Computer und vernetzte Untersuchungsgeräte sind in Arztpraxen oder Spitälern alltäglich. Mit ihnen steigt aber auch die Verletzlichkeit für Hacker- und Cyberangriffe auf lebenswichtige Infrastruktur und sensible Daten.
Wie schwierig ist es, an Patientendaten heranzukommen? Das SRF-Gesundheitsmagazin «Puls» hat einen legalen Hacker beim Angriffsversuch auf ein Gesundheitszentrum in Luzern begleitet.
Marc Ruef macht im Auftrag von Kunden, was sonst Kriminelle im Geheimen tun: Er versucht, sich in Gesundheitseinrichtungen zu hacken. Seine Erfahrung: «Wenn man genügend Zeit hat und weiss, wo ansetzen, sind wir fast immer erfolgreich.»
Während er dann seine Erfahrung mit dem Auftraggeber teilt, um das getestete System sicherer zu machen, verfolgen kriminelle Hacker weit weniger noble Ziele: «Am lukrativsten ist es, Daten rauszuholen und entweder die Praxis oder das Spital zu erpressen, oder die betroffenen Patienten ins Visier zu nehmen.» Geld her, oder die Krankheitsgeschichte wird veröffentlicht!
Cyberangriffe auf Gesundheitseinrichtungen machten zuletzt 2017 international von sich reden. Zehntausende von Spitalgeräten insbesondere in England waren durch den Angriff mit dem Virus «Wannacry» lahmgelegt.
Im selben Jahr wurden in einem Pflegeheim im Aargauischen Schöftland Patientendaten von Erpressern verschlüsselt. Das Heim zahlte Lösegeld, um wieder an die Daten zu kommen.
2018 demonstrierten Sicherheitsexperten an einer Konferenz, wie einfach es ist, Vitaldaten von Patientinnen und Patienten von extern sogar zu manipulieren.
Wie verbreitet solche Cyberattacken im Schweizer Gesundheitswesen sind und wie viele davon erfolgreich, kann oder will in der Schweiz niemand sagen. Insider meinen: Die bis zu 40 Meldungen, die pro Jahr bei der Melde- und Analysestelle des Bundes MELANI eingehen, sind nur die Spitze des Eisbergs.
Ruefs Ziel heute ist der Luzerner Standort eines Gesundheitszentrums, das an verschiedenen Orten in der Schweiz modernste medizinische Grundversorgung anbietet, vom digitalen Röntgen bis zum 4D-Ultraschall.
Das Szenario: Ein paar Minuten alleine im Untersuchungszimmer, ein Kabel einstecken, ein paar Klicks…
Im Gesundheitszentrum kann der Cybersicherheitsexperte tatsächlich Sicherheitslücken im Netzwerk ausmachen. Eine davon: Ein Ultraschallgerät, das ans Netzwerk angeschlossen ist und Zugriff auf eine sonst geschützte Datenbank mit Patientendaten erlaubt. Hier könnte Ruef nun auch Schadsoftware einschleusen.
In der Regel braucht es ein menschliches Opfer, das einen bei der Attacke von aussen unterstützt.
Eine wunderbare Gelegenheit, die sich ein Hacker aber durch das Risiko der persönlichen Anwesenheit vor Ort erkaufen müsste.
Geht das nicht einfacher von aussen?
«Der Aufwand für einen Angriff übers Internet ist natürlich grösser», meint Marc Ruef, aber unmöglich sei es nicht. «In der Regel braucht es ein menschliches Opfer, das einen dabei unterstützt.» Zum Beispiel, indem ein präparierter Mail-Anhang geöffnet wird, der eine entsprechende Schadsoftware im System installiert.
Solche unfreiwillige Helfer hat der Sicherheitsexperte auch in Luzern gefunden. Gleich mehrere Mitarbeitende fielen auf ein Phishing-Mail herein und öffneten den Anhang – Bingo.
Patricia Kellerhans, CEO des in eigenem Auftrag getesteten Gesundheitszentrums, nimmt das Ergebnis sportlich: «Die Aktion hat bei unseren Angestellten extrem viel bewirkt. Ich denke, dass nun alle wieder ein gutes halbes Jahr lang fürs Thema sensibilisiert sind.»
