Weiterbildung, CAS Cybersecurity

Grösste Security-Herausforderung in der Branche

23. April 2020

Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Antoinette Roth.

Geld oder Leben
Im Oktober 2019 traf es drei Kliniken der Spitalgruppe DCH Health System in Alabama. Nach einem Angriff von Cyberkriminellen auf deren Computernetze konnten die Krankenhäuser mit insgesamt 850 Betten keine neuen Patienten mehr aufnehmen.[1] Im Mai 2017 hatte eine weltweite Welle von Cyberattacken mehrere Krankenhäuser in Grossbritannien lahmgelegt. Die Computer der 16 zum staatlichen Gesundheitsdienst NHS gehörenden Klini­ken wurden – teils vorsorglich – heruntergefahren, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen die Notaufnahme aufzusuchen.[2] Die Hacker wollten das Netz je­weils erst nach Zahlung eines Lösegeldes wieder freigeben.

Soweit kam es zum Glück bei der Emotet-Attacke auf das GZO Spital in Wetzikon im Oktober 2019 nicht. Die Verschlüsselung der Daten durch die Schadsoftware (Malware) konnte dank Überwachung der Netze und sofortiger Intervention verhindert werden. Dies war jedoch kein Zufall. Das Krankenhaus hatte im gleichen Jahr nach IT-Sicherheitstests mit externer Unterstützung ein neues Sicherheitskonzept erar­beitet, das die professionelle Vorbereitung auf solche Bedrohungen und die schnelle Reaktion im Notfall beinhaltete.[3]

Komplexität
Die Vernetzung von Daten aus medizinischen Apparaturen und Informationen aus dem Kli­nikinformationssystem ist komplex. Die Versorgung der Patientinnen und Patienten ist mo­derner und effizienter geworden, elektronische Befunde stehen an unterschiedlichen Orten sofort zur Verfügung. Gleichzeitig ist jeder Kommunikationskanal auch ein potenzielles Ein­fallstor für ungebetene Gäste. Klinikstrukturen und -abläufe sind angreifbarer geworden.[4]

Krankenhäuser haben viele medizinische Geräte im Einsatz, die mit dem Internet verbunden sind. Darunter befinden sich auch lebenserhaltende Geräte wie Herz-/Lungenmaschinen[5] und Beatmungsgeräte. Medizinprodukte wie Anästhesie-Maschinen, Ultraschallgeräte oder andere bildgebende Apparate haben teilweise Schwachstellen. Die U.S. Food and Drug Ad­ministration (FDA) veröffentlicht Warning Letters, die Patienten, Anbieter und Hersteller auf diese hinweisen.[6]

Abhängigkeit
Bei diesen Maschinen handelt es sich um hochentwickelte Apparate, die in der Regel von Spezialisten der Herstellerfirmen gewartet werden müssen. Diese externen Fachleute erledi­gen dies auch mittels Fernzugriffen, was eine weitere Angriffsfläche darstellt.

Ausserdem lassen sich medizinische Geräte schwer vor Schadprogrammen schützen, teil­weise dürfen Updates und Antivirenprogramme nicht aufgespielt werden, da dies die Zulas­sung oder Herstellergarantie gefährdet[7], oder noch funktionierende Gerätschaften werden aus ökonomischen Überlegungen (noch) nicht ersetzt.

Die Schweiz ist von Informations- und Kommunikationstechnik (IKT) Herstellern im Ausland abhängig. Diese Produzenten sind den geltenden rechtlichen Regeln in ihrem Sitzstaat wie USA oder China verpflichtet, was mit den Sicher­heitsbedenken von Schweizer Krankenhäu­sern im Sinne des Eigenschutzes nur teilweise kompatibel sein kann. Anpassungen zur Risi­kominderung können signifikante Mehrkosten zur Folge haben.[8] Die aufgrund der COVID19-Pandemie voraussichtlich um ein Jahr verscho­bene, d.h. ab Mai 2021[9] geltende EU-weite Medical Device Regulation fordert erstmals Cy­ber-Sicherheitseigenschaften von Medizinpro­dukten.[10] Inwieweit dies die laufende Revision des Schweizerischen Medizinprodukterechts beeinflusst, wird zurzeit geprüft. Es bleibt je­doch weiterhin das Ziel der Schweiz, die Äquiva­lenz mit dem EU-Recht zu erhalten.[11]

Besonders schützenswerte Personendaten
Die Manipulation der medizinischen Geräte ist ein Aspekt. Der Hackerangriff kann auch den Missbrauch der im Spital zahlreich vorhandenen sensitiven Daten zum Ziel haben. Es handelt sich gemäss Datenschutzgesetz um besonders schützenswerte Personendaten. Sie betreffen die Gesundheit, möglicherweise die Intimsphäre und denkbar ist, dass z.B. aus der Essens­wahl auf religiöse Ansichten geschlossen werden kann. Diese, auch aus Sicht des Gesetzge­bers besonders sensible Bereiche des Menschen betreffenden Angaben, können gutes Geld wert sein, insbesondere, wenn sie Prominente betreffen.

Das Datenleck muss nicht zwingend kriminell bedingt sein. Den Zugriff auf die Patientenda­ten im Sinne von „so viel wie nötig, so wenig wie möglich“ ist im Klinikalltag ebenfalls ein Diskussionsthema. Wie ist der Zugriff zu handhaben, wenn eine Patientin klinikintern be­reichsübergreifend behandelt wird? Wie, wenn die Wahrscheinlichkeit gross ist, dass sie in der Notfallaufnahme vorspricht, wie es in Zeiten von Corona häufiger der Fall ist? Wie erfolgt der Datentransfer mit vor- und nachbehandelnden Ärzten? Beim Etablieren ei­nes „Identity and Access Management“ (IAM) Systems wird unter anderem eine Güterabwägung stattfin­den müssen, die grundsätzlich das Patientenwohl in all seinen verschiedenen Facetten im Fokus hat.

Notfall- und Krisenmanagement
Die Institutionen dieses Gesundheitssektors stehen nicht nur vor der Herausforderung, alle IKT-Systeme und die zertifizierte Medizintechnik aktuell zu halten, sondern bei Ausfällen schnell zu reagieren, da eine funktionsunfähige IKT-Infrastruktur Menschenleben gefährden kann. [12] Das Notfall- und Krisenmanagement ist entscheidend. Ist es möglich, die Back-up-Systeme innert der notwendigen Frist hochzufahren? Sind Alternativen wie das Ausweichen auf Papierakten, telefonische Kommunikation oder Datenträger denkbar?

Sensibilisierung
Die Affinität des medizinischen Personals zur digitalisierten Klinikwelt und die Offenheit für die Anforderungen aus Sicht der Cybersecurity sind sehr unterschiedlich ausgeprägt. Der Schu­lung und Sensibilisierung der Mitarbeitenden wird – insbesondere angesichts der Tatsa­che, dass viele Hackerangriffe mit Hilfe von Social Engineering (Ausnutzen des „Faktors Mensch“ als Schwachstelle[13]) funktionieren – weiterhin eine zentrale Bedeu­tung zukom­men.[14]

Umso mehr, als Spitalpatienten in der Regel nicht in der Lage sind, das zu tun, was der frü­here US-Vizepräsident Dick Cheney getan hat. Dieser bekannte 2013 in einem Interview, dass er aus Angst vor Hackern den Funkkanal seines Herzschrittmachers abgeschaltet hat.[15]

Autorin: Antoinette Roth (St. Claraspital AG, Basel)


[1] Pfister, Franziska, „Cyberangriffe: Medtech-Firmen engagieren Hacker“, in: https://nzzas.nzz.ch/wirtschaft/cyberangriffe-medtech-firmen-engagieren-hacker-ld.1513606?reduced=true [5. Okt. 2019], zuletzt geprüft 11. April 2020.

[2] Deutsche Presse-Agentur DPA, „Cyber-Angreifer legen Krankenhäuser mit Erpressungstrojaner lahm“, in: https://www.stern.de/digital/online/cyber-angreifer-legen-krankenhaeuser-mit-erpressungstrojaner-lahm-7451356.html [12. Mai 2017], zuletzt geprüft 11. April 2020.

[3] Schurter, Daniel, „‘Gefährlichste Malware der Welt‘ attackiert Zürcher Spital – das musst du wissen“, in: https://www.netzwoche.ch/news/2019-12-17/gefaehrlichste-malware-der-welt-attackiert-zuercher-spital-das-musst-du-wissen [17. Dez. 2019], zuletzt geprüft 11. April 2020.

[4] Lindner, Martin, „Hacker im Spital“, in: https://www.nzz.ch/nzzas/nzz-am-sonntag/computerkriminalitaet-hacker-im-spital-ld.143720 [6. Febr. 2017], zuletzt geprüft 11. April 2020.

[5] Schurter, Daniel, „‘Gefährlichste Malware der Welt‘ attackiert Zürcher Spital – das musst du wissen“, in: https://www.netzwoche.ch/news/2019-12-17/gefaehrlichste-malware-der-welt-attackiert-zuercher-spital-das-musst-du-wissen [17. Dez. 2019], zuletzt geprüft 11. April 2020.

[6] U.S. Food and Drug Administration FDA, „Cybersecurity”, in: https://www.fda.gov/medical-devices/digital-health/cybersecurity#mous [3. März 2020], zuletzt geprüft 11. April 2020.

[7] Lindner, Martin, „Hacker im Spital“, in: https://www.nzz.ch/nzzas/nzz-am-sonntag/computerkriminalitaet-hacker-im-spital-ld.143720 [6. Febr. 2017], zuletzt geprüft 11. April 2020.

[8] Melde- und Analysestelle Informationssicherung MELANI, „INFORMATIONSSICHERUNG -LAGE IN DER SCHWEIZ UND INTERNATIONAL, Halbjahresbericht 2018/II (Juli – Dezember)“, Kapitel 3.1.4, in: https://www.melani.admin.ch/melani/de/home/dokumentation/berichte/lageberichte/halbjahresbericht-2018-2.html [30. April 2019], zuletzt geprüft 11. April 2020.

[9] Aufgrund der COVID19-Pandemie wird die ursprünglich ab Mai 2020 geltende Medical Device Regulation voraussichtlich erst ab Mai 2021 vollständig anwendbar sein. Dieser Vorschlag der EU Kommission das Vorgehen betreffend soll im Mai 2020 vom EU Parlament und vom Rat der EU genehmigt werden (siehe auch FN 11).

[10] Bundesamt für Sicherheit in der Informationstechnik BSI, „Die Lage der IT-Sicherheit in Deutschland 2019“, Ziffer 2.3.1.3., in: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf?__blob=publicationFile&v=7 [Okt. 2019], zuletzt geprüft 11. April 2020.

[11] Bundesamt für Gesundheit BAG, „Revision des Medizinprodukterechts“, in: https://www.bag.admin.ch/bag/de/home/medizin-und-forschung/heilmittel/aktuelle-rechtsetzungsprojekte/revision-med-prod-verord-mepv.html [6. April 2020], zuletzt geprüft 11. Aprli 2020.

[12] Melde- und Analysestelle Informationssicherung MELANI, „INFORMATIONSSICHERUNG -LAGE IN DER SCHWEIZ UND INTERNATIONAL, Halbjahresbericht 2019/I (Januar – Juni)“, Kapitel 3.1, in: https://www.melani.admin.ch/melani/de/home/dokumentation/berichte/lageberichte/halbjahresbericht-2019-1.html [29. Oktober 2019], zuletzt geprüft 11. April 2020.

[13] Bundesamt für Sicherheit in der Informationstechnik BSI, „Digitale Gesellschaft: Social Engineering – der Mensch als Schwachstelle“, in: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html, zuletzt geprüft 14. April 2020.

[14] Schurter, Daniel, „‘Gefährlichste Malware der Welt‘ attackiert Zürcher Spital – das musst du wissen“, in: https://www.netzwoche.ch/news/2019-12-17/gefaehrlichste-malware-der-welt-attackiert-zuercher-spital-das-musst-du-wissen [17. Dez. 2019], zuletzt geprüft 11. April 2020.

[15] Lindner, Martin, „Hacker im Spital“, in: https://www.nzz.ch/nzzas/nzz-am-sonntag/computerkriminalitaet-hacker-im-spital-ld.143720 [6. Febr. 2017], zuletzt geprüft 11. April 2020.

CAS Cybersecurity und Information Risk Management

Autorin: Antoinette Roth

Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?

Persönliche Beratung

Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:

Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)

Cybersecurity und Hacking für Schweizer KMU

Cybersecurity: Chancen & Gefahren der künstlichen Intelligenz

Schlagworte: Cyberattacken, Cyberkriminelle, Cyersecurity, IT-Sicherheit, Schadsoftare, Spitalattacke

zurück zu allen Beiträgen
×