Spezial IT-Security: Gastbeitrag: „Beliebte Hehlerware“

Cyber­gefahren im Gesundheitswesen

Betrug, Erpressung, Weiterverkauf von Patientendaten: Ein Sechser im Lotto sind Hackerangriffe im Gesundheitswesen für Kriminelle, sagt Perseus-Geschäftsführer Richard Renner.

Verschlossen? Mitnichten. Hacker haben auch im Gesundheitswesen oft leichtes Spiel.

Verschlossen? Mitnichten. Hacker haben auch im Gesundheitswesen oft leichtes Spiel (Foto: Philipp Möller/JDB MEDIA)

Wenn im Sommer die Vernetzung von Apotheken, Arztpraxen und Krankenhäusern in die nächste Runde geht, gibt es nicht nur Freudensprünge. Die Telematik-Infrastruktur beschleunigt zwar Arbeitsprozesse. Die gemeinsamen Kommunikationskanäle bedeuten aber auch eine höhere Angreifbarkeit. Das Bundesamt für Sicherheit in der Informationstechnik stuft weite Teile des Gesundheitswesens als kritische, besonders schützenswerte Infrastruktur ein. Daher werden bei der E-Health-Gesetzgebung nicht nur die Privatsphäre und der Datenschutz von Patienten diskutiert, sondern auch die IT-Sicherheit des gesamten Gesundheitssektors.

Patientendaten als beliebtes Ziel

Manchem Mitarbeiter ist bereits das Öffnen einer E-Mail zum Verhängnis geworden. So versteckt sich der Trojaner Emotet, der seit 2018 weltweit sein Unwesen treibt, in der Regel in Anhängen. Eine Dortmunder Kardiologie-Praxis musste ihre Arbeit vorerst mit Stift und Papier fortsetzen, nachdem sich eine Rechnung als Emotet entpuppte. Und die Klinik in Fürstenfeldbruck sah sich gezwungen, sich von der Rettungsleitstelle abzumelden. Damit ist klar, dass Cyberangriffe auf medizinische Einrichtungen, wie auch der auf das Neusser Lukas-Krankenhaus im Jahr 2016, keine Mode­erscheinung sind.

Warum erfolgreiche Angriffe im Gesundheits­wesen mit einem Sechser im Lotto zu vergleichen sind? Hacker haben vor allem ein Ziel: Daten, die sich monetarisieren lassen. Dabei kann es um den Weiterverkauf etwa im Darknet gehen, den Betrug – zum Beispiel mit Kreditkarten – oder um Erpressung der Bestohlenen. Patientendaten sind somit eine beliebte Hehlerware.

Versicherungs- und Adressdaten bilden eine gute Basis für Identitätsdiebstahl. Noch brisanter: Mit gestohlenen Terminbuchungen können Verbrecher Einbrüche auf Arzttermine ihrer Opfer abstimmen. Für betroffene Ärzte birgt all das ein finanzielles Risiko. Der Gesamtverband der deutschen Versicherungswirtschaft geht von einem Schaden von über 37.000 Euro infolge eines Datendiebstahls in einer Praxis aus. Mögliche Bußgelder nach der Datenschutz-Grundverordnung oder ein Umsatzrückgang aufgrund des Repu­tationsschadens enthält diese Rechnung noch nicht.

Krisensituationen üben

Emotet ist exemplarisch für die zunehmenden Cyber­gefahren. CEO-Frauds, Social Engineering, Ransom­ware-Attacken: Die clevere ­Herangehensweise von Kriminellen stellt IT-Verantwortliche vor immer größere Herausforderungen. Sicherheitslücken in gängiger Software oder der Unternehmenskultur werden systematisch ausgenutzt, beispielsweise in einer Per­so­nal­abteilung, wo man nicht mit Hackerangriffen rechnet.

Lösungsansätze gibt es viele. ­Antivirenprogramme und Firewalls gehören zum Standard, helfen jedoch nur, wenn die Viren der Software schon bekannt sind. Hier müssen intelligente Softwarelösungen her. Eine vorausschauende IT-Sicherheitsstrategie sollte zudem das Ziel haben, Mitarbeiter zu einem stabilen Teil des Verteidigungswalls zu machen. Erleichtert wird das durch einfach handhabbare Technik und durch regelmäßige Trainings, bei denen – analog zur Feuerschutzübung – das Verhalten in Krisensituationen geübt wird.

Zum Autor: Richard Renner ist Geschäftsführer von Perseus Technologies. Das Unternehmen berät KMU zur IT-Sicherheit.

Nach oben