Zum Inhalt springen

Header

Navigation

Legende: Video IT-Sicherheit – Wie verwundbar sind unsere Praxen und Spitäler? abspielen. Laufzeit 08:37 Minuten.
Aus Puls vom 18.03.2019.
Inhalt

IT-Sicherheit in der Medizin Das grösste Risiko sitzt vor dem Computer

Insider halten wenig vom Schutz der Schweizer Gesundheitseinrichtungen gegen Cyberangriffe. «Puls» machte die Probe aufs Exempel.

Computer und vernetzte Untersuchungsgeräte sind in Arztpraxen oder Spitälern alltäglich. Mit ihnen steigt aber auch die Verletzlichkeit für Hacker- und Cyberangriffe auf lebenswichtige Infrastruktur und sensible Daten.

Wie schwierig ist es, an Patientendaten heranzukommen? Das SRF-Gesundheitsmagazin «Puls» hat einen legalen Hacker beim Angriffsversuch auf ein Gesundheitszentrum in Luzern begleitet.

Legende: Video Legale Hacker wie Marc Ruef testen die IT-Sicherheit ihrer Kunden und wissen, welchen Nutzen sich Kriminelle von ihren Cyberangriffen versprechen. abspielen. Laufzeit 00:31 Minuten.
Aus Puls vom 18.03.2019.

Marc Ruef macht im Auftrag von Kunden, was sonst Kriminelle im Geheimen tun: Er versucht, sich in Gesundheitseinrichtungen zu hacken. Seine Erfahrung: «Wenn man genügend Zeit hat und weiss, wo ansetzen, sind wir fast immer erfolgreich.»

Während er dann seine Erfahrung mit dem Auftraggeber teilt, um das getestete System sicherer zu machen, verfolgen kriminelle Hacker weit weniger noble Ziele: «Am lukrativsten ist es, Daten rauszuholen und entweder die Praxis oder das Spital zu erpressen, oder die betroffenen Patienten ins Visier zu nehmen.» Geld her, oder die Krankheitsgeschichte wird veröffentlicht!

Hohe Dunkelziffer

Balkendiagramme
Legende:Gemeldete Cyberattacken im Schweizer Gesundheitswesenpuls

Cyberangriffe auf Gesundheitseinrichtungen machten zuletzt 2017 international von sich reden. Zehntausende von Spitalgeräten insbesondere in England waren durch den Angriff mit dem Virus «Wannacry» lahmgelegt.

Im selben Jahr wurden in einem Pflegeheim im Aargauischen Schöftland Patientendaten von Erpressern verschlüsselt. Das Heim zahlte Lösegeld, um wieder an die Daten zu kommen.

2018 demonstrierten Sicherheitsexperten an einer Konferenz, wie einfach es ist, Vitaldaten von Patientinnen und Patienten von extern sogar zu manipulieren.

Wie verbreitet solche Cyberattacken im Schweizer Gesundheitswesen sind und wie viele davon erfolgreich, kann oder will in der Schweiz niemand sagen. Insider meinen: Die bis zu 40 Meldungen, die pro Jahr bei der Melde- und Analysestelle des Bundes MELANI, Link öffnet in einem neuen Fenster eingehen, sind nur die Spitze des Eisbergs.

Ruefs Ziel heute ist der Luzerner Standort eines Gesundheitszentrums, das an verschiedenen Orten in der Schweiz modernste medizinische Grundversorgung anbietet, vom digitalen Röntgen bis zum 4D-Ultraschall.

Das Szenario: Ein paar Minuten alleine im Untersuchungszimmer, ein Kabel einstecken, ein paar Klicks…

Im Gesundheitszentrum kann der Cybersicherheitsexperte tatsächlich Sicherheitslücken im Netzwerk ausmachen. Eine davon: Ein Ultraschallgerät, das ans Netzwerk angeschlossen ist und Zugriff auf eine sonst geschützte Datenbank mit Patientendaten erlaubt. Hier könnte Ruef nun auch Schadsoftware einschleusen.

In der Regel braucht es ein menschliches Opfer, das einen bei der Attacke von aussen unterstützt.
Autor: Marc RuefCybersicherheitsexperte

Eine wunderbare Gelegenheit, die sich ein Hacker aber durch das Risiko der persönlichen Anwesenheit vor Ort erkaufen müsste.

Geht das nicht einfacher von aussen?

«Der Aufwand für einen Angriff übers Internet ist natürlich grösser», meint Marc Ruef, aber unmöglich sei es nicht. «In der Regel braucht es ein menschliches Opfer, das einen dabei unterstützt.» Zum Beispiel, indem ein präparierter Mail-Anhang geöffnet wird, der eine entsprechende Schadsoftware im System installiert.

Legende: Video «Der Aufwand für einen Angriff von aussen ist höher, aber unmöglich ist das nicht.» abspielen. Laufzeit 00:20 Minuten.
Aus Puls vom 18.03.2019.

Solche unfreiwillige Helfer hat der Sicherheitsexperte auch in Luzern gefunden. Gleich mehrere Mitarbeitende fielen auf ein Phishing-Mail herein und öffneten den Anhang – Bingo.

Patricia Kellerhans, CEO des in eigenem Auftrag getesteten Gesundheitszentrums, nimmt das Ergebnis sportlich: «Die Aktion hat bei unseren Angestellten extrem viel bewirkt. Ich denke, dass nun alle wieder ein gutes halbes Jahr lang fürs Thema sensibilisiert sind.»

Legende: Video Müssen wir uns Sorgen um die Sicherheit unserer Patientendaten machen? Studiogespräch mit Jürgen Holm, Leiter Medizininformatik Berner Fachhochschule abspielen. Laufzeit 03:36 Minuten.
Aus Puls vom 18.03.2019.

Keine wichtigen News verpassen

Erhalten Sie die wichtigsten Nachrichten per Browser-Push-Mitteilungen.

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren.

4 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Deshalb ist das Kommentieren bei älteren Artikeln und Sendungen nicht mehr möglich.

  • Kommentar von Samuel Müller (Samuel Müller)
    Das grösste Risiko wird auch bei den elektronischen Wahlen an der Tastatur sitzen!
    Ablehnen den Kommentar ablehnen
  • Kommentar von Verena Bensaddik (V. Bensaddik)
    Ich gelte als Dinosaurier. Meine Patientenakten gibt's nur auf Papier. Und das Abrechnungssystem auf der eigenen Festplatte. Die ist zwar auch nicht 100% sicher, aber enthält wenig sensible Daten. Zwar bieten die neuen Technologien sehr interessante Möglichkeiten, aber insgesamt gehen wir "Normalbürger" damit einfach viel zu naiv um. Wenn ich bedenke, wieviele Patientenakten irgendwo in einer Cloud rumschwirren...
    Ablehnen den Kommentar ablehnen
  • Kommentar von M. Roe (M. Roe)
    Es geht ja bei diesem Thema nicht um uns persönlich, sondern um das Sammeln von Gesundheitsdaten für Statistiken von "fremden Mächten". Es könnte z.B. für ein fremdes Land interessant sein, wieviele Krebsfälle es bei uns gibt, oder wieviele Herzoperationen es in der Schweiz oder Europa gibt. In einer globalisierten Welt wird es für die verschiedenen "Mächte" wichtig sein, welche Spitäler man ausser Gefecht stellen muss, um einen "Krieg"mit IT-Mitteln zu gewinnen.
    Ablehnen den Kommentar ablehnen
    1. Antwort von Hanspeter Müller (HPMüller)
      Das Hauptproblem sind nicht "fremde Mächte", sondern ganz gewöhnliche Kriminelle. Die Zahl der behandelten Krebspatienten oder Herzoperationen sind in den Statistiken der Spitäler längstens publiziert. Wenn hingegen die Infrastruktur eines Spitals oder Gesundheitszentrums still steht, finden keine Behandlungen statt mit entsprechenden finanziellen und gesundheitlichen Konsequenzen. Da fliessen dann (und flossen schon) Lösegelder in mehrfacher Millionenhöhe.
      Ablehnen den Kommentar ablehnen