Cyberattacken: «Spitäler sind oft schlecht geschützt»

Herr Ruef, welches Motiv hat eine Hackergruppe, wenn sie die IT-Infrastruktur einer Gesundheitseinrichtung lahmlegt? Cybercrime ist zu einem Geschäftsmodell geworden, bei dem der klassische Grundsatz verfolgt wird, mit möglichst wenig Aufwand möglichst viel Geld zu verdienen. Bei einer Ransomware werden Daten verschlüsselt, so dass diese durch das Opfer «freigekauft» werden müssen.

Wie gehen die Hacker konkret vor? In der Regel wird eine normale Infektion der Zielumgebung angestrebt, wie man das seit Jahrzehnten von Viren und Würmern kennt. Danach erschleicht man sich Zugriff auf Daten und exfiltriert diese, um ein zusätzliches Faustpfand zu haben. Erst dann werden die Daten verschlüsselt und das Opfer über seine missliche Lage informiert. Es wird dann zu einer Lösegeldzahlung gedrängt.

Wer steckt hinter solchen Hackergruppen und wie hoch sind die Lösegeld-Beträge in der Regel? Gut organisierte Banden sind um derlei Ransomware-Infektionen bemüht. Früher wurde ein pauschales Lösegeld, unabhängig vom angegriffenen Unternehmen und betroffenen Daten, verlangt. Heute nehmen sich die Kriminellen mehr Zeit, versuchen den Wert der Daten zu verstehen und dementsprechend personalisierte Kampagnen umzusetzen. Fünfstellige oder in Ausnahmefällen gar sechsstellige Lösegeldforderungen sind durchaus möglich. Jedes Unternehmen sollte sich selber fragen: Wo ist unsere Schmerzgrenze?

Die Psychatrie Baselland wurde im Herbst 2023 Opfer eines Cyberangriffs. Wie sollte ein Spital reagieren, wenn es eine solche Attacke bemerkt? Auf eine Kommunikation mit der Täterschaft sollte vorerst verzichtet werden. Es gilt unter Hochdruck Spezialisten beizuziehen, die den Ursprung und die Beschaffenheit der Infektion identifizieren können. Danach kann entschieden werden, wie mit dem Fall umgegangen wird. Im besten Fall kann ein Backup eingespielt werden … und im schlechtesten muss man halt der Lösegeldzahlung nachkommen.

Wie wahrscheinlich ist es, dass so ein Institut seine Systeme selbst wiederherstellen kann ohne ein Lösegeld zu zahlen? Täter kopieren in der heutigen Zeit die Daten, bevor sie verschlüsselt werden. Selbst wenn eine Organisation die verschlüsselten Daten wiederherstellen kann, kann mit einer Veröffentlichung der gestohlenen Daten gedroht werden. Da es sich im Gesundheitsumfeld oft um sehr heikle und besonders schützenswerte Daten handelt, sind solche Fälle besonders problematisch. Ein Backup ist also nicht immer die Lösung.

Wie kann sich ein Spital gegen Angriffe schützen? Man kann nicht Digitalisierung zelebrieren, ohne ebenfalls Cybersecurity zu machen. Wer ein solches Risiko eingeht, muss mit einem empfindlichen Schaden rechnen. Klassische Mechanismen, wie Härten von Systemen, Patching, Netzwerksegmentierung, Firewalling und Antiviren-Lösungen können massgeblich dabei helfen, kein lohnendes Ziel zu sein. Nur so kann man das Geschäftsmodell der Kriminellen unattraktiv machen.

Aus Ihrer Erfahrung: sind die Spitäler und Gesundheitseinrichtungen diesbezüglich gut aufgestellt? Nein. Der Fokus und die Informationskultur im Gesundheitsbereich widersprechen den Anforderungen der Cybersicherheit. Hier muss ein Umdenken stattfinden, um die Bedürfnisse beider Welten miteinander vereinen zu können. Eine besonders komplexe Herausforderung, um die man jedoch nicht herumkommen wird. Solange man das nicht tut, sind Mitarbeiter und Patienten die wahren Opfer, denn diese können sich nicht aus eigener Kraft gegen digitale Übergriffe wehren.