Hacker greifen ein Krankenhaus an – was hat das mit mir als Patient tun? Unter Umständen ziemlich viel. Wir haben drei denkbare Szenarien erstellt und einen Experten um eine Einschätzung gebeten: bloße Fiktion oder sogar schon Realität?

Szenario 1: Der Totalausfall

"Betrifft: Einladung zum Kongress Gastroenterologie in Hamburg" Unter dieser Überschrift erreicht eine E-Mail das Büro der Klinik-Leitung. Solche Einladungen sind nichts Ungewöhnliches. Also öffnet ein Mitarbeiter die Mail. Kurz darauf wird der Bildschirm schwarz und auf dem Display erscheint ein Hinweis. Die Botschaft: Die Daten des Empfängers sind verschlüsselt. Ein Entschlüsselungscode wird nur gegen die Zahlung von 0,5 Bitcoins (ca. 3000 Euro) geliefert.

Audiobeitrag

Podcast

Bild © hr

Ende des Audiobeitrags

Tatsächlich werden in den nächsten Minuten immer mehr Teile des IT Netzes der Klinik unbrauchbar. Die Klinikleitung entscheidet daraufhin, die IT abzuschalten. Noch am selben Tag muss die Notaufnahme der Klinik geschlossen werden. Operationen werden verschoben. Die Bestrahlung von Krebspatienten ausgesetzt. Es können keine Medikamente mehr bestellt werden, denn auch das läuft voll digital.  Erst nach einer Woche Ausnahmezustand kann die Klinik die IT wieder hochfahren.

Einschätzung von David Fuhr, HiSolutions:

IT-Experte David Fuhr von der Firma HiSolutions Bild © hr-iNFO

"Derartige Fälle – sogenannte Ransomware-Angriffe – sind nicht nur theoretisch möglich, sondern kommen in der Praxis häufig vor. So wurden in der Vergangenheit schon Logistikkonzerne lahmgelegt, Produktionsstraßen, Teile des britischen Gesundheitssystems – und in einigen Fällen eben auch Krankenhäuser oder Teile von ihnen. In der Regel sind dies keine gezielten Angriffe auf bestimmte Institutionen, sondern breit angelegte Angriffskampagnen professioneller krimineller Akteure. Krankenhäuser sind besonders anfällig für solche und ähnliche Schadsoftware, da sie eine hohe Datenabhängigkeit mit betriebsbedingt relativ offenen Strukturen – viele Räume mit IT, viele verschiedene Gerätetypen, viel mobiles Personal, das diese nutzt – und geringen Budgets für IT-Sicherheit verbinden."

Szenario 2: Angriff auf Patientendaten

Durch Lücken in der Software für das Patientenmanagement gelangen Hacker an die Gesundheitsdaten von allen Patienten einer Klinik. Die Hacker bekommen Zugriff auf Namen, Krankheitsbilder und Medikamentierungen. Die Hacker nutzen die Daten, um die Patienten zu erpressen und drohen damit, Arbeitgeber und Versicherungen zu informieren, zum Beispiel über psychische Erkrankungen.

Einschätzung von David Fuhr, HiSolutions:

"Nach dem, was wir wissen, ist ein derart vollständiger 'Breach' (sprich Datendiebstahl) in der Gesundheitsbranche noch nicht vorgekommen. Das dürfte jedoch weniger daran liegen, dass es technisch zu schwer wäre, solch einen Angriff durchzuführen. Denn in der Regel ist es nur eine Frage des Aufwands, den Angreifer betreiben möchten – und dieser hängt wiederum daran, was für sie im Erfolgsfall drin ist. Es lohnt sich momentan schlichtweg mehr, Unternehmen zu erpressen als Privatpersonen – zumal Arbeitgeber und Versicherungen nach europäischem Recht die Informationen nicht nutzen dürften, was den potentiellen Marktwert der Daten verringert.

Zutreffend ist allerdings, dass moderne digitale Erpressungsvarianten damit beginnen, mehrere Dimensionen als Hebel einzusetzen. Und da könnte die Drohung der Veröffentlichung sensibler personenbezogener Daten den Druck auf Institutionen wie ein Krankenhaus zur Zahlung des Lösegelds durchaus erhöhen. Außerdem haben jegliche personenbezogene Daten einen gewissen Marktwert, etwa, wenn sie im Rahmen von Identitätsdiebstahl verwendbar sind. Hier erzielen allerdings die Daten Verstorbener die höheren Preise, weil die Erschleichung eines Kreditvertrags oder anderer finanzieller Vorteile unter falschem Namen nicht so schnell auffällt wie bei noch Lebenden.“

Szenario 3: Manipulierte Geräte

Hacker verschaffen sich Zugang zum Netzwerk eines Krankenhauses. Ihr Ziel: mit dem Netzwerk verbundene Röntgenapparate. Nach einigen Tagen, in denen die Hacker unentdeckt bleiben, haben sie ihr Ziel erreicht.  In der Folge manipulieren sie die Belichtungszeit der Geräte, sodass die Patienten einer deutlich höheren Strahlendosis ausgesetzt sind. Im Laufe der kommenden Tage und Wochen treten bei den geröntgten Patienten zwar vereinzelt Symptome wie Kopfschmerzen auf, die Symptome sind aber so unspezifisch, dass sie nicht weiter auffallen. Die erhöhte Strahlendosis durch die manipulierte Röntgenzeit, die langfristig zu schweren Erkrankungen wie Krebs führen kann, bleibt unentdeckt – und damit auch unbehandelt.

Einschätzung von David Fuhr, HiSolutions:

"Dass Hacker sich Zugang zur IT-Infrastruktur eines Krankenhauses verschaffen, ist grundsätzlich nicht nur vorstellbar, sondern wird von Nachrichtendiensten und (para-)militärischen Organisationen diverser Länder aktiv geübt. Für Kriminelle bringt es allerdings keinen Nutzen, Medizintechnik zu manipulieren – außer irgendwann in der Zukunft einmal als weiteres Mittel der Erpressung. Hier reden wir daher über das Feld 'Cyber War'. Zwar sind momentan noch Energienetze, Kraftwerke und Wasserinfrastrukturen die interessanteren Angriffsziele – wie etwa in der Ukraine 2015 und 2016. Aber eine lahmgelegte Gesundheitsinfrastruktur könnte gerade im Zusammenspiel mit weiteren Ausfällen im Konfliktfall eine Gesellschaft empfindlich treffen. Maschinen wie Röntgengeräte müssen daher über immer bessere Safety-Mechanismen verfügen, die unabhängig von der vernetzten IT funktionieren. Da konkrete, gezielte Manipulationen für Angreifer um Größenordnungen schwieriger zu bewirken sind als Ausfälle, sollte der Fokus für Krankenhäuser momentan auf einem sicheren Notbetrieb auch im Fall von Störungen, Ausfällen und Infektionen liegen.“