Das Gesundheitswesen gerät vermehrt ins Visier von Cyberkriminellen. Dies kann für Gesundheitsfachpersonen und -einrichtungen gravierende Folgen haben. Neben hohen finanziellen Verlusten und Reputationsschäden kann ein Datenverlust unter Umständen auch die Gesundheit und das Leben von Patienten gefährden. Uwe Gempp, Chief Security Officer (CSO) bei HIN, erklärt im Interview, wie man sich vor solchen Angriffen schützen kann und was wichtig ist, wenn der Ernstfall dennoch einmal eintreten sollte.
Herr Gempp, Meldungen von Hackerangriffen, die Spitäler oder andere Einrichtungen des Gesundheitswesens treffen, häufen sich. Was gibt es zu beachten, wenn es darum geht, sich möglichst gut zu schützen?
Uwe Gempp: Mit der zunehmenden Digitalisierung entstehen auch neue Risiken und Bedrohungen. Personen und Institutionen, die mit sensiblen Daten zu tun haben, tragen eine Mitverantwortung für die Sicherheit ihrer Systeme und Daten. Essenziell ist dabei, präventive Vorkehrungen zu treffen, um das Sicherheitsniveau der IT-Systeme und somit der Daten möglichst hochzuhalten. Eine gute Verteidigung beginnt also vor dem Angriff.
Wie kann man sich solche Schutzmassnahmen vorstellen?
Die wichtigsten Schutzmassnahmen lassen sich in drei Kategorien einteilen: technische, organisatorische und verhaltensbezogene Massnahmen. Zu den technischen Vorkehrungen gehört unter anderem der Schutz von Arbeitsgeräten mit einer Firewall und einem Virenscanner. Ausserdem ist es empfehlenswert, Updates von Betriebssystemen, Webbrowsern und Virenschutzprogrammen immer umgehend zu installieren, um Sicherheitslücken sofort zu schliessen. Unter organisatorischen Vorkehrungen versteht man beispielsweise die Implementierung von Prozessen (z.B. das Durchführen regelmässiger Backups) und Weisungen (z.B. bezüglich Handhabung von Daten und Systemen). Unerlässlich sind auch die verhaltensbezogenen Massnahmen: das Bewusstsein der Mitarbeitenden für einen sicheren Umgang mit sensiblen Daten hat höchste Priorität. Würde beispielsweise die Antivirussoftware bei der Überprüfung eines gefährlichen E-Mail-Anhanges versagen, können dementsprechend ausgebildete Mitarbeitende grossen Schaden verhindern, indem sie den Anhang der E-Mail nicht unüberlegt öffnen. Aus diesem Grund sind eine regelmässige Schulung und Sensibilisierung der Mitarbeitenden zu diesem Thema unerlässlich.
Sie haben bereits einige konkrete Schutzmassnahmen erwähnt. Gibt es Empfehlungen oder Weisungen, die dabei helfen, den Schutz der IT-Infrastruktur einer Organisation zu verbessern?
Die FMH hat dazu ein Dokument mit Empfehlungen («Minimalanforderungen IT-Grundschutz» der FMH) herausgegeben. Es beinhaltet Anforderungen, die ein Mindestniveau an Sicherheit für Daten, Informationen und die IT-Infrastruktur sicherstellen. Eine weitere Möglichkeit ist die Zertifizierung des Informationssicherheitsmanagementsystems (ISMS) einer der Organisation. Diese bietet Normen, die helfen ein solches System aufzubauen, zu unterhalten und stetig weiterzuentwickeln.
Wie verhalte ich mich, wenn meine Organisation trotz allen Sicherheitsvorkehrungen Opfer eines Cyberangriffes geworden ist?
Leider gibt es keine hundertprozentige Sicherheit. Auch wenn alle nötigen Sicherheitsvorkehrungen getroffen worden sind, kann es sein, dass man Opfer eines Hackerangriffes wird. Umso wichtiger ist es, dass in einem solchen Fall effizient und zeitnahe gehandelt werden kann. Mitarbeitende müssen wissen, wie sie sich im Ernstfall verhalten sollen und an wen sie wenden können. Es empfiehlt sich deshalb, ein Merkblatt mit den wichtigsten Sofortmassnahmen und Kontaktstellen für alle Mitarbeitenden bereitzustellen. HIN hat eine Checkliste mit Sofortmassnahmenerarbeitet, welche dafür genutzt werden kann.
Stellen wir uns vor, dass meine Organisation in diesem Moment von einem Cyberangriff getroffen wurde. Welche Sofortmassnahmen sollte ich ergreifen?
Bei einem Hackerangriff ist es wichtig, sofort alle infizierten Geräte vom Netzwerk zu nehmen und vorhandene WLAN-Adapter auszuschalten. Wenn nicht klar ersichtlich ist, welche Geräte betroffen sind, sollte das gesamte Netzwerk vom Internet getrennt werden, damit sich die Schadsoftware nicht weiter ausbreiten kann. Involvieren Sie den IT-Support, damit dieser das Ausmass des Schadens abwägen und Sie beim weiteren Vorgehen unterstützen kann. Ich empfehle zusätzlich eine Meldung an das Nationale Zentrum für Cybersicherheit zu machen, weil auch dieses Sie weiter beraten kann und sie zudem dabei helfen, dass Trends zu Gefahren im Internet schneller erkennt werden können.
Was sollte ich bei einem Angriff auf keinen Fall tun?
Im Ernstfall ist schnelles Handeln wichtig. Warten Sie deshalb beim Verdacht auf einen Angriff nicht ab, sondern handeln Sie sofort und melden Sie den Vorfall der dafür zuständigen Person. Eine häufige Angriffsmethode ist der sogenannte Verschlüsslungstrojaner (auch «Ransomware» genannt). Wenn Sie von einem Angriff durch einen Verschlüsslungstrojaner betroffen sind, werden die Daten auf Ihrem Arbeitsgerät verschlüsselt und Sie können nicht mehr darauf zugreifen. In diesem Fall werden Sie in der Regel aufgefordert, ein Lösegeld zu bezahlen, damit man Ihnen den Zugang auf die Daten wieder ermöglicht. Es empfiehlt jedoch, kein Lösegeld zu bezahlen, da die Zahlung keine Garantie für den Wiedererhalt Ihrer Daten ist. Ausserdem ermöglicht eine Zahlung an Cyberkriminelle die Finanzierung der Weiterentwicklung ihrer Angriffsmethoden und animiert die Täter zum Weitermachen.
Uwe Gempp
Uwe Gempp ist als Chief Security Officer (CSO) & IT-Architekt zuständig für die Informationssicherheit bei HIN. Zudem stellt er sicher, dass die Systemlandschaft die funktionalen und nicht-funktionalen Anforderungen erfüllt und unterstützt Projekte im Bereich der Neu- und Weiterentwicklung von IT-Systemen.
Mit gutem Beispiel voran: Zertifizierung nach ISO 27001
HIN hat sich 2016 dafür entschieden, ihr Informationsmanagementsystem (ISMS) nach ISO 27001 zertifizieren zu lassen und somit Sicherheitsstandards nicht nur einzuführen, sondern stetig zu pflegen und zu verbessern, um die höchstmögliche Sicherheit zu gewährleisten.