Angriffe auf Daten sind, leider, fast schon ein alter Hut. Auf der Wunschliste der Cyberkriminellen finden sich Kontodaten, Kreditkartennummern, E-Mail-Adressen, aber immer häufiger auch Patientendaten. Diese sind auf den Schwarzmärkten heiß begehrt und werden dementsprechend teuer gehandelt. Neben Datendiebstahl können sich Angriffe aber auch gegen vernetzte Geräte richten. Kürzlich erst wurde bekannt, dass es zwei amerikanischen Hackern gelungen sei, einen Jeep Cherokee aus der Ferne zu hacken und fernzusteuern. Eine gruselige Vorstellung, die noch an Schärfe gewinnt, wenn man sich derartige Angriffe auf medizinische Geräte vorstellt, die Leben erhalten sollen. Genau das ist einem IT-Spezialisten nun gelungen.
Nicht nur finanzielle Schäden
Im vergangenen Jahr stiegen die Angriffe auf Krankenhäuser um 600 Prozent, so John McCormack, CEO von Websense. Medizinische Informationen seien überaus wertvoll. Während eine Kreditkartennummer auf dem Schwarzmarkt ein paar Cent einbrächte, würde eine Patientenakte bis zu 100 Dollar gehandelt, so McCormack gegenüber dem Nachrichtenmagazin CNBC.
Die Diskussion erhielt durch die Angriffe auf einen Krankenhausbetreiber und Amerikas zweitgrößten Krankenversicherer traurige Aktualität. Hacker griffen im April und Juni 2014 das Netzwerk des Unternehmens Community Health Systems Inc. an und erbeuteten die Daten von rund 4,5 Mio. Patienten, darunter Sozialversicherungsnummern, Adressen und Telefonnummern. Die Datenbank des US-Krankenversicherers Anthem wurde Anfang 2015 gehackt, dabei sollen die Daten von mehr als zehn Mio. Versicherten gestohlen worden sein. Medienberichten zufolge handelt es sich dabei um den bislang größten Datendiebstahl im Bereich Gesundheitswesen. Sicherheitsexperten warnten, dass die Daten für Identitätsdiebstahl benutzt werden könnten.
Krankenhäuser sind besonders durch Cyberangriffe bedroht. Die US-Gesundheitsbehörde FDA sprach bereits im Jahr 2013 eine Warnung aus, die auf die Gefahren hinweist. Die IT-Sicherheit in Krankenhäusern sei demnach meist nur unzureichend. Vernetzte Geräte wie Computer, Tablets oder Smartphones, auf denen Patientendaten gespeichert werden, aber auch medizinische Geräte seien nicht immer geschützt und damit verletzlich. Dabei besteht nicht nur die Gefahr von Datendiebstahl, im schlimmsten Fall können Angreifer die IT eines Krankenhauses lahmlegen oder mit Schadsoftware infizieren. Die Auswirkungen gehen dann meist über rein finanzielle Schäden hinaus.
Inzwischen wurde bekannt, dass sogar Medizintechnik angreifbar ist. Laut Medienberichten ist es einem Heidelberger IT-Spezialisten gelungen, ein Narkosegerät von außen anzugreifen und zu steuern. Dabei habe er die Beatmung stoppen und sämtliche Funktionen blockieren können. Glück im Unglück: Der Angriff geschah nur zu Demonstrationszwecken und sollte auf Sicherheitslücken in Krankenhaus-Netzwerken aufmerksam machen. Hätte ein Cyberkrimineller hinter dem Angriff gesteckt, hätte dieser tödlich enden können. Die Gefahr wächst, denn immer mehr Geräte in Krankenhäusern sind vernetzt. Der Antivirensoftwarehersteller McAfee prognostizierte in einem Report Ende November 2014, dass die Angriffe weiter zunehmen werden. Besonders im Internet der Dinge sei versäumt worden, Sicherheitsfunktionen zu integrieren. Experten rechnen bis 2020 mit weltweit rund 50 Mrd. vernetzten Geräten, die einen Teil des Datenverkehrs vollautomatisch generieren. McAfee rechnet schon 2015 mit einem großangelegten Angriff.
Hacker greifen an, weil sie es können
Anders als beim Datendiebstahl fallen bei Angriffen auf Medizintechnik keine Daten ab, die auf dem Schwarzmarkt verkauft werden könnten. Die Motivation der Cyberkriminellen ist daher eine andere. Denkbar wäre Erpressung, man muss sich aber auch vor Augen halten, dass es auch einfach sein kann, dass Hacker angreifen, nur weil sie es können. Krankenhäuser sind ein vergleichsweise leichtes Angriffsziel. Smarte Geräte und vernetzte Medizintechnik sind noch nicht lange Bestandteil des Equipments, daher besteht oft noch nicht genug Erfahrung in Schutz- und Abwehrmechanismen von Angriffen von außen. Nur 38 Prozent der Befragten eines Sicherheitsberichts von Intel gaben an, dass sie mit ihren IT-Systemen einen Angriff innerhalb von Minuten erkennen könnten. 30 Prozent der befragten Unternehmen verfügen eigenen Angaben zufolge über angemessene Instrumente und Technologien, um schnell auf Vorfälle reagieren zu können. In Krankenhäusern dürfte es ähnlich oder gar schlechter aussehen, vor allem weil hier nicht nur die IT-Abteilung für die Sicherheit zuständig ist, sondern auch Operateure, sonstiges ärztliches Personal und Pflegekräfte, die rein berufstechnisch wenig bis nichts mit IT-Sicherheit zu tun haben. Diese müssen künftig intensiv geschult werden, nicht nur im Umgang mit den Geräten, sondern auch hinsichtlich der Netzwerksicherheit.
So schockierend der geglückte Angriff auf das Narkosegerät auch ist, so wichtig ist es auch für das Problembewusstsein hinsichtlich neuer Technik. Sie bietet zwar bessere Behandlungsmethoden, aber nicht zum Nulltarif. Sämtliche Akteure müssen sich darüber im Klaren sein, dass Angriffe möglich sind und allein deswegen schon gestartet werden können. Was für die Medizin gilt, gilt daher auch für die digitale Sicherheit von Medizintechnik: Vorbeugen ist besser als heilen.