IT-Sicherheit kommt häufig zu kurz

BERLIN. Nach der Erpressungssoftware "WannaCry" hält seit Dienstag die Schadsoftware "Petya" Unternehmen weltweit auf Trab. Das bekam auch das Expertenforum für IT-Sicherheit und Risikomanagement in Krankenhäusern der Unternehmensberatung RS Medical Consult zu spüren: Viele Teilnehmer mussten wegen der Attacke absagen. Aktueller konnte die Veranstaltung also nicht sein.

Dass Kliniken von Schadsoftware wie Petna, Petya und Locky getroffen wurden, sei bisher nur Zufall gewesen, sagte Professor Thomas Friedl von der Technischen Hochschule Mittelhessen in Gießen. "Die Frage ist nicht, ob ich getroffen werde, sondern: wann", warnte er.

Die Zahl der Cyberangriffe nehme zu, die meisten Attacken weltweit erfolgten im Gesundheitsbereich. Mit breit gestreuten Angriffen auf Computer und Netzwerke "lässt sich mehr Geld verdienen als mit Menschen- und Drogenhandel zusammen", sagte Alexander Schinner, IT-Forensiker bei Telekom-Security. Die Gefahr, dabei gefasst zu werden, sei sehr gering. Wie sorglos in Klinik und Praxis der Umgang mit IT und Datenschutz teilweise ist, berichtete Schinner anhand seiner Erfahrungen als Senior Cyber Security Consultant. Im Auftrag von Kliniken, Praxen oder Firmen führt er sogenannte Penetrationstests durch, in denen er die Rolle des Angreifers übernimmt und Sicherheitslücken aufdeckt.

Manchmal stoßen potenzielle Angreifer in den Einrichtungen buchstäblich auf offene Türen, die es ihnen leicht machen, etwa durch den blitzschnellen Einbau eines sogenannten Key-Loggers Patientendaten und Passwörter abzugreifen oder sich durch eine Schadsoftware technisch nach und nach im ganzen Unternehmen zu verbreiten.

In einem Krankenhaus gelang es Schinner beispielsweise, sich Zugang zu Patientendaten zu verschaffen, weil eine Ärztin das Arztzimmer für eine Minute verließ, um zum Kopierer zu laufen. In einem Arztzentrum waren die Räume so ungesichert, dass der IT-Forensiker keine Mühe hatte, auch nach den Sprechstundenzeiten an den Arzt-PC zu gelangen und diesen entsprechend für seine Zwecke zu manipulieren.

Thomas Friedl kritisierte, dass IT-Sicherheit in vielen Kliniken immer noch nicht Chefsache sei. "Die Industrie hat IT-Vorstände", in Kliniken seien die Verantwortlichen oft nur auf unteren Ebenen platziert – "weil man es immer schon so gemacht hat, aus Angst vor Machtverlust oder weil es eine Frage des Budgets ist", so Friedl. Er und Schinner mahnten, sich vor allem auf den "Fall der Fälle" vorzubereiten und klar zu regeln, was getan werden muss, wenn ein Cyberangriff erfolgreich war. "Jede Klinik müsste dazu eigentlich ein Handbuch vorlegen, was in solchen Fällen passiert", sagte Friedl. Das passiere jedoch noch zu wenig, "wahrscheinlich muss das Kind erst in den Brunnen fallen."

Auch nach den Erfahrungen von Professor Kurt Marquardt von der Rhön-Klinikum AG ist in Krankenhäusern zu wenig bekannt, dass sie schon aus Gründen des Datenschutzes einen solchen Notfallplan implementieren müssen, der dann "auch gelebt werden muss".

Dazu, so Schinner, gehöre beispielsweise die Benennung eines Koordinators, der es dann auch wage, den Stecker zu ziehen. Ebenso müssten Mitarbeiter wissen, wen sie im Falle eines bemerkten Angriffs kontaktieren können, sowie die Einrichtung eines Notfallbesprechungsraums.

Für die IT-Sicherheit wichtig sei auch die Schulung aller Mitarbeiter, betonte Thomas Friedl. Nötig sei vielleicht auch eine neue Kommunikationsstruktur im Unternehmen, die Widersprüche von Mitarbeitern nicht als unerwünscht behandelt. So ließen sich möglicherweise Fälle wie jene vermeiden, in denen Unternehmensmitarbeiter Mails vom angeblichen Chef bekamen mit der Anweisung, hohe Geldbeträge zu überweisen. Der Autozulieferer Leoni verlor durch eine solchen "CEO-Fraud" 40 Millionen Euro.