die Künste der Hacker werden jedes Jahr ausgeklügelter und zielgerichteter, zugleich öffnen sich dank Digitalisierung neue Hintertüren in die IT-Infrastruktur. Und es gilt: Je interessanter und wichtiger Daten sind, umso lukrativer sind die Ziele für Cyberkriminelle. Trotz aller Bemühungen ist daher davon auszugehen, dass die Attacken gegen Krankenhäuser weiter zunehmen.
Ein robustes, konsolidiertes und zentrales Backup-System auf Basis einer resilienten, abgehärteten Infrastruktur kann also die zuverlässige letzte Verteidigungslinie etablieren, wo sich Daten zuverlässig wiederherstellen lassen und jeder Erpressungsversuch somit ins Leere läuft.