Datensicherheit in Heimen
«Sensibilisierung und Schulung sind gefragt»
Schweizer Alters- und Pflegeheime sind ein verwundbares Ziel für Hacker. Ein Angriff hat im besten Fall finanzielle Konsequenzen, im schlechtesten kann er Menschenleben gefährden, sagt die Sicherheitsexpertin Philine Richert.
Text: Roger Welti, Bild: Fotolia, 24. Juni 2019
Rund 1500 Alters- und Pflegeheime gibt es in der Schweiz. Alle bis auf eine Handvoll sind KMU. Es ist daher nicht erstaunlich, hat kaum ein Heim ein schlagkräftiges und auf die aktuelle Bedrohungslage ausgerichtetes IT-Sicherheitsdispositiv. Im Interview erläutert die Security-Expertin Philine Richert, wie die zunehmende Digitalisierung Schweizer Heime in Sachen Datensicherheit fordert.
Viele KMU in der Schweiz waren schon Ziel von Hackerangriffen. Was macht diese Art von Unternehmen und Institutionen so attraktiv für Attacken?
KMU generell und damit auch solche im Gesundheits- und Sozialbereich gehören zu den Unternehmen, in denen es oft an Bewusstsein, Know-how und Budget für einen wirksamen Schutz vor Cyber-Angriffen fehlt. Kernkompetenz und Aufmerksamkeit dieser Firmen liegen verständlicherweise auf ganz anderen Gebieten.
Alters- und Pflegeheime erscheinen auf den ersten Blick nicht gerade als lohnende Opfer. Warum sind sie es dennoch?
Die Gefahr ist definitiv real, wie diverse konkrete Fälle im Gesundheits- und Sozialbereich in den letzten Jahren und Monaten gezeigt haben. Es ist wichtig, den Charakter solcher Angriffe zu verstehen. Diese sind in den allermeisten Fällen nicht gezielt auf eine einzelne Institution ausgerichtet, um dort Schaden anzurichten. Die Angreifer führen vielmehr eine grosse Zahl von Versuchen aus, in möglichst viele System einzudringen. Oft folgt auf erfolgreiche Attacken eine Geldforderung, um beispielsweise durch den Angriff verschlüsselte Daten wieder freizugeben. Angreifer werfen sozusagen ein Netz aus, in dem jene Unternehmen hängen bleiben, die sich zu wenig gegen solche Attacken geschützt haben.
Welche Art von Angriffen sind im Gesundheits- und Sozialbereich besonders verbreitet?
Bei Swisscom Health beobachten wir die IT-Risiken fürs Gesundheitswesen mit einem spezifischen Bedrohungsradar. Dieser wird gespiesen durch Informationen und Einschätzungen vom Bundesamt für Gesundheit, von Swisscom und anderen Quellen und bietet eine gesamtheitliche Sicht auf die Bedrohungslage im Gesundheitswesen. Die Top-3-Risiken auf diesem Radar sind allesamt dem Bereich Hacking zuzuordnen.
Welche Risiken sind das konkret?
Erstens ist das so genannte Malware, also Viren, Würmer und Trojaner die mittels Phishing über Links in E-Mails oder auf Internetseiten eingeschleust werden und beim Opfer zum Beispiel Daten oder Passwörter entwenden. Zweitens ist das so genannte Ransomware, die Daten des Opfers verschlüsselt. Und drittens handelt es sich um das Phänomen, dass ein Angreifer massenhaft Anfragen an einen Server sendet und diesen dadurch lahmlegt. In der Fachsprache nennen wir das «Denial of service».
Gerade im Sozial- und Gesundheitsbereich kann der so angerichtete Schaden hoch sein.
Definitiv. Angriffe auf Gesundheitseinrichtungen können nicht nur finanzielle Folgen haben, sondern lebensbedrohlich werden. Daher können die möglichen Auswirkungen nicht hoch genug eingeschätzt werden. In konkreten Fällen mussten Behandlungen oder Operationen verschoben werden, Teile einer Klinik geschlossen und Patienten verlegt werden. In Heimen kann es dazu kommen, dass zum Beispiel digitale Medikations- und Behandlungspläne nicht mehr abgerufen werden können.
Wie gut schützen sich Alters- und Pflegeheime heute vor Cyber-Angriffen?
Viele Häuser verfügen über einen Grundschutz, aber über nicht viel mehr. Auf das Bewusstsein, Know-how und Budget bezüglich IT-Sicherheit wird im Gesundheits- und Sozialbereich eher weniger Gewicht gelegt. Wir erleben im Kontakt mit Gesundheitsfachpersonen häufig, dass sie nur schwer zu einer Verhaltensänderung zu bewegen sind. Wir empfehlen ihnen etwa einen regelmässigen Passwortwechsel oder die Nutzung einer 2-Weg-Authentifizierung – sich also zum Beispiel mittels Passwort und zusätzlich per SMS zugesandtem Code einzuloggen. Die Betroffenen entgegnen dann oft, dass sich dies nur schwer in ihren Tagesablauf integrieren lässt. Wie in anderen Branchen auch, wird in Spitälern, Heimen und Praxen oft erst dann in Prävention investiert, wenn man bereits Opfer eines Cyber-Angriffs geworden ist.
Was raten Sie Heimen und anderen Institutionen, die nicht zu Opfer werden wollen?
Der erste Schritt besteht darin, sich der Risiken bewusst zu werden. Verantwortliche von Spitälern und Heimen müssen der IT-Sicherheit gebührendes Gewicht geben und darüber hinaus dafür sorgen, dass alle ihre Mitarbeitenden für das Thema sensibilisiert und im Umgang mit Patientendaten geschult werden. In einem zweiten Schritt müssen präventiv technische Basisvorkehrungen getroffen werden. Ein Malware-Schutz und eine gute Backup-Strategie bilden hier einen soliden Einstieg. Drittens ist es ratsam, sich Unterstützung von Profis zu holen, deren Kernkompetenz die IT-Security ist. Swisscom etwa beschäftigt rund 200 Experten auf diesem Gebiet, die ihr Wissen und ihre Dienstleistungen auch KMU im Gesundheits- und Sozialbereich zur Verfügung stellen.
Das wird die Alters- und Pflegeheime eine Stange Geld kosten, oder?
Der Aufwand für IT-Sicherheit ist stets im Verhältnis zum Risiko zu sehen, das man eingeht, wenn man sich diesen Aufwand spart. Bei der Beurteilung der Kosten für einen wirkungsvollen Schutz sind neben den finanziellen Auswirkungen eines Cyber-Angriffs immer auch die Folgen für die Reputation als Leistungserbringer und Arbeitgeber einzubeziehen.
Philine Richert: « Der Aufwand für IT-Sicherheit ist stets im Verhältnis zum Risiko zu sehen.»
Zur Person
Philine Richert ist Chief Information Security Officer bei der Swisscom Health AG. Die Tochtergesellschaft von Swisscom bietet digitale Lösungen für das Gesundheitswesen an. Philine Richert verfügt über langjährige Erfahrung in der Prävention und Bekämpfung von Cyber-Angriffen.
