Cybersicherheit

Krankenhäuser sind das Ziel in einer neuen Art von Cyberkrieg

mm
Published
Updated

Seit den frühesten Tagen der Cyberkriminalität ist Gesundheitsdaten ein wichtiges Ziel. Bis vor kurzem folgten die meisten Cyberangriffe auf Krankenhäuser einem vertrauten Muster: Ransomware-Gruppen verschlüsselten Patientenakten und forderten Zahlungen. Die Motivation war klar – und es ging nur um das Geld.

Aber Cyber-Sicherheitsexperten warnen jetzt vor einer Verschiebung. Eine wachsende Anzahl von Angriffen auf Gesundheitssektorsysteme scheint nicht von Profit, sondern von Politik getrieben zu sein. Diese Vorfälle, oft auf nationale Gruppen zurückzuführen, zielen darauf ab, Krankenhausoperationen zu stören, sensible medizinische Daten zu stehlen und das Vertrauen der Öffentlichkeit zu untergraben. Die Vereinten Nationen haben Cyberangriffe auf die Gesundheitsversorgung als “eine direkte und systemische Gefahr für die globale öffentliche Gesundheit und Sicherheit” bezeichnet.

Diese Entwicklung kommt zu einem Zeitpunkt, an dem das Vertrauen in Gesundheitseinrichtungen bereits fragil ist. Cyberangriffe vertiefen diese Misstrauen, belasten kritische Infrastrukturen und verwischen die Grenze zwischen krimineller Unternehmung und geopolitischen Strategien. Als jemand, der an der Schnittstelle zwischen Gesundheitssicherheit und Intelligenzteilung arbeitet, glaube ich, dass dies kein rein kriminelles Problem mehr ist – es ist eine Bedrohung der nationalen Sicherheit.

Die Herausforderung der Zuordnung

Wenn die Motive hinter Cyberangriffen auf den Gesundheitssektor sich ändern, ändert sich auch die Komplexität des Verständnisses, wer dahinter steckt – und warum.

Im Gegensatz zu den einfachen finanziellen Motiven traditioneller Ransomware-Gruppen sind staatlich unterstützte Kampagnen oft hinter komplexen Proxys, Hacktivist-Fronten oder lose verbundenen Cyberkriminellen versteckt. Was zunächst wie ein routinemäßiger Ransomware-Vorfall erscheinen mag, kann bei näherer Betrachtung Anzeichen einer koordinierten Strategie aufzeigen: gezielte Angriffe auf kritische Gesundheitsinfrastruktur, maximale Betriebsstörung und sorgfältige Vermeidung von Zuordnung zu einem bestimmten Staat.

Dieses Muster wurde bereits in hochkarätigen Fällen beobachtet. Während der COVID-19-Pandemie erlitten mehrere europäische Gesundheitseinrichtungen Cyberangriffe, die Beamte später mit ausländischen Geheimdienstoperationen in Verbindung brachten. Obwohl die Angriffe zunächst wie kriminelle Ransomware-Kampagnen aussahen, wies eine tiefere Analyse auf umfassendere Ziele hin – wie das Stehlen von Impfstoff-Forschung, die Störung von Pflege während einer öffentlichen Gesundheitskrise oder das Säen von Misstrauen in das Gesundheitssystem.

Diese absichtliche Zweideutigkeit dient den Angreifern gut. Indem sie strategische Sabotage als kriminelle Aktivität tarnen, vermeiden sie direkte politische Konsequenzen, während sie dennoch schweren Schaden an Institutionen verursachen, die Patientenversorgung bieten. Für Verteidiger kompliziert sich die Reaktion auf jeder Ebene – technisch, operativ und diplomatisch.

Im Gesundheitssektor ist die Patientensicherheit während eines Cyber-Vorfalls unmittelbar gefährdet, und es gibt wenig Zeit oder Kapazität für eine gründliche forensische Analyse. Ohne ein klares Verständnis der Natur und des Zwecks eines Angriffs können Krankenhäuser und Gesundheitsdienstleister die Bedrohung falsch einschätzen, umfassendere Muster übersehen und es versäumen, eine angemessene Verteidigungsstrategie zu koordinieren.

Wichtigkeit des Informationsaustauschs

Der Schlüssel zum Aufbau einer effektiven Verteidigung ist kollektives Handeln, das auf dem freien Austausch von Informationen basiert. Organisationen kritischer Infrastrukturen kommen zusammen, um Information Sharing and Analysis Centers (ISACs) zu bilden. Health-ISAC bringt über 14.000 Menschen durch eine gemeinnützige Branchenvereinigung zusammen, die den vertrauenswürdigen Austausch von Cyber-Sicherheitsbedrohungs-Intelligenz ermöglicht, um schnellere, koordiniertere Reaktionen auf neue Risiken zu ermöglichen. Health-ISAC verbindet Krankenhäuser, Pharma-Unternehmen, Versicherer und andere Interessengruppen, um ein Ökosystem zu schaffen, in dem Wissen freier fließt und Frühwarnungen über die globale Gesundheitsgemeinschaft amplifiziert werden können.

Indem Organisationen Indikatoren für Kompromisse, Angriffstechniken, verdächtiges Verhalten und Erfahrungen austauschen, können sie isolierte Beobachtungen in branchenweite Intelligenz umwandeln. Eine Malware-Signatur, die in einem einzigen Krankenhaus entdeckt wird, könnte die frühe Warnung sein, die morgen eine Welle von Angriffen auf der ganzen Welt verhindert. Auf diese Weise transformiert der Informationsaustausch die Verteidigung von einer Reihe isolierter Kämpfe in eine koordinierte, proaktive Anstrengung.

Es gibt jedoch Herausforderungen beim Aufbau und Aufrechterhalten dieser Art von Zusammenarbeit. Effektiver Austausch hängt von Vertrauen ab: Vertrauen, dass sensible Informationen verantwortungsvoll gehandhabt werden, und Vertrauen, dass die Teilnehmer sich zu gegenseitiger Verteidigung verpflichten. Gesundheitssektor-Organisationen müssen transparent über Vorfälle berichten. Die Förderung dieser Kultur der Offenheit bleibt eine der größten Herausforderungen des Sektors, aber auch eine der mächtigsten Chancen, die Branche gegen zunehmend komplexe Bedrohungen zu stärken.

Aufbau von Widerstandsfähigkeit

Während robuste Cyber-Sicherheitsmaßnahmen unerlässlich bleiben, ist die Realität, dass die Verhinderung jedes Angriffs unmöglich ist. Deshalb müssen Gesundheitssektor-Institutionen in Widerstandsfähigkeit investieren: die Fähigkeit, kritische Dienste während eines Angriffs aufrechtzuerhalten oder schnell wiederherzustellen.

Dies beginnt mit der Vorbereitung. Organisationen sollten detaillierte Notfallpläne entwickeln und regelmäßig üben, die auf ihre spezifischen Arbeitsabläufe, Einrichtungen und Patientenversorgungsanforderungen zugeschnitten sind. Diese Übungen helfen dem Personal, zu wissen, was zu tun ist, wenn Systeme ausfallen, und stellen sicher, dass Entscheidungen während einer Krise nicht durch Verwirrung oder Unsicherheit verzögert werden.

Segmentierte Netzwerktopologien sind eine weitere kritische Verteidigung. Indem Organisationen Systeme isolieren – wie z.B. die Trennung medizinischer Geräte von administrativen Tools oder die Einschränkung von Labornetzen auf ihre eigene Segmentierung – können sie verhindern, dass Malware sich lateral bewegt und weitreichende Störungen verursacht. Diese Art von Kompartimentalisierung begrenzt den Schaden und gibt den Reaktions-Teams wertvolle Zeit.

Ebenso wichtig ist die Stärke und Zugänglichkeit von Backup- und Wiederherstellungssystemen. Backups sollten sicher gespeichert, regelmäßig getestet und in offline- oder unveränderlichen Formaten aufbewahrt werden, um zu verhindern, dass sie während eines Angriffs manipuliert werden. Je schneller eine Organisation Patientenakten, Terminplanungstools und Kommunikationssysteme wiederherstellen kann, desto schneller kann sie zur sicheren und effektiven Versorgung zurückkehren.

Letzte Gedanken

Zu oft zeigen Cyberangriffe, dass Widerstandsfähigkeit als nachrangig behandelt wurde. Aber im Gesundheitssektor – in dem Leben auf dem Spiel stehen – muss sie eine grundlegende Priorität sein. Planung, Übung und Koordination sind keine Optionen mehr. Sie sind die vorderste Verteidigung in einem Cyberkrieg, den Krankenhäuser nicht länger ignorieren können.

Was jetzt benötigt wird, ist eine Verschiebung der Denkweise. Gesundheitssektor-Führer müssen Cyber-Sicherheit nicht als IT-Problematik, sondern als Kernstück der Patientensicherheit und institutionellen Vertrauens betrachten. Das bedeutet, Ressourcen bereitzustellen, Mitarbeiter auf allen Ebenen einzubinden und über organisatorische Grenzen hinaus zu kooperieren.

Kein einzelnes Krankenhaus kann allein gegen die Kräfte bestehen, die die Bedrohungslandschaft umgestalten. Aber zusammen – durch geteilte Intelligenz, koordinierte Reaktion und eine erneute Konzentration auf Widerstandsfähigkeit – kann der Gesundheitssektor gegen diese steigende Flut zurückdrängen und die kritischen Systeme schützen, auf die Millionen Menschen jeden Tag angewiesen sind.

mm

Vasileios Mingos ist der Europäische Operationsdirektor, GCTI, GREM, mit über 8 Jahren Sicherheitserfahrung. Er ist in Griechenland ansässig und seit Juli 2023 bei Health-ISAC tätig.