Keine Frage: Digitalisierung vereinfacht viele Arbeitsprozesse am Patientenbett und in der Krankenhausverwaltung.
Aber der Cyberspace birgt auch Gefahren.
Keine Frage: Digitalisierung vereinfacht viele Arbeitsprozesse am Patientenbett und in der Krankenhausverwaltung.
Aber der Cyberspace birgt auch Gefahren.
Viele Prozesse können auf digitaler Basis wesentlich schneller und effizienter abgewickelt werden, als mit den althergebrachten analogen Methoden. Dies gilt leider nicht nur für seriöse Wirtschaftsbereiche, sondern auch für kriminelle “Wertschöpfungsketten”. Das Internet hat auch dunkle Ecken, die als DarkNet bezeichnet werden. Dort entstehen neue Werkzeuge und Modelle für Missbrauch und Kriminalität, die auch vor Krankenhäusern nicht halt machen.
Die kriminelle Szene hat sich in den letzten Jahren zunehmend professionalisiert. Während in den 1980er und 90er Jahren das Ziel der meisten Internetkriminellen die möglichst weite Verbreitung eines selbst programmierten Computervirus war, werden heute eher Möglichkeiten ausgelotet, wie man über Sicherheitslücken zu möglichst viel Geld kommen kann. Die derzeit beliebtesten „Abzock“-Techniken nutzen Schadsoftware via Massen-Email (Spam), Social Engineering und manipulierte Websites.
Es ist heute relativ einfach, ein Programm zu schreiben und es per Email an Millionen Empfänger zu versenden. In aller Regel sind viele der Adressaten naiv genug, dem Inhalt der Mail zu glauben und etwa ein beigefügtes Word-Dokument mit dem enthaltenen Schad-Programm auszuführen. Dabei handelt es sich oft um einen Lösegeldtrojaner, der möglichst viele Dokumente im PC, im Notebook oder im gesamten IT-System des Opfers verschlüsselt und eine Lösegeldforderung in Form eines virtuellen Währungstransfers stellt. Zahlt das Opfer nicht, sind seine Daten für immer verloren – wenn es sie zuvor nicht gesichert hat.
Jemand, der aufgrund seiner Expertise IT-Sicherheitslücken kennt und entsprechend in der Lage ist, bei kniffligen Problemen Lösungen zu entwickeln, wird üblicherweise als „Hacker“ bezeichnet (die spezialisierten Programme oder Problemlösungen heißen entsprechend „Hacks“). Über die Legalität seines Tuns sagt das Nichts aus. „Hacker“ wird in der Öffentlichkeit aber oft als Synonym für Computerkriminelle verwendet.
Es wird im IT-Jargon tatsächlich wie im „Wilden Westen“ zwischen Blackhats, Whitehats (und Grayhats) unterschieden. Blackhat-Hacker verfolgen kriminelle Motive, während Whitehats die Guten sind und in der Regel Jobs nachgehen, bei denen sie die Blackhats bekämpfen (etwa als Berater für IT-Sicherheit). Natürlich gibt es auch Kriminelle, die Schaden anrichten, ohne über allzu große IT-Expertise zu verfügen: weil ihnen etwa ein Programm in die Finger fällt („Virus Construction Kit“), mit dem man mit wenigen Mausklicks und ohne viel Fachkenntnis ebenfalls einen Virus bauen kann. Sie werden von den echten Hackern als „Script Kid“ bezeichnet.
Oft stellt sich die Frage: „Warum greifen die ausgerechnet ein Krankenhaus an?“. Die Antwort darauf ist vielschichtig. Einen Teil der Kriminellen interessiert das eigentliche Angriffsziel gar nicht – ihnen geht es nur um die „Ertragsmaximierung“ ihrer Kampagne. Je breiter die Schadsoftware unters Volk gestreut wird, umso besser. Ob es sich bei den Opfern um private Rechner oder Firmencomputer handelt, ist hier nachrangig. Wenn hier Krankenhausrechner oder sogar -server infiziert und lahmgelegt werden, ist das quasi „nur Kollateralschaden“.
Es gibt aber auch Angriffe, die sich gezielt gegen die Gesundheitsbranche richten. Beispielsweise wurde im September 2019 gegen die medbo (und andere Krankenhäuser) eine sogenannte Spearphishing-Kampagne vorbereitet, indem ein fingierter Bewerber sich nach den Kontaktdaten verantwortlicher Personen erkundigte. In einer im Oktober folgenden ersten (und vermutlich auch nicht letzten) Welle an gefälschten Emails wurden die so erbeuteten Informationen gegen die medbo anschließend eingesetzt.
Eine Manipulation der digitalen Betriebsabläufe durch unerwünschte Software ist in keinem Betrieb wünschenswert. Dies wiegt umso schwerer angesichts der hochsensiblen Daten, mit denen üblicherweise in einem Krankenhaus hantiert wird. Die Nichtverfügbarkeit von wichtigen Daten und IT-Systemen (etwa durch erpresserisches Verschlüsseln) kann im schlimmsten Fall die Behandlung von Patienten beeinträchtigen oder unmöglich machen. Daneben wiegen finanzielle Einbußen und Imageschäden für betroffene Krankenhäuser schwer.
Neben den Lösegeld-Trojanern gibt es einen neuen, noch untergeordneten Trend. In den letzten Monaten sind Programme aufgetaucht, die es etwas subtiler angehen: Sie versuchen unentdeckt zu bleiben, nutzen aber die Rechenleistung des Opfer- Computers, um digitale Währungen wie Bitcoin zu „schürfen“. Diese werden an den Kriminellen ausbezahlt. Das Opfer wundert sich beispielsweise über eine hohe Stromrechnung und einen auffällig langsamen Computer.
Die Spezialisten der medbo – allen voran die EDV-Abteilung und die Beauftragten für Datenschutz und IT-Sicherheit – tun ihr Möglichstes, um Cyberangriffen vorzubeugen, sie zu entdecken und abzuwehren. Aber die wichtigste Schutzkomponente in diesem Kampf ist ein hoher Grad an Aufklärung und Wachsamkeit aller Mitarbeiterinnen und Mitarbeiter.
# 1: Gesunder Menschenverstand
Grundsätzlich gilt im Cyberspace: Nicht alles, was digital geschrieben steht, entspricht auch der Wahrheit – ein gesundes Misstrauen und ein kritisches Hinterfragen von allen dargebotenen Informationen ist der beste Schutz vor digitalen Angriffen.
# 2: Hol die Feuerwehr
Im Zweifelsfall keine selbstständigen „Desinfektions“- oder „Reparaturversuche“ bei verdächtigen Dokumenten! Hier müssen die IT-Profis ran. Schreiben Sie an informationssicherheit@otrs.medbo.de. Verdächtige Emails kann man dort genauso hinleiten wie Rückfragen zu anderen Fragen der Informationssicherheit.
# 3: Clevere Passwörter
Sichere Passwörter benutzen, diese regelmäßig ändern und niemals anderen mitteilen! Für jeden Account, den Sie nutzen, auch ein anderes Passwort verwenden. Das ist schon die halbe Miete.
Michael Raith ist IT-Sicherheitsbeauftragter der medbo.