Malware im Klinikum Fürstenfeldbruck

IT-Desaster im Gesundheitswesen vermeiden

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Die IT der meisten Einrichtungen im deutschen Gesundheitswesen ist nicht auf dem aktuellen Stand. Selbst einfache Cyberangriffe können daher zur Katastrophe führen – müssen aber nicht.

Seit November 2018 ist bei IT-Experten die Kreisstadt Fürstenfeldbruck im Westen von München als schlechtes Beispiel bekannt. Am 14. November räumte das Klinikum Fürstenfeldbruck ein, dass es bereits eine Woche ohne EDV-Unterstützung auskommen musste. Ursache war eine Schadsoftware in einem E-Mail-Anhang, vermutlich eine Variante des Malware-Programms Emotet, das schon seit Jahren auch im deutschsprachigen Raum aktiv ist. Erst am 19. November konnte weitgehend Entwarnung gegeben werden. Da waren rund 130 der insgesamt etwa 400 Rechner des Krankenhauses wieder im Einsatz.

Der erfolgreiche Angriff auf die IT des Klinikums Fürstenfeldbruck war nur einer von vielen. Er wäre wie meisten anderen mit einfachen Mitteln zum sicheren Datenaustausch zu vermeiden gewesen.
Der erfolgreiche Angriff auf die IT des Klinikums Fürstenfeldbruck war nur einer von vielen. Er wäre wie meisten anderen mit einfachen Mitteln zum sicheren Datenaustausch zu vermeiden gewesen.
Foto: Guschenkova - shutterstock.com

Der Vorfall wird von der Zentralstelle Cybercrime Bayern bei der Generalstaatsanwaltschaft Bamberg untersucht und erhielt einige Aufmerksamkeit in der IT-Branche. Er ist aber weder der erste, noch der größte, noch der mit den gravierendsten Auswirkungen. Nur wenige Wochen zuvor im September 2018 legte ein vergleichbarer Angriff zwei Ameos Kliniken in Bremerhaven und eine in Langen-Debstedt im Landkreis Cuxhaven lahm. Auch dort kam die Schadsoftware per E-Mail, auch dort breitete sie sich nahezu ungehindert im Netzwerk aus und befiel dadurch zahlreiche weitere Rechner.

Traurige Sicherheitsbilanz deutscher Kliniken

Den in Deutschland wahrscheinlich größten Schaden und die längste Ausfallzeit gab es aber, nachdem am Aschermittwoch 2016 ein unvorsichtiger Mitarbeiter an einem schlecht geschützten Rechner im Lukaskrankenhaus in Neuss einen E-Mail-Anhang öffnete. Der kaufmännische Geschäftsführer sprach im August 2016 der Lokalpresse gegenüber von "fürchterlichen Wochen", bezifferte den Schaden auf rund eine Million Euro und erklärte, dass das gesamte IT-Budget für das Jahr 2016 in Höhe von 897.000 Euro komplett umgewidmet wurde. Das Geld wurde komplett in Produkte, Maßnahmen und Personal für mehr IT-Sicherheit investiert.

All das ist jedoch nur die Spitze eines Eisbergs. Viele Fälle werden nicht oder kaum einer breiteren Öffentlichkeit bekannt. Aus einer Antwort des Hessischen Sozialministeriums auf eine kleine Anfrage der Landtags-SPD ging etwa im Sommer 2017 hervor, dass es alleine in Hessen seit Anfang 2016 zwölf Vorfälle gab, bei denen Kliniken Opfer von Schadsoftware oder eines Hackerangriffs wurden. "Vereinzelt" wurde der Krankenhausbetrieb beeinträchtigt, "teilweise" Server der Kliniken beschädigt.

Lesetipp: Schutz vor Datenverlust als Service für KMU

In keiner der 40 befragten Kliniken seien von den Angreifern jedoch Patientendaten oder Gesundheitsdaten erbeutet worden, so die vom Sozialministerium befragten Kliniken. Woher die das mit Gewissheit wissen wollen, bleibt völlig offen. Nachdem sie nicht einmal in der Lage sind, eine einfache Schadsoftware in einer E-Mail abzuwehren, ist nicht davon auszugehen, dass sie über DLP-Systeme (Data Loss Prevention) verfügen, die ihnen zuverlässig dazu Auskunft geben könnten.

In der "Krankenhausstudie 2017" der Unternehmensberatung Roland Berger gaben 64 Prozent der 500 befragten Kliniken an, dass sie bereits Opfer eines Hacker-Angriffs wurden. Die Befragten setzen vor allem auf Verbesserung der Firewalls, Notfallkonzepte und Mitarbeiterschulungen. Den meisten Häusern, insbesondere den öffentlichen, fehlen allerdings die Mittel, um zu investieren. Wie das Beispiel des Lukaskrankenhauses zeigt, kann das aber keine akzeptable Ausrede sein: Nach einem Angriff sind nicht nur die Investitionen für zeitgemäße IT-Sicherheit mindestens ebenso hoch, sondern es kommen noch erhebliche Kosten für die Instandsetzung der Systeme und mögliche Einnahmeausfälle durch Zeiten hinzu, in denen nicht normal gearbeitet werden konnte.

Lesetipp: Erkennen Sie Internetbetrug?

Wie viele Gesundheitseinrichtungen im Laufe der vergangenen Jahre Opfer von Cyberkriminellen wurden, lasse sich nur schwere quantifizieren, erklärt Arved Graf von Stackelberg, CSO von Dracoon, einem deutschen Spezialisten für Enterprise Filesharing. Die Meldepflicht für IT-Sicherheitsvorfälle gelte nur für die größten Kliniken und damit gerade einmal zehn Prozent aller Einrichtungen.

Sicherer Datenaustausch im Gesundheitswesen ist möglich

"Um nicht selbst betroffen zu sein, müssen Verantwortliche im Healthcare-Sektor ihr Schutzniveau der besonderen Sensibilität der Daten anpassen und dürfen die Gefahr keineswegs unterschätzen. Es gilt hier, Sicherheit und Effizienz miteinander zu verbinden und keineswegs einen Aspekt für den anderen zu vernachlässigen", so von Stackelberg.

"Für Kliniken ist es entscheidend, ohne Zeitverlust große Daten auszutauschen und gerade auch Untersuchungsergebnisse schnell verfügbar zu machen. Trotzdem ist es ein absolutes Muss, dass diese - meist personenbezogenen Daten - auf höchster Sicherheitsstufe geschützt werden, damit keinerlei Informationen in die Hände unbefugter Dritter gelangen und die ideale Versorgung der Patienten jederzeit gegeben ist", so der Manager weiter. Er rät daher zu einer datenschutzkonformen und zertifizierten Enterprise-Filesharing-Lösung. Als Zertifizierungen, auf die Entscheider achten sollten, nennt er die Norm ISO 27001 und das European Privacy Seal (EuroPriSe). Daten sollten außerdem bereits am Endgerät verschlüsselt werden.

"Um nicht selbst betroffen zu sein, müssen Verantwortliche im Healthcare-Sektor ihr Schutzniveau der besonderen Sensibilität der Daten anpassen und dürfen die Gefahr keineswegs unterschätzen", so Arved Graf von Stackelberg, CSO von Dracoon.
"Um nicht selbst betroffen zu sein, müssen Verantwortliche im Healthcare-Sektor ihr Schutzniveau der besonderen Sensibilität der Daten anpassen und dürfen die Gefahr keineswegs unterschätzen", so Arved Graf von Stackelberg, CSO von Dracoon.
Foto: Dracoon

"Als Anbieter einer Enterprise-Filesharing-Lösung haben wir uns bereits früh mit den besonderen Sicherheitsanforderungen im Bereich KRITIS beschäftigt", so von Stackelberg. Dracoon kann auf die Klinikverbände Sana und Helios als Referenzkunden verweisen, außerdem wird die Lösung für internationale Forschungsprojekte im Bereich E-Health und beim Remote Monitoring von Patientendaten eingesetzt.

Datenaustausch hat aber mehrere Aspekte. Neben dem "Filesharing" gehört dazu auch der Versand und Empfang von Rechnungen, oft als PDF-Datei im Anhang. Diesen Umstand machen sich Kriminelle schon seit Jahren zunutze - in immer wieder neuen Varianten, aber immer mit großem Erfolg.

"E-Invoicing hält nicht nur eine ganze Reihe von prozessualen Vorteilen bereit, sondern bietet vor dem Hintergrund des Vorfalls in Fürstenfeldbruck auch uneingeschränkte Sicherheit", so Klaus Schmitt, Senior Sales Manager Integration bei TIE Kinetix.
"E-Invoicing hält nicht nur eine ganze Reihe von prozessualen Vorteilen bereit, sondern bietet vor dem Hintergrund des Vorfalls in Fürstenfeldbruck auch uneingeschränkte Sicherheit", so Klaus Schmitt, Senior Sales Manager Integration bei TIE Kinetix.
Foto: TIE Kinetix

Doch auch dieses Einfallstor lässt sich schließen. "E-Invoicing hält nicht nur eine ganze Reihe von prozessualen Vorteilen bereit, sondern bietet vor dem Hintergrund des Vorfalls in Fürstenfeldbruck auch uneingeschränkte Sicherheit", so Klaus Schmitt, Senior Sales Manager Integration bei TIE Kinetix. Zudem hat E-Invoicing den Vorteil, dass es im Gegensatz zu vielen anderen Investitionen in IT-Sicherheit den Aufwand und die Komplexität für die Anwender nicht erhöht, sondern sogar reduziert.

"Der manuelle Aufwand der Rechnungsbearbeitung wird minimiert. Fehler, die immer wieder bei der Erfassung im ERP passieren, werden ausgeschlossen. Zahlungen können unter der Wahrung von Skontofristen zuverlässig erledigt werden", so Schmitt weiter. Auch wenn schnellere Zahlungen Auswirkungen auf die Liquidität haben, sei die Zufriedenheit der Lieferanten in Bezug auf zeitnahen und fristgemäßen Zahlungseingang "ein wesentlicher Aspekt einer funktionierenden und vertrauensvollen Lieferantenbeziehung." Zudem trägt E-Invoicing zum Aufbau digitaler Ökosysteme bei. Und die versprechen, im Zeitalter der Digitalisierung für Unternehmen einer der wesentlichen Wettbewerbsvorteile zu werden.

Lesetipp: E-Invoicing in der öffentlichen Verwaltung

Die Vorteile greifen Schmitt zufolge nicht nur im Klinikumfeld, wären aber hier besonders willkommen. "Die Healthcare-Branche hinkt beim Thema Digitalisierung und E-Invoicing dramatisch hinterher, was auch mit der teils öffentlichen Trägerschaft zusammenhängt. Denn obwohl das E-Rechnungsgesetz den Empfang und die Verarbeitung von E-Rechnungen im öffentlichen Bereich ab dem 18.04.2020 verbindlich vorschreibt, lässt der Stand der Vorbereitungen zur Umsetzung vermuten, dass der Termin von mehr als 50 Prozent der betroffenen Verwaltungen nicht gehalten werden wird."

Diese Annahme bestätigt eine im November 2018 veröffentlichte Studie von ibi research an der Universität Regensburg. Deren Ergebnissen zufolge rechnen nur 43 Prozent der Befragten mit einer fristgerechten Umsetzung. Nur ein Fünftel der befragten Stellen kann bereits heute Rechnungen elektronisch empfangen.

Lesetipp: Wenn man Opfer eines Cyber-Angriffs wird

Vielfach wird allerdings der Empfang von PDF-Anhängen bereits als "digitaler Prozess" definiert, obwohl zwei Drittel dieser Gruppe die PDFs nach dem Empfang ausdrucken und manuell weiterbearbeiten. Nach Ansicht von Schmitt ist das auch einer entsprechenden Option im E-Rechnungsgesetz geschuldet. "Dabei gäbe es - insbesondere auch beim Blick auf die europäische Nachbarschaft - bewährte und etablierte Alternativen zur wirklich vollständigen Digitalisierung."

Mit intelligenten Procurement-Systemen lasse sich nicht nur der gesamte Beschaffungsprozess transparent und Compliance-konform abbilden, sondern über einen integrierten digitalisierten Datenaustausch auch schneller, fehlerärmer, effizienter und sicherer machen.

Zur Startseite