Sie sind Mitglied der Geschäftsführung und erhalten die Nachricht, dass die IT ihres Krankenhauses durch einen Cyberangriff lahmgelegt ist und eine sechsstellige Lösegeldforderung der Angreifer vorliegt. Wenn Sie nicht bezahlen, drohen die Angreifer, vertrauliche Daten (Geschäftsgeheimnisse, Patientendaten) im Internet zu veröffentlichen. Gleichzeitig wurden die Daten ihrer Systeme verschlüsselt.
Natürlich nicht bezahlen denken Sie – erstmal richtig so – aber ist Ihnen die komplette Tragweite der Auswirkungen tatsächlich klar?
Welchem Szenario stehen Sie nun gegenüber?
- Gleichzeitiger Ausfall aller IT-Systeme
➔ Bei einem Cyberangriff dieser Art fallen zwar nicht alle Systeme aus, aber da man nicht weiß, welche Systeme mit der Malware bereits infiziert sind und um eine Verbreitung der Schadprogramme zu unterbinden, müssen alle Systeme heruntergefahren und die Verbindung zum Internet abgeschaltet werden.
- Ausfall über mehrere Wochen
➔ Eine Wiederinbetriebnahme erfordert fast immer die Neuinstallation der Systeme, teilweise mit Hardware-Ersatz. Dies kann mehrere Wochen in Anspruch nehmen.
Ein Cyberangriff ist nicht vergleichbar mit einem Softwareausfall eines Einzelsystems wie dem KIS oder einem Stromausfall, bei dem die Systeme wieder in Betrieb genommen werden können.
Betroffene, die eine solche Krise erleben mussten, berichten immer wieder, dass sie auf diese Komplexität und Dimension nicht vorbereitet waren.
Mal ehrlich, können Sie sich das wirklich vorstellen? Für mehrere Wochen keine digitale Unterstützung für Abrechnung, Patientenbehandlung, Radiologie, Medikamentenversorgung usw.
Ja, es gibt Notfallpläne. Aber sind Sie sicher, dass damit der umfassende IT-Ausfall über einen längeren Zeitraum abgefangen werden kann? Oder anders gefragt, sind Maßnahmen in einer Dimension bis zu einer Teil-Schließung des Krankenhauses für einige Wochen konkret für einen solchen Fall vorgesehen?
Hierzu ist es elementar, dass Cybererpressungsszenarien hinsichtlich ihrer spezifischen Anforderungen für eine Bewältigung im Vorfeld schon einmal untersucht und durchdacht und das Vorgehen in einem solchen Fall mindestens mit Geschäftsführung, klinischer Leitung und IT abgestimmt ist.
Ist das in ihrem Hause bereits geschehen?
Sollte es hierzu noch keine konkreten Überlegungen gegeben haben, ist es auf jeden Fall wichtig, eine Standortbestimmung vorzunehmen, um den Status der Vorbereitungen einzuordnen und die nächsten Maßnahmen anzugehen.
Grundlage bietet hierzu der Leitfaden zur Reaktion auf IT-Vorfälle des BSI.
Dabei seien hier ausdrücklich erwähnt:
Krisenstab
Der Krisenstab muss hierfür mindestens um Verantwortliche für Rechtsfragen (Jurist bezüglich Strafrecht, IT-Recht, Meldebestimmungen), Versicherungsfragen (Cyberversicherung) und kaufmännische Fragen (Kaufmännischer Leiter) sowie für die Kommunikation (Angreifer, Behörden) ergänzt werden.
IT-Sicherheitsdienstleister
Sofern nicht intern abgedeckt, sind Supportleistungen für Beweissicherung (Forensik) und Systemwiederherstellung einzuplanen.
Kommunikation
Gerade die Kommunikation nach außen ist ein sensibler Bereich, in dem Fehler zu großem Reputationsverlust führen können. Darüber hinaus sollten Fragen wie z.B. die Verhandlungen mit Angreifern geführt werden oder wie die Kommunikation mit Strafverfolgungsbehörden und BSI erfolgt, im Vorfeld überlegt worden sein.
Als IT-Consulting Unternehmen mit Schwerpunkt für IT-Security im Gesundheitswesen können wir unsere Branchenkenntnis im Krankenhausbereich und unsere Expertise in der Informationssicherheit für Sie einbringen.
Wir orientieren uns hier insbesondere an den BSI Veröffentlichungen (z.B. Leitfaden zur Reaktion auf IT-Vorfälle, Erste Hilfe bei einem schweren IT-Sicherheitsvorfall, ..) und wenden diese auf ihre spezifische Situation an.
Gerne unterstützen wir Sie bei Ihren Vorhaben und stehen Ihnen für ein erstes unverbindliches Gespräch unter der Rufnummer 06151 / 500 777- 44 zur Verfügung.
Hinterlasse einen Kommentar