Cybersicherheit im Spital: ein Fallbeispiel

10. Juni 2021

Spitäler geraten verstärkt ins Visier von Hackern: Sie sind zunehmend digitalisiert und vernetzt. Gleichzeitig arbeiten sie mit hochsensiblen Daten. Hinzu kommt: Im Spital geht es oft buchstäblich um Leben und Tod. Unerwartete Ausfälle können deshalb weitreichende Folgen haben.

Die Digitalisierung bietet enorme Chancen – auch im Gesundheitssektor. Gleichzeitig entstehen neue Herausforderungen und Risiken, zum Beispiel für Spitäler. Sie sind besonders anfällig für Cyber-Erpressungen. Ihre strategische Position in der Pandemie hat dieses Risiko noch verschärft.

Cyberattacke auf das Spital Wetzikon

Dass Spitäler eine attraktive Zielgruppe für Hacker sind, musste auch das Spital Wetzikon erleben: Im Oktober 2019 wurde das Spital, welches die medizinische Grundversorgung von rund 55’000 Personen im Zürcher Oberland sicherstellt, Opfer eines Hackerangriffs. Über eine gefälschte E-Mail wurde ein Computer mit dem Trojaner «Emotet» infiziert. Die Software breitete sich im Netzwerk aus und lud weitere Schadprogramme nach.

Erfolgreich abgewehrt dank guter Vorbereitung

Im Spital Wetzikon ging der Angriff glücklicherweise glimpflich aus, berichtet Matthias Spielmann, CEO des Spitals Wetzikon: «IT-Sicherheit hat bei uns eine hohe Priorität und wir haben verschiedene Massnahmen ergriffen, um uns vor Hackerangriffen zu schützen.» Unter anderem werden regelmässig Back-ups aller wichtigen Daten erstellt und getrennt vom Netzwerk gespeichert. Auch das umsichtige Verhalten der Beschäftigten spielte eine grosse Rolle: «Dank aufmerksamer Mitarbeiter haben wir den Angriff schnell entdeckt und konnten unser System zeitnah bereinigen. Durch unsere umfangreichen Back-ups waren die Daten nicht verloren, sondern wir konnten sie wieder aufspielen.»

Angriff mit verheerenden Folgen

Welche verheerenden Folgen Cyberangriffe auf Gesundheitseinrichtungen haben können, zeigt das Beispiel einer deutschen Universitätsklinik: Während der Attacke auf die Klinik waren keine Operationen mehr möglich, die Notaufnahme musste geschlossen werden und Krankenwagen konnten die Uniklinik nicht mehr anfahren. Der reguläre Betrieb wurde massiv beeinträchtigt und sogar Rettungswagen mussten umgeleitet werden.

Spitäler im Fokus der Hacker

Nicht ganz so dramatisch, aber ebenfalls folgenreich ist es, wenn Hacker die sensitiven Gesundheitsdaten von Patientinnen und Patienten angreifen und mit einer Veröffentlichung drohen. Auch mit solchen Formen der Cyber-Erpressung lässt sich viel Schaden anrichten und entsprechend hohes Lösegeld verlangen. Gemäss dem «Cyber Security Report 2021» der IT-Sicherheitsfirma Check Point haben im vierten Quartal 2020 die Cyberattacken auf Spitäler weltweit um 45 % zugenommen. Check Point kommentiert das mit den Worten: «Attacks on healthcare sector become an epidemic.» Auch die Schweizer Spitäler bekommen dies zu spüren. Umso wichtiger ist es, sich wirkungsvoll zu schützen.

Auch die Rechtslage wird strenger

Bei mangelhafter Cyber-Sicherheit drohen auch immer stärkere rechtliche Konsequenzen: Mit der Angleichung des Schweizer Datenschutzrechts (DSG) an die EU Datenschutzverordnung unterliegen die Spitäler wie alle anderen Unternehmen wesentlich strengeren Sanktionen und erweiterten Informationspflichten und sind überdies verpflichtet, ein Bearbeitungsverzeichnis zu erstellen. Auch werden die Rechte der betroffenen Person gestärkt. Noch nicht bekannt ist, auf welches Datum der Bundesrat das neue Datenschutzgesetzt in Kraft setzen wird.

Cyber Security ist mehr als IT

Matchentscheidend ist es, dass Spitäler ihre Cyber-Risiken ganzheitlich verstehen. Zeitgemässe technische Sicherheitsmassnahmen helfen, das Risiko eines Schadens deutlich zu reduzieren. Doch wer den Schutz von Daten und IT-Systemen als reines IT- und Technik-Problem versteht, kann sich nicht umfassend absichern: Die Zugangswege der Angreifer sind vielfältig. Oft nutzen sie auch den Faktor «Mensch», denn er ist das schwächste Glied in der Sicherheitskette. Unwissenheit erhöht erheblich die Gefahr, Opfer einer Cyber-Attacke zu werden. Deshalb sind Schulungen für die Cyber Security Awareness ein wichtiger Bestandteil des Sicherheitskonzepts. Ziel dieser Schulungen ist es, Mitarbeitende für die Gefahren zu sensibilisieren und zu trainieren, wie sie sich im Fall eines Angriffs verhalten sollen.

Gute Vorbereitung ist der beste Schutz

Das Beispiel des Spitals Wetzikon zeigt, dass Spitäler, welche auf Cyberangriffe vorbereitet sind, viele Attacken abwehren oder zumindest das Schadensausmass stark reduzieren können. Es gilt also, die Widerstandsfähigkeit der internen Systeme gegen Angriffe zu stärken und Bedrohungen frühzeitig zu erkennen. Denn die Cyberangriffe werden nicht nur immer raffinierter, sondern auch immer unauffälliger: Von der ersten Attacke bis zum finalen Einsatz der Verschlüsselungssoftware kann es mehrere Wochen oder gar Monate dauern. Während dieser Zeit können sich Kriminelle mehr oder weniger frei im Netzwerk bewegen. Nur wer sein Firmennetzwerk regelmässig überprüft, erkennt frühe Anzeichen für das Eindringen von Hackern.

Dank IT-Notfallplan Cyberangriffe besser bewältigen

Neben der guten Vorsorge sollte jedes Spital zwingend über einen IT-Notfallplan verfügen. Denn sobald wichtige IT-Systeme angegriffen und beinträchtig wurden, ist Eile geboten. Hierzu gehört das Üben von Wiederherstellungsprozessen oder die Simulation von Szenarien, wie elementare Funktionalitäten trotz IT-Krise in einem Notfallmodus weiterbetrieben werden können und wichtige Prozesse nicht oder nur kurz unterbrochen werden. Auch das Spital Wetzikon hat nach dem Hackerangriff seine Sicherheitsvorkehrungen nochmals verstärkt, wie Matthias Spielmann berichtet: «Wir waren vorher bereits vorsichtig, haben unsere Sicherheitsmassnahmen nun aber nochmals verstärkt. Dazu gehören regelmässige Schulungen für die Mitarbeitenden, Sicherheits-Updates und ein noch ausgefeilteres Backup-System.»

Matthias Spielmann — Matthias P. Spielmann, CEO GZO Spital Wetzikon

Interview mit Matthias P. Spielmann, CEO GZO Spital Wetzikon

Weshalb ist der Hackerangriff im Oktober 2019 auf das Spital GZO Spital Wetzikon so glimpflich abgelaufen?
Das GZO Spital Wetzikon hat bereits vor dem Hackerangriff einen umfangreichen IT-Sicherheitsaudit durchgeführt. Er hatte zum Ziel, Klarheit über potenzielle Mängel im Bereich Sicherheit zu erhalten und diese zu beheben. Dank dieser guten Vorbereitung lief der Angriff glücklicherweise glimpflich aus. Eingeschlichen hat sich der Trojaner «Emotet» über eine gefälschte interne E-Mail-Nachricht, die aber täuschend echt aussah. Beim Öffnen des Anhangs hat sich der Trojaner in unserem IT-Netzwerk ausgebreitet und weitere Schadenprogramme geladen. Dank aufmerksamer Mitarbeiter haben wir den Angriff schnell entdeckt und konnten unser System zeitnah bereinigen.

Wie wichtig war der Faktor Zeit in dieser Situation?
Es war äusserst wichtig, dass wir den Angriff so schnell entdeckt haben und entsprechend speditiv reagieren konnten. So konnten wir trotz des Angriffs den Betrieb im Spital Wetzikon normal weiterführen und es kam zu keiner Verschlüsselung und keinem Verlust von Patientendaten. Jedoch war ein Expertenteam mehrere Wochen lang damit beschäftigt, Geräte zu kontrollieren und zu bereinigen. Der Aufwand, aber auch die Kosten waren dementsprechend hoch.

Was haben Sie aus dem Angriff gelernt? Was haben Sie verändert?
Der Angriff hat uns bewusst gemacht, dass sich die Cyberkriminalität auf einer neuen Ebene bewegt – wir erleben jetzt eine komplett neue Dimension von Bedrohungen. Cyberkriminalität betrifft uns alle und neben einer guten Prävention sollte jedes Spital zwingend über einen IT-Notfallplan verfügen. Auch eine ständige Überwachung und eine schnelle Reaktionszeit sind entscheidend, um im Kampf gegen solche Angriffe erfolgreich zu sein. Die Attacke hat uns aufgezeigt, dass gut vorbereitete Spitäler Angriffe abwehren oder zumindest das Schadenausmass stark reduzieren können. Gleichwohl haben wir unsere Sicherheitsmassnahmen nach dem Angriff nochmals verstärkt und in neue IT-Schutzmassnahmen investiert. Ein wichtiger Bestandteil unseres Sicherheitskonzeptes ist es, unsere Mitarbeitenden regelmässige zu schulen und sensibilisieren.