Dass die IT-Sicherheit im Krankenhaus eine ernst zu nehmende Angelegenheit ist, zeigte sich im Juli, als durch einen Cyberangriff ein ganzer Verbund an Krankenh\u00e4usern sowie Altenpflegeheimen vom DRK in Rheinland-Pfalz und dem Saarland stillgelegt wurde. Das Netzwerk und die IT-Infrastruktur wurden durch eine Ransomware infiziert. Zwar war der Betrieb noch m\u00f6glich, durch das Verschl\u00fcsseln von Server und Datenbanken jedoch nur sehr eingeschr\u00e4nkt: Man musste mit Stift und Papier arbeiten.<\/p>\n
Am Morgen des 14. Juli 2019 gegen 6:30 Uhr wollten die K\u00fcchenmitarbeiter des Krankenhauses in Saarlouis das System hochfahren \u2013 erfolglos. Sie informierten den Leiter der IT, der feststellen musste, dass das komplette Netzwerk der DRK Tr\u00e4gergesellschaft S\u00fcd-West von einer Schadsoftware befallen war. Server und die Datenbanken des kompletten Verbunds waren verschl\u00fcsselt.<\/p>\n
Telefon und Fax funktionierten zwar noch, jedoch hatten die Kliniken und Einrichtungen keinen Internetzugang, waren also nicht per E-Mail erreichbar. Eine konkrete L\u00f6segeldforderung sei nicht eingegangen. Allerdings ging eine E-Mail mit einer Textdatei ein, die noch unge\u00f6ffnet ans BKA weitergeleitet wurde. Noch am selben Nachmittag des 14. Julis konnte man die kryptische Verschl\u00fcsselung der Server und Datenbanken stoppen.<\/p>\n
Die IT-Sicherheit im Krankenhaus war empfindlich gest\u00f6rt, denn die Angreifer zielten auf einen zentralen Server (Domain Controller) ab, an dem sich s\u00e4mtliche Benutzer und Rechner des DRK-Netzwerks authentifizieren. Damit waren alle elf Krankenh\u00e4user und die vier Altenpflegeeinrichtungen, die unter dem Dach dieser Tr\u00e4gergesellschaft organisiert sind, von dem Angriff betroffen.<\/p>\n
Aus Sicherheitsgr\u00fcnden nahm man am folgenden Sonntagnachmittag die Server vom Netz \u2013 insgesamt 480 Server. Man wollte nicht nur den Befall \u00fcberpr\u00fcfen, sondern auch verhindern, dass sich die Schadsoftware noch weiter ausbreitet.<\/p>\n
Bernd Decker, Gesch\u00e4ftsf\u00fchrer der Tr\u00e4gergesellschaft, erkl\u00e4rte die Misere, die aus dem Sicherheitsvorfall entstand: Die Patientenaufnahme, aber auch die Befunderhebung von beispielsweise Laboruntersuchungen mussten in der Zeit des IT-Stillstands mit Bleistift, Kugelschreiber und Papier vorgenommen werden. \u201eSo wie das fr\u00fcher mal war\u201c, so Decker.<\/p>\n
Nicht betroffen seien gl\u00fccklicherweise medizinische Ger\u00e4te. Decker erkl\u00e4rte au\u00dferdem, es g\u00e4be keinerlei Hinweise darauf, dass Unbefugte Einsicht in vertrauliche Patientendaten genommen h\u00e4tten. Die Patientenversorgung war durchgehend gew\u00e4hrleistet.<\/p>\n
Dennoch: Die Arbeit war deutlich aufwendiger \u2013 und muss zudem doppelt gemacht werden. Laufen die Systeme wieder, m\u00fcssen die Daten in die Datenbanken eingescannt oder eingegeben werden.<\/p>\n
Unklar blieb anfangs, wie die Schadsoftware auf den Server gelangen konnte. Hinweise darauf, dass Patientendaten abgegriffen wurden, existieren gl\u00fccklicherweise nicht. Die zust\u00e4ndige Tr\u00e4gergesellschaft DRK S\u00fcd-West erstattete Anzeige und schaltete das Landeskriminalamt (LKA) ein. Nach wie vor ist keine L\u00f6segeldforderung bekannt. Die E-Mail mit der verschl\u00fcsselten Textdatei wurde unge\u00f6ffnet an die Beh\u00f6rden \u00fcbergeben.<\/p>\n
Tats\u00e4chlich war L\u00f6segeld offenbar das Ziel der Attacke, auch wenn man anf\u00e4nglich keine L\u00f6segeldforderung fand. Bernd Decker erkl\u00e4rte sp\u00e4ter zusammen mit dem IT-Leiter der DRK-Tr\u00e4gergesellschaft Hans-Peter Blug: \u201eIn jedem Verzeichnis, das verschl\u00fcsselt war, gab es immer eine Textdatei, die die L\u00f6segeldforderung beinhaltete\u201c.<\/p>\n
F\u00fcnf Tage nach der Entdeckung konnte die Schwachstelle, \u00fcber die die Angreifer eingedrungen sind, identifiziert werden, sodass das Problem \u2013 hoffentlich nachhaltig \u2013 gel\u00f6st werden konnte. Nach und nach gingen die betroffenen Einrichtungen wieder online.<\/p>\n
Dass ein solcher Angriff nicht folgenlos bleiben kann, versteht sich von selbst. In den vergangenen Jahren gab es zwar immer mal wieder Hackerangriffe auf Krankenh\u00e4user, jedoch waren hier nur einzelne Krankenh\u00e4user betroffen, nie ein Verbund.<\/p>\n
Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) warnte bereits im April 2019 vor gezielten Ransomware-Angriffen auf Unternehmen. Im aktuell vorliegenden Fall lobte Isabel M\u00fcnch, Fachbereichsleiterin Pr\u00e4ventive Cyber-Sicherheit und kritische Infrastrukturen (KRITIS) beim BSI, das bedachte Vorgehen der DRK-Tr\u00e4gergesellschaft: Z\u00fcgig seien Aufsichtsbeh\u00f6rden, das LKA sowie die Datenschutzbeauftragten informiert worden. Dank dem \u201eMobile Incident Response Team\u201c (MIRT) des BSI \u2013 einer Eingreiftruppe, die bei Cyberangriffen z\u00fcgig unterst\u00fctzt \u2013 konnte das BSI helfen, die verschl\u00fcsselten Dateien zur\u00fcckzuholen. F\u00fcr kritische Infrastrukturen, zu denen auch Krankenh\u00e4user z\u00e4hlen, ist dieser BSI-Service kostenfrei.<\/p>\n
F\u00fcr M\u00fcnch ist dieser aktuelle Anlass jedoch auch eine Gelegenheit, h\u00f6here Sicherheitsanforderungen im Gesundheitswesen durchzusetzen. Geplant ist eine Novelle des im Juli 2015 in Kraft getretenen \u201eGesetz zur Erh\u00f6hung der Sicherheit informationstechnischer Systeme\u201c (IT-Sicherheitsgesetz). Auch Klinikverb\u00e4nde sollen demnach nachweislich den deutlich h\u00f6heren Sicherheitsanforderungen nach der BSI-KRITIS-Verordnung gen\u00fcgen. Die BSI-KRITIS-Verordnung trat Ende Juni 2019 verbindlich f\u00fcr zahlreiche deutsche Krankenh\u00e4user und Kliniken in Kraft. Betroffene Krankenh\u00e4user sind verpflichtet, ihre IT-Infrastruktur so zu sch\u00fctzen, dass Angriffe auf Einzelsysteme keine Auswirkungen auf das gesamte Netzwerk haben.<\/p>\n
M\u00fcnch r\u00e4t Klinik- und Praxischefs, sich professionelle Unterst\u00fctzung zum Abwehren von Cyberrisiken zu suchen.<\/p>\n