Gesundheitswesen und Cybersicherheit – im Interview mit Pascal Lamia, Leiter Operative Cybersicherheit beim BACS

Herr Lamia, wie würden Sie die aktuelle Cybersicherheitslage im schweizerischen Gesundheitswesen beschreiben?

Die meisten Cyberangriffe erfolgen nach wie vor nach dem Giesskannenprinzip, also nicht gezielt, sondern in Massenversänden. Beispielsweise werden E-Mails mit schadhaften Anhängen an Hunderttausende potenzielle Opfer geschickt. Deshalb ist das Gesundheitswesen grundsätzlich nicht stärker oder weniger stark gefährdet als andere Branchen.

Eine besondere Herausforderung für das Gesundheitswesen sieht das BACS in der Tatsache, dass medizinische Geräte oft nur mit Zustimmung des Herstellers gepatcht werden dürfen. Dies kann im Extremfall dazu führen, dass medizinische Geräte nicht dem aktuellsten Sicherheitsstandard entsprechen und möglicherweise sogar mit Betriebssystemen funktionieren, die den Status „End of Life“ erreicht haben, also von den Herstellern der Betriebssysteme keine Updates mehr erhalten. Somit bleiben unter Umständen Sicherheitslücken ungeschlossen und können für Angriffe ausgenutzt werden.

Gesundheitsdaten sind sehr sensible Daten und müssen daher besonders geschützt werden. Dem gegenüber steht der Zeitdruck, unter dem das Gesundheitswesen steht. Hier muss eine gute Balance zwischen digitalem Fortschritt, Praxistauglichkeit und Cybersicherheit gefunden werden.

Welche spezifischen Risiken und Schwachstellen bestehen in Bezug auf die Cybersicherheit im Gesundheitssektor?

Der Gesundheitssektor ist wie alle anderen Wirtschaftszweige allen potenziellen Formen von Cyberangriffen ausgesetzt. Dazu gehören insbesondere Distributed Denial of Service (DDoS) Angriffe.

DDoS Angriffe auf Arztpraxen, Spitäler und andere Gesundheitseinrichtungen könnten dazu führen, dass Systeme, die mit dem Internet verbunden sind, durch die zahlreichen Anfragen so stark belastet werden, dass sie nicht mehr zugänglich sind. Dadurch könnte beispielsweise das Online Check-In für Patientinnen und Patienten nicht mehr funktionieren oder es wäre nicht mehr möglich, in einer Arztpraxis online einen Termin zu reservieren. Komplexe DDoS Angriffe können jedoch auch ganze Netzwerke lahmlegen, was gravierende Folgen für den Betrieb eines Spitals hat.

«DDoS Angriffe auf Arztpraxen, Spitäler und andere Gesundheitseinrichtungen könnten dazu führen, dass Systeme, die mit dem Internet verbunden sind, durch die zahlreichen Anfragen so stark belastet werden, dass sie nicht mehr zugänglich sind.»

Eine andere bekannte Form eines Cyberangriffs ist jene mit einer Verschlüsselungssoftware, einer sogenannter Ransomware. Während DDoS Angriffe meist politisch motiviert sind, geht es bei Ransomware Angriffen immer um den finanziellen Gewinn. In einem ersten Schritt kopieren die Angreifer dabei möglichst viele Daten aus dem Zielsystem. Danach werden die Daten auf dem Zielsystem verschlüsselt. Es folgt die erste Forderung einer Lösegeldzahlung, damit die Daten wieder entschlüsselt werden. Wer dieser Forderung nicht nachkommt, riskiert, dass sich die Angreifer nochmals mit einer Lösegeldforderung melden. Wird auch auf diese Forderung nicht reagiert, dann werden die zuvor herauskopierten Daten im Darknet veröffentlicht. Gerade im Gesundheitssektor, in dem täglich mit Unmengen von sensiblen Daten gearbeitet wird, kann ein solches Datenleck dramatische Folgen haben. Die mit der Veröffentlichung dieser sensiblen Daten verbundenen Reputationsschäden sind kaum wieder gutzumachen. Als Folge von Angriffen mit „Ransomware“ mussten in der Vergangenheit Unternehmen in anderen Branchen auch schon Konkurs anmelden.

Inwiefern können Cyberangriffe die Patientensicherheit und den Betrieb von Gesundheitseinrichtungen beeinträchtigen?

Die Patientensicherheit ist vor allem dann gefährdet, wenn überlebenswichtige medizinische Geräte kompromittiert wurden oder kein Zugriff mehr auf die Daten besteht. Man weiss also beispielsweise nicht, welche Operationen gerade anstehen oder welche Dosierung der Medikamente die Patienten erhalten müssen. Man ist sozusagen machtlos und nicht mehr handlungsfähig.

Gerade deshalb ist es wichtig, neben den Grundschutzmassnahmen vor allem sämtliche medizinischen Geräte immer auf dem neuesten Stand zu halten und strikt von der übrigen IT-Infrastruktur zu trennen.

Je stärker digitalisiert ein Unternehmen oder eine ganze Branche ist, desto grösser ist die Angriffsfläche. Ist es vor diesem Hintergrund überhaupt sinnvoll, weitere Bereiche des Gesundheitswesens zu digitalisieren?

Die fortschreitende Digitalisierung stellt alle Branchen vor grosse Herausforderungen, sie ist jedoch nicht aufzuhalten. Daher ist es wichtig, dass die Cybersicherheit bei der Digitalisierung immer mit einbezogen wird, dass sich die mit der Digitalisierung beschäftigten Personen der potenziellen Gefahren bewusst sind und dass die Geschäftsleitung Mittel für die Senkung dieser potenziellen Gefahren bereitstellt. Hierbei geht es insbesondere um Investitionen in Fachpersonal, IT-Infrastruktur sowie den Einkauf externer Dienstleistungen wie beispielsweise den Betrieb eines SOC (Security Operations Center) usw.

Welche bewährten Methoden und Schutzmassnahmen empfehlen Sie Gesundheitsinstitutionen, um sich vor Cyberangriffen zu schützen?

Cybersicherheit besteht immer aus einer Mischung von technischen und organisatorischen Massnahmen.

Viele Cyberangriffe zielen in einer ersten Phase nicht auf die technische Infrastruktur ab, sondern auf die Menschen, die mit dieser Infrastruktur arbeiten. Daher ist die Sensibilisierung der Mitarbeiter von zentraler Bedeutung. Das BACS hat die Erfahrung gemacht, dass eine kontinuierliche Sensibilisierung besonders wirksam ist: Es ist effektiver, beispielsweise einmal im Monat während eines internen Meetings eine halbe Stunde lang ein Cyberthema anzusprechen, als einmal im Jahr die gesamte Belegschaft an einem Tag über Cyberrisiken aufzuklären.

Die technischen Massnahmen umfassen die üblichen Vorkehrungen wie etwa Firewall, Virenschutz, Updates oder Backups. Besonders kritische Systeme sollten entsprechend gut geschützt und möglichst von der übrigen IT-Infrastruktur getrennt sein.

«Das BACS hat die Erfahrung gemacht, dass die «tröpfchenweise» Sensibilisierung besonders wirksam ist: Besser z. B. einmal im Monat anlässlich eines internen Meetings während einer halben Stunde ein Cyberthema ansprechen, als einmal im Jahr die gesamte Belegschaft während eines ganzen Tages über die Cyberrisiken aufzuklären»

Auch dem User-Management kommt grosse Bedeutung zu: Sogenannte Rollenmodelle definieren, wer auf welche Anwendungen Zugriff hat und ob diese Personen Administratorenrechte benötigen oder nicht. Beispielsweise dürfte es in einer Universitätsklinik nicht notwendig sein, dass der Chefarzt Zugriff auf die Applikation hat, mit der die Lebensmittel für das Patientenrestaurant bestellt werden.

Eine weitere organisatorische Massnahme ist das Business Continuity Management (BCM). Ein Notfallplan, der festlegt, wie die Arbeit weitergeführt werden kann, falls die Informatik für eine gewisse Zeit nicht zur Verfügung steht. Das Krisenkommunikationskonzept legt fest, ob und in welcher Form das betroffene Unternehmen darüber informiert, dass es Opfer eines Cyberangriffs geworden ist. Ausserdem legt es fest, wer für diese Information verantwortlich ist wie zum Beispiel die Kommunikationsabteilung oder der Verwaltungsrat. Eine wichtige zu klärende Frage ist zudem diejenige nach dem Kommunikationskanal. Denn nach einem Cyberangriff funktionieren Webseite, E-Mail, Internet-Telefonie usw. erfahrungsgemäss mehrere Tage nicht. Daher muss ein alternativer Kanal etabliert sein, über den die wichtigsten Personen über den Cyberangriff informiert werden können wie zum Beispiel Threema, Signal oder andere Kommunikationskanäle.

Gibt es auch Ansätze, das Wettrüsten zwischen Cyberkriminellen und IT-Abteilungen zu beenden?

Cyberkriminelle sind ständig auf der Suche nach sogenannten „Zero-Day-Exploits“. Dabei handelt es sich um Schwachstellen in Informatiksystemen, von denen die Hersteller dieser Systeme noch keine Kenntnis haben. Die „Zero-Day-Exploits“ werden in entsprechenden Hackerforen, vor allem im Darknet, angeboten. Die Ausnutzung einer solchen Schwachstelle senkt das Risiko der Angreifer drastisch, dass solche Angriffe überhaupt erkannt werden können.

Die ETH Zürich forscht seit einigen Jahren an der SCION (Scalability, Control, and Isolation On Next-Generation Networks) Technologie. Die herkömmliche Internet Infrastruktur führt dazu, dass Datenpakete (z. B. E-Mails) oft nicht den direkten Weg vom Absender zum Empfänger nehmen. Das kann dazu führen, dass diese Datenpakete auf ihrem Weg abgefangen, mitgelesen oder verändert werden können. Hier setzt SCION an: Im Gegensatz zur herkömmlichen Internet-Infrastruktur gibt SCION dem Datenpaket die ganze Route vor und vermindert somit das Risiko drastisch, dass unbefugte Dritte diese Datenpakete manipulieren können. SCION erlaubt ein sicheres Routing der Daten und verhindert somit grundsätzlich Netzwerkangriffe. Verschiedene Branchen setzen bereits auf die SCION Technologie und bilden damit isolierte Domänen, die vom öffentlichen Internet abgekoppelt sind und somit die Angriffsfläche stark verkleinern. Dazu gehören der Finanzsektor mit dem SSFN (Secure Swiss Finance Network) und das Gesundheitswesen mit dem SSHN (Secure Swiss Health Network).

Wie können die verschiedenen Akteure im Gesundheitswesen und im öffentlichen Sektor effektiv zusammenarbeiten, um die Cybersicherheit zu stärken?

Die Einführung einer Meldepflicht bezüglich Cyberangriffen gegen kritische Infrastrukturen steht kurz bevor, nachdem das Parlament im vergangenen Sommer der Vorlage zugestimmt hat. Diese Meldepflicht wird dem BACS helfen, die Bedrohungslage noch besser einzuschätzen und noch schneller proaktiv auf potenzielle Opfer zuzugehen. Kritische Infrastrukturen, zu denen auch viele Unternehmen der Gesundheitsbranche zählen, müssen dem BACS künftig einen Cyberangriff melden und erhalten, falls gewünscht, auch Unterstützung.

Das BACS bietet allen Unternehmen, die einem kritischen Sektor angehören, die Möglichkeit des Zugriffs auf ein spezifisches Sicherheitsportal. Über dieses Portal tauscht das BACS mit diesen Unternehmen Informationen über Cyberbedrohungen, Cyberangriffe, Schwachstellen und weitere sicherheitsrelevante Aspekte aus. Diese Informationen stammen oft aus öffentlich nicht zugänglichen Quellen und bieten schon deshalb einen grossen Mehrwert.

Schliesslich ist auch die Etablierung von Erfahrungsaustauschgruppen, so genannten ERFA-Gruppen, sinnvoll: In diesen Gruppen treffen sich regelmässig Sicherheitsspezialisten verschiedener Unternehmen einer Branche und tauschen sich über entsprechende Themen aus. Damit dieser Informationsaustausch funktioniert, ist gegenseitiges Vertrauen notwendig.

Sehen Sie heraufziehende Gefahren, z.B. ist AI eher Fluch oder Segen?

Cyberangriffe werden dank künstlicher Intelligenz immer professioneller, was sie für Sicherheitsspezialisten zunehmend schwieriger erkennbar macht.

Neue Entwicklungen wie künstliche Intelligenz bieten zwar grosse Chancen, aber auch nicht zu unterschätzende Risiken. Wie bei allen neuen Technologien in der digitalisierten Welt wird auch im Bereich der künstlichen Intelligenz ein „Wettrüsten“ zwischen Cyberkriminellen und Sicherheitsorganisationen stattfinden.