Das letzte Jahr (2018) war das Jahr der DSGVO – zumindest im Mai. Die Suchanfragen auf Google zeigen das deutlich. Und 2019? Welche Informationssicherheits-Themen haben uns dieses Jahr besonders beschäftigt?

google trends

(google trends)

Der Rückblick 2019

Kein Tag ohne Sicherheitslücke. Sie glauben, dass sei übertrieben? Ganz im Gegenteil! Werfen Sie einen Blick auf die Seite https://www.cert-bund.de/ des BSI und schauen Sie nach vorhandenen Schwachstellen.

Durchschnittlich sind dort täglich rund 12 sicherheitsrelevante Einträge verzeichnet. In den letzten 12 Monaten allein 51 mit der höchsten Risikoklasse.

Diese Schwachstellen bleiben nicht ohne Folgen. Sicherlich, nicht alle Schwachstellen werden tatsächlich auch ausgenutzt. Wir haben aber einmal eine Auswahl von im letzten Jahr erfolgten oder zumindest sehr wahrscheinlichen Angriffen zusammengestellt.

Dabei beziehen wir uns nur auf Berichte mit Bezug zum Gesundheitswesen und haben für jeden Monat eine Nachricht dazu ermittelt. Quelle dafür ist das Portal von Heise.de.

  • Januar: Tool kann iPhone-Gesundheitsdaten extrahieren
  • Februar: Mehr Hacker-Angriffe auf kritische Infrastruktur beim BSI gemeldet
  • März: Unzureichend abgesichert: Defibrillator-Implantate offen für Hacker-Attacken
  • April: Untersuchung: Mangelhafte IT-Sicherheit bei Ärzten und Apotheken
  • Mai: Pharmakonzern Charles River Laboratories von Hackern angegriffen
  • Juni: Erpressungstrojaner hat Laborgruppe Eurofins im Würgegriff
  • Juli: Zurück zu Bleistift und Papier: Schadsoftware legt Klinikserver lahm
  • August: Cyber-Attacke auf Kliniken: Schwachstelle war “altes Dienstkonto”
  • September: Emotet befällt Medizinische Hochschule Hannover
  • Oktober: Massive Datenschutzmängel in der Gesundheits-App Ada
  • November: Nach Datenleck in Arztpraxis: Weitere Router betroffen, jetzt patchen!
  • Dezember: DSGVO-Verstoß: Krankenhaus in Rheinland-Pfalz muss 105.000 Euro zahlen

Und am 13.12.2019 berichtet ganz aktuell der Online Dienst der Nürnberger Nachrichten:

“IT-Attacke auf Klinikum Fürth: Massive Auswirkungen auf Betrieb. Keine Routine-Eingriffe und Aufnahmestopp für Patienten.”

Schauen wir uns die Berichte genauer an, so lassen sich im Wesentlichen vier Bereiche identifizieren:

Datenschutz

Datenschutzrelevante Themen haben an Aktualität nicht verloren. Auch wenn die Grafik oben einen anderen Anschein erweckt. Die DSGVO ist in der Umsetzung. Insbesondere Gesundheits-Apps mit Datenschutzmängeln sorgten für Nachrichten im Newsticker. Ebenso wie geahndete Datenschutzverstöße. Zudem ereignen sich immer wieder Datenpannen wie „Unsicher konfigurierte Server leaken Daten von Millionen Patienten“.

Schadsoftware

Viren, Trojaner und Ransomware bedrohen verstärkt die IT-Infrastruktur von Krankenhäusern (siehe auch den obigen Eintrag vom 13.12.2019!). Die zunehmende Abhängigkeit von einer funktionierenden IT macht die Krankenhäuser anfällig gegen Ausfälle der Informationstechnik. Die Lage verschärft sich durch die stärkere Integration der Medizinprodukte in die IT-Infrastruktur und gerät damit auch in den Fokus von Angreifern.

KRITIS

Kritische Infrastrukturen stehen verstärkt auf der Zieleliste von Hackern. Dass mehr Angriffe dem BSI gemeldet wurden kann natürlich auch mit der Meldepflicht zusammen hängen, die für erhebliche IT-Störungen im Betrieb der Kritischen Infrastrukturen verpflichtend ist. Dennoch ist davon auszugehen, dass KRITIS-Häuser verschärft ins Visier genommen werden.

Labore, Apotheken und Arztpraxen

Labore sind inzwischen ebenfalls zu gern genommenen Zielen von Hackern geworden. Dabei fallen große Labornetzwerke wegen ihrer zentralen Funktion für die Patientenversorgung auch unter die KRITIS-Verordnung.
Den Apotheken und Arztpraxen mangelt es an IT-Sicherheit. So die Notiz aus dem April. Darüber hinaus haben oft kleinere Arztpraxen ihre Not den Ansprüchen des Datenschutzes gerecht zu werden.

Fazit

Die Bedrohungslage verschärft sich zunehmend. Täglich tauchen neue Sicherheitslücken durch unzureichend gesicherte IT-Systeme auf. Zusätzlich nutzen Täter die festzustellende digitale Hilflosigkeit bei den Anwendern aus, um Datendiebstahl zu begehen oder ganze Organisationen lahm zu legen.


Es scheint nicht die Frage ob es passiert, sondern vielmehr wann!

Sorgen Sie deshalb dafür, dass Sie den Anforderungen auch zukünftig gewachsen sind. Stärken Sie daher Ihre Informationssicherheit, indem Sie:

  • Risiken ermitteln, überwachen und behandeln,
  • Ihre Nutzer aus der digitalen Hilflosigkeit führen und für Awareness-Maßnahmen sorgen,
  • Ihre IT-Infrastruktur einer Sicherheitsuntersuchung unterziehen und mittels Penetrationstest Schwachstellen erkennen sowie schließen,
  • für den Ernstfall gut vorbereitet sind und ein Notfallkonzept ausgearbeitet haben.

Handeln Sie jetzt und vereinbaren Sie unverbindlich ein Gespräch mit unseren Experten für Informationssicherheit im Krankenhaus.