Wie das Spital Schwyz seine IT sichert

Im April 2021 erhielten die Beschäftigten des Spitals Schwyz eine Mail, das scheinbar von der Spitaldirektorin Franziska Föllmi veranlasst worden war. Jeder fünfte Mitarbeitende klickte den Link an, der in der Nachricht enthalten war. Was sie nicht wussten: Absender war die hausinterne Informatikabteilung, die testen wollte, wie einfach Angreifer mit Phishing-Mails in die hauseigenen Systeme eindringen können. Das Resultat zeigt: Die Beschäftigten sind ein effizienter Angriffsvektor.

«Das hat uns in der Einsicht bestärkt, dass Awareness zwar wichtig ist, dass wir aber vor allem unsere Systeme härten müssen», sagt Marcel Schönbächler im Gespräch mit «Inside IT». Der Wirtschaftsinformatiker ist seit Anfang 2021 Informatik-Leiter des Spitals. Mit seinem 10-köpfigen Team ist er nicht nur für den Betrieb, sondern auch für die Cybersicherheit der Gesundheitseinrichtung mit ihren rund 700 Beschäftigten verantwortlich.

Der CIO hatte einiges nachzuholen: Erst im Mai 2022 wurde ein neues Offline-Backup in Betrieb genommen. Man habe mittlerweile aber nicht nur die Schadensbegrenzung mit einer guten Datensicherung verbessert, sondern auch die Eintrittsmöglichkeiten für Kriminelle beschränkt, betont Schönbächler. So wurde mit Geoblocking der Zugang zu den ans Internet angeschlossenen Geräten auf die Schweiz und ausgewählte Länder begrenzt. Schliesslich sind Server bei Zero-Day-Exploits lohnende Ziele für Banden, die oftmals von Russland, China und anderen Staaten aus die Systeme scannen.

Zwar könne die Beschränkung mit einem VPN umgangen werden, räumt Schönbächler ein, damit errichte immerhin eine weitere Hürde für Kriminelle. «Bei unseren Überlegungen standen Ransomware-Angriffe im Zentrum», ergänzt er. Die Lageentwicklung gibt ihm recht. Die Erpresserbande Lockbit 2.0 nimmt derzeit vermehrt Spitäler und Arztpraxen ins Visier. Seit März hat allein die berüchtigte Bande vier Institutionen aus dem Schweizer Gesundheitswesen gehackt.

Pascal Lamia, der operative Leiter des Nationalen Zentrums für Cybersicherheit (NCSC) monierte kürzlich im Interview mit «Inside IT», dass es im Sektor Nachholbedarf gebe. «Hier arbeitet man mit besonders sensiblen Daten, da kann ein Vorfall gravierende Folgen haben», so Lamia. Was droht, wenn die Systeme ausfallen, zeigte sich im letzten Sommer besonders dramatisch: Nach einem grossangelegten Ransomware-Angriff kämpfte die irische Gesundheitsbehörde HSE über Wochen für die Normalisierung der medizinischen Versorgung.

Fallen das Klinikinformationssystem (KIS) und das Archiv mit den medizinischen Berichten aus, ist auch der finanzielle Schaden immens. Zwar würden bei einem Ausfall nicht alle Dienstleistungen wegbrechen, der Schaden wäre indes gross. Bei einem Vorfall stehe immer die Sicherstellung der Patientensicherheit im Vordergrund, betont Schönbächler. Wenn die Dokumentation aber wieder analog gemacht werden muss, ist auch die Kodierung und danach die Fakturierung eingeschränkt.

Nun wurde in seinem Spital für etwas weniger als eine Viertelmillion ein neues Offline-Backup von Dell Technologies implementiert, das rund 40 Terabyte an Daten beherbergen kann und physisch vom System getrennt ist. «Wir haben den Vertrag im letzten Oktober unterzeichnet, im Mai konnten wir das System in Betrieb nehmen», so Schönbächler. Die Verbindung zum IT-System könne man nach eigenem Zeitplan bestimmen. Das Backup wird dann überspielt, Angreifer sollen damit aber vom Zugriff ausgeschlossen werden. Manches Opfer von Ransomware-Banden stand schon vor einem verschlüsselten Backup und damit vor einem Scherbenhaufen.

Doch gegen die Entwendung von sensiblen Patientendaten hilft auch ein Backup nichts. Was gegen dieses Problem unternommen wird, sowie Fragen zu Details des Sicherheitsdispositivs beantwortet Schönbächler zurückhaltend. Das ist verständlich: Technische Angaben helfen Angreifern, die gerne auch zu ihren Opfern recherchieren.

Was der IT-Leiter aber sagt: In Schwyz setzt man auch auf ein Security Operation Center (SOC) von Infoguard. Der Security-Dienstleister scannt unter anderem das Spital regelmässig auf Lücken. «Denn auch die Kriminellen scannen uns standardmässig», erklärt Schönbächler und lobt dabei das Nationale Zentrum für Cybersicherheit: Dessen Informationen seien zentral, um Löcher zu stopfen. Erst kürzlich wurde im Spital Schwyz der Zugang zu Onedrive gesperrt, weil das NCSC gewarnt hatte, es würden Onedrive-Links per Mail versendet, welche auf bösartige Dateien zeigen.

Trotz aller Härtungsmassnahmen will man in Schwyz weiter in die Awareness investieren und auch eine Cyberversicherung wurde vor einigen Jahren abgeschlossen. «Wir beobachten die dynamische Entwicklung der Ransomware-Banden weiter und versuchen auf dem aktuellen Stand zu bleiben», sagt Schönbächler. Diese haben allerdings immense Summen im hochlukrativen Markt und entwickeln sich rasch. Da dürfte es auch von Vorteil sein, dass man in Schwyz Krisentrainings durchführt und derzeit den bestehenden Notfallplan für den Ernstfall ausbaut.