Wenn ethische Hacker ins Spital einbrechen

In vielen Spitälern ist die Infrastruktur veraltet und man behandelt das Thema nach dem Motto «Bislang ist nichts passiert – weshalb also etwas ändern?» Einerseits fehlt das Bewusstsein für das Risiko, andererseits werden Kosten und Aufwand gescheut. Die Spitäler sehen sich aktuell mit anderen Herausforderungen konfrontiert, die Cyberprävention wird vernachlässigt. Bis etwas passiert. Dann kommt das grosse Erwachen.

Viele Spitäler investieren zwar in die Überwachung ihrer Systeme, aber der Fokus auf Prävention fehlt. Man muss Schwachstellen frühzeitig erkennen und beheben, bevor es zu einem Angriff kommt.

Wie bleibt man den Hackern einen Schritt voraus? Primär gilt: Man muss es den Cyberkriminellen so schwierig machen wir nur möglich – für sie ist ein Cyberangriff immer ein Abwägen von Aufwand und Ertrag. Ist der Aufwand zu gross, gehen sie weiter. Das Problem: Sichere Systeme sind in der Regel komplex und kostenintensiv. Und: Sobald man weiss, wo die Sicherheitslücken sind, muss man sich proaktiv damit auseinandersetzen. Da sind viele noch zu bequem.

Das Kantonsspital Thun hat sich von ethischen Hackern auf IT-Sicherheitslücken hin hacken lassen. Das Ergebnis war erschreckend… Schon nach kurzer Zeit fanden die ethischen Hacker mehrere gravierende Sicherheitslücken. Dabei kam sogar heraus, dass das Spital bereits Ziel eines Hackerangriffs war. Wie schlimm das hätte enden können, lässt sich im Nachhinein schwer sagen. Basierend auf diesem Wissen, konnte das Spital dann die Lücken stopfen.

Auch da wurden potentielle Schwachstellen gefunden, die durch vorhergehende Tests nicht aufgedeckt worden waren. Bug Bounty wird am USZ seither als kontinuierlicher Prozess der Informationssicherheits-Strategie weitergeführt. Das ist auch bezüglich der Kosten sinnvoll. Denn einen potentiell grossen Schaden durch einen Cyber-Angriff zu beheben, ist um ein Vielfaches teurer als präventive Massnahmen.

In der Regel laden wir mehrere Hacker ein und stellen eine bestimmte Summe als sogenanntes «Bounty-Wallet» zur Verfügung: Ein Kopfgeld, das an die Hacker ausbezahlt wird, wenn sie eine Lücke finden. Meist finden die Hacker innerhalb kurzer Zeit mehrere Bugs. Je nach Gefährlichkeitsgrad, erhalten die Hacker einen Teil der Summe. Finden sie nichts, gehen sie leer aus.

Anhand der gefunden Sicherheitslücken können dann entsprechende Massnahmen eingeleitet werden. Der grosse Vorteil von Bug Bounty ist, dass es eine reale Situation simuliert. Die technische Überprüfungen von potentiellen Schwachstellen mit Sicherheitssoftware sind wichtig, doch nur echte Menschen denken wie Hacker.

Für die Organisation entsteht kein neues Risiko, dieses liegt bei den Hackern. Was sie machen, ist per se strafbar. Allerdings handeln sie innerhalb eines klar geregelten Vertrags und bewegen sich darin in einem sogenannten «legal safe harbor», sind damit entkriminalisiert. Wenn ein Hacker einen Fehltritt macht, läuft er Gefahr, dass dieser «sichere Hafen» zusammenbricht und er rechtlich verfolgt wird.

Spitäler sind attraktive Ziele für Cyberkriminelle, da der Zugang zu ihren Daten entscheidend für die Patientensicherheit ist. Mit der fortschreitenden Digitalisierung wächst jedoch auch die IT-Abhängigkeit der Kliniken, was sie anfälliger für Cyberangriffe macht. Die Kriminellen versprechen sich bei einem Angriff schnelle Lösegeldzahlungen.

Oft fehlt es an einer klaren Strategie und schnellen Reaktionsfähigkeit. Selbst wenn Sicherheitslücken erkannt werden, wird nicht immer sofort gehandelt. Das verschafft den Angreifern wertvolle Zeit. Hinzu kommen knappe Budgets und das Unverständnis, wie wichtig Investitionen in die Sicherheit sind.

Die Zukunft liegt in der Proaktivität. Spitäler müssen weg von einer reaktiven Haltung und hin zu einer vorausschauenden Sicherheitsstrategie. Wenn man frühzeitig in die Prävention investiert, lassen sich viele nachgelagerte Probleme vermeiden. Regelmässige Sicherheitsüberprüfungen und die Zusammenarbeit mit ethischen Hackern sollten zur Norm werden.