Dieser Beitrag ist am 1. November 2023 in der Schweizerischen Ärztezeitung erschienen, geschrieben von Simon Maurer basierend auf einem Interview mit Lucas Schult, Geschäftsführer von HIN.Erstmals wurde das wichtigste psychiatrische Zentrum eines Kantons gehackt. Der Raub der besonders sensiblen Daten ist die Spitze eines beunruhigenden Trends. Arztpraxen und Spitäler können sich aber vor Cyberattacken in einem gewissen Rahmen schützen.
Wer am 16. Oktober die Website der Psychiatrie Baselland aufrief, wurde mit einer unschönen Nachricht begrüsst: «Sehr geehrte Damen und Herren. Die Psychiatrie Baselland ist derzeit nur telefonisch erreichbar. Das E-Mail läuft nicht. Der Grund für den Ausfall sind technische Probleme.» Tatsächlich steckte hinter der etwas kryptischen Nachricht die Attacke einer Hackergruppe, die dafür sorgte, dass die Netzwerke der Basler Institution heruntergefahren werden mussten.Auf Anfrage der SAEZ wollte die Psychiatrie Baselland keine Stellung nehmen. Das ist in solchen Fällen Standard, weil man möglichen Erpressern, die verschlüsselte Daten nur für ein Lösegeld freigeben wollen, nicht in die Karten spielen will. Mehrere Medien berichteten allerdings schon über den Vorfall und schrieben, dass der weitere Betrieb der Psychiatrie zeitweise nur mit Stift und Papier möglich war [1,2,3,4,5,6]. Seit einigen Jahren häufen sich Cyberattacken auf Spitäler und Arztpraxen in der ganzen Schweiz. Eine offizielle Statistik gibt es nicht, weil die Attacken nicht meldepflichtig sind. Laut einem Bericht der Zeitschrift «Beobachter» waren im vorletzten Jahr aber bereits über 100 Institutionen des Gesundheitswesens betroffen, die Tendenz ist laut Branchenexperten weiter steigend [7]. «Grund dafür ist, dass die bei Spitälern und Arztpraxen gestohlenen Daten von Gesetzes wegen besonders schützenswert sind. Werden sie gestohlen, stehen die betroffenen Institutionen deshalb unter grossem Druck, auf Lösegeldforderungen einzugehen», erklärt Lucas Schult, IT-Experte und Geschäftsführer von Health Info Net.
Lucas Schult ist Geschäftsführer von HIN. Im Rahmen eines Interviews hat er Simon Maurer mit seinem Fachwissen unterstützt.
E-Mails als Eintrittspforte
Schult rät grundsätzlich davon ab, auf solche Deals einzugehen. Denn man wisse nicht, ob die Cyberkriminellen die von ihnen verschlüsselten Daten nach einem Geldtransfer tatsächlich vollständig entschlüsseln würden. Zudem liefere man so Geld, das für weitere Hacks benutzt werde. Auch könne es trotz Zahlung des Lösegeldes passieren, dass die Hacker eine Kopie der gestohlenen Daten im Darknet publizieren.Zugang verschaffen sich die Kriminellen fast immer mit manipulierten E-Mails. Schadsoftware kann jedoch auch in Gestalt von PDFs aus dem Internet oder Mailaccounts runtergeladen werden, bevor sie dann im System der Praxis oder des Spitals Schaden anrichtet. So sind etwa Fälle von gezielten Angriffen bekannt, bei denen manipulierte PDF-Bewerbungen mit versteckten Codes eingereicht wurden, ohne dass die Empfänger etwas ahnen konnten.Das kann man tun
Das Erste, was man tun sollte, wenn man als Praxis oder Spital eine Cyberattacke bemerkt, ist das Trennen der Datensysteme vom Internet. Dadurch wird verhindert, dass die Hacker mögliche noch nicht geklaute Daten weiter stehlen. Genauso wichtig wie das Verhalten nach einer Cyberattacke ist jedoch, dass Institutionen des Gesundheitswesens sich schon im Vorfeld auf mögliche Angriffe vorbereiten. «Denn eine der wichtigsten Massnahmen nach einem Cyberangriff ist, dass man über ein entsprechendes Back-up-Konzept der Patientendaten verfügt. Dieses stellt sicher, dass die Daten auch nach einer Verschlüsselungsattacke wieder sauber hergestellt werden können», so Lucas Schult. Denn dann habe man die verschlüsselten Daten noch auf der letzten Sicherung und könne den Betrieb ohne Bezahlung des Lösegeldes wiederaufnehmen.In welchen Abständen das Spital eine vollständige Sicherheitskopie der Daten an einem sicheren Ort ablegt, wird im Back-up-Konzept festgehalten. Schult rät aber, jeweils nicht nur die letzte Version der Sicherung aufzubewahren, sondern mehrere Versionen. Manchmal sind die Hacker nämlich schon lange im System und warten einige Wochen, bevor sie mit dem Manipulieren von Daten anfangen, weil sie so die internen Abläufe besser kennenlernen können. In diesem Fall ist die Schadsoftware eventuell auch schon auf der letzten Sicherung vorhanden – und die Sicherung damit kompromittiert. Und dann lässt sich selbst für Ärztinnen und Ärzte der Gang zum Computerdoktor nicht mehr vermeiden.Literatur
1 https://www.bzbasel.ch/basel/baselland/hacker-angriff-jetzt-auch-psychiatrie-baselland-opfer-einer-cyberattacke-systeme-unten-ausmass-noch-unbekannt-ld.25286192 https://www.bzbasel.ch/basel/baselland/systeme-blockiert-stift-und-papier-nach-cyberattacke-psychiatrie-baselland-immer-noch-schwer-angeschlagen-ld.2528978
3 https://www.bzbasel.ch/basel/baselland/hacker-cyberangriff-auf-die-psychiatrie-baselland-systeme-bis-auf-weiteres-heruntergefahren-ld.2528420
4 https://www.bazonline.ch/it-systeme-heruntergefahren-cyberangriff-auf-psychiatrie-baselland-705576061615
5 https://primenews.ch/news/2023/10/hacker-angriff-auf-die-psychiatrie-baselland
6 https://www.pbl.ch/cyberangriff-auf-die-psychiatrie-baselland
7 https://www.beobachter.ch/digital/hacker-gegen-spitaler-und-praxen-jetzt-wirds-richtig-gefahrlich-379199
Autor: Philipp Senn - Leiter Kommunikation
Sprache und Informationstechnik haben mich schon immer fasziniert – bei HIN kann ich beides verbinden. Als Leiter Kommunikation bei HIN und «nebenamtlicher» Referent für die HIN Academy möchte ich unseren Lesern vielschichtige Aspekte der digitalen Transformation vermitteln und ihr Bewusstsein für die damit zusammenhängenden Fragen der IT-Sicherheit schärfen.