Cyberangriffe auf Krankenhäuser sind keine Einzelfälle mehr – ganz im Gegenteil, sie häufen sich. Auch in Deutschland. Vor diesem Hintergrund sollten Gesundheitseinrichtungen mehr Fokus auf ihre Sicherheitsstrategien legen, wie aktuelle Beispiele zeigen. Change-Management hilft organisatorisch im Angriffsfall vorbereitet zu sein. Dies können sie tun:
Immer wieder kommt es zu zielgerichteten und ungezielten Cyberattacken auf Einrichtungen des Gesundheitswesens. Schwere und Folgen der Attacken variieren: Mal sind personenbezogene Daten von Patienten, Mitarbeitern und Geschäftspartnern kompromittiert. In anderen Fällen, etwa im Krankenhaus Agatharied bei München im Juni 2024 mussten so gut wie alle IT-Systeme vom Netz genommen werden. Das Universitätsklinikum Frankfurt war erst zehn Monate nach einem Angriff wieder komplett digital erreichbar, wie Healthcare-digital berichtet.
Von der konkreten Gefahr zu lessons learned berichteten auch Dr. med. Steffen Herdtle, MBA, Chefarzt Akut- und Notfallmedizin, Krankenhaus Agatharied und Dr. Matthias Keilen, MBA, Vorstand, Bezirkskliniken Mittelfranken, bei einer Vortragsveranstaltung von Health Care Bayern e.V. im Dezember bei Deloitte Consulting in München, sowie über weitere Erfahrungswerte aus der Praxis bei Ransomware-Angriffen.
Keine Klinik bleibt verschont – statistisch gesehen.
Überall in Deutschland wurden in den letzten Monaten immer wieder Gesundheitseinrichtungen Opfer von Cyberattacken. Anfang September dieses Jahres ging in den Wertachkliniken in Bobingen und Schwabmünchen nichts mehr – alle IT-Systeme waren blockiert, Operationen mussten abgesagt werden, alles lief nur noch analog auf Papier. 300 Gigabyte Daten wurden später im Darknet veröffentlicht. Und das, obwohl die Kliniken im Vorfeld bereits einiges getan hatten, um das Risiko zu verringern. Dennoch fanden die Cyberkriminellen ein Schlupfloch.
Auch die Johannesstift Diakonie in Berlin wurde Mitte Oktober 2024 Opfer eines Hackerangriffs. Wie der Konzern auf seiner Webseite mitteilte, waren alle zentralen Server betroffen. Eine Kommunikation per E-Mail war nicht mehr möglich. Der Großteil der IT-Systeme sei ausgefallen. Patientendaten, die Personaleinsatzplanung und die Terminplanung waren betroffen. Krankenhäuser mussten einige planbare Eingriffe verschieben.
Auch der britische National Health Service (NHS) war im Juni 2024 Opfer einer umfassenden Cyberattacke geworden: Insgesamt wurden aufgrund des Angriffs mehr als 6.000 Termine und Verfahren bei mehreren Krankenhäusern in London verschoben, auch Bluttransfusionen waren nicht möglich. Ursache war ein Ransomware-Angriff auf einen Pathologiedienstleister, bei dem Hunderte von Gigabyte sensibler Patientendaten ins Internet gelangten.
Auch bei einem Angriff in Australien waren im Juli 2024 12,9 Millionen Australier (fast die Hälfte der australischen Bevölkerung) von einem Hackerangriff auf MediSecure betroffen, einem Anbieter elektronischer Rezepte. Die Opfer werden möglicherweise nie erfahren, dass ihre persönlichen Daten kompromittiert wurden.
Wie Gesundheitsorganisationen reagieren können
Im Krisenfall hört man oft, „ja, hätten wir das vorher gewusst“ oder „darauf hätten wir uns vorbereiten können“. Dann tun Sie es. Wir als Kommunikations- und Change-Berater, wie im Betrieblichen Gesundheitsmanagement (BGM) und der Organisationsentwicklung sind darauf geschult und erfahren. Sprechen Sie mit uns, wir erstellen einen „Krisenfahrplan“ und verstehen auch Ihre IT aus Security-Sicht. Denn „Vorsicht ist die Mutter der Porzellankiste“. Und Vorbereitung ihr König.
Aufgrund der Auswirkungen auf das Wohlergehen und Leben der Bürger wird die Politik neue Vorschriften und Regelungen veranlassen, um die IT-Widerstandsfähigkeit zu stärken. Einrichtungen des Gesundheitswesens sollten jetzt damit beginnen, ihre Resilienz gegenüber destruktiven Cyber-Angriffen zu verbessern, um eine kontinuierliche Patientenversorgung zu gewährleisten. Zudem verringern sie damit den künftigen Aufwand zur Einhaltung von Vorschriften, sobald diese in Kraft treten. Folgende Schritte sind auf diesem Weg unerlässlich:
- Genaues Verständnis der Daten:
Unternehmen müssen genau wissen, welche Daten sie besitzen, welchen Wert diese für die Bereitstellung von Gesundheitsprodukten und -dienstleistungen haben und welche regulatorischen Verpflichtungen für diese Daten gelten. Nur dann können sie den Behörden melden, welche Daten bei einem Angriff beschädigt oder gestohlen wurden. Unternehmen müssen ihre Daten indizieren und klassifizieren, einschließlich der Klassifikation gemäß ihrer jeweiligen Datenstrategie. Dies sollte nicht nur für strukturierte Datenquellen wie Datenbanken gelten, sondern auch für alle unstrukturierten Daten, die im Unternehmen verteilt sind.
- Zugriff regeln:
Sind die Daten korrekt klassifiziert, können Richtlinien und Rechte automatisch durchgesetzt werden, die den Zugriff auf die Daten regeln.
- Angriffe überstehen:
Um weiterhin Dienstleistungen für Patienten und die Versorgungskette zu erbringen, muss eine Organisation in der Lage sein, ihre kritischen Dienste schnell wieder in einen vertrauenswürdigen Zustand zu versetzen. Ein Ransomware- oder Wiper-Angriff kann bedeuten, dass nichts mehr funktioniert: Zutrittskontrollsysteme, E-Mail, Voice-over-IP-Telefonsysteme oder Authentifizierungsserver, die den Zugang zu medizinischen Geräten steuern. Die Systeme zur Untersuchung und Ursachenermittlung des Vorfalls können ebenfalls nicht verfügbar sein.
Möglicherweise muss das IT-Betriebsteam das Sicherheitsteam bei der Wiederherstellung der Reaktionsfähigkeit unterstützen, bevor die Untersuchung beginnen kann. Infizierte Hosts und Netzwerke zu isolieren, um den Vorfall einzudämmen, kann Probleme mit einigen Sicherheitstools verursachen. Dies erschwert die Reaktion und verzögert die Wiederherstellung zusätzlich.
Eine Wiederherstellung ohne Untersuchung und Schadensbegrenzung führt dazu, dass Lücken in den Sicherheitskontrollen, Schwachstellen und Persistenzmechanismen bleiben. Sogar Phishing-E-Mails, die den Vorfall ausgelöst haben, schlummern oft weiterhin in wiederhergestellten E-Mail-Postfächern. Um die Auswirkungen auf die Patientenversorgung zu minimieren, ist es notwendig, die Untersuchung zu beschleunigen und eine schnelle Reaktion zu ermöglichen.
- Nehmen Sie gerne hier mit uns Kontakt auf. Wir unterstützen Sie auch bei der Dienstleister-Auswahl in der Cyber-Abwehr 24/7 und bei der „Krisenvorsorge“ in der Organisation.
Mit Material von https://www.healthcare-digital.de/bedrohung-durch-ransomware-waechst-mehr-transparenz-notwendig-a-cea8ec3af403b5968b5b3a9d4167bd67/