Frau am Analysegerät

Cybersicherheit im Spital: ein Fallbeispiel

Spitäler geraten verstärkt ins Visier von Hackern: Sie sind zunehmend digitalisiert und vernetzt. Gleichzeitig arbeiten sie mit hochsensiblen Daten. Hinzu kommt: Im Spital geht es oft buchstäblich um Leben und Tod. Unerwartete Ausfälle können deshalb weitreichende Folgen haben.
Die Digitalisierung bietet enorme Chancen – auch im Gesund­heitssektor. Gleichzeitig entstehen neue Heraus­forderungen und Risiken, zum Beispiel für Spitäler. Sie sind besonders anfällig für Cyber-Erpressungen. Ihre strategische Position in der Pandemie hat dieses Risiko noch verschärft.

Cyberattacke auf das Spital Wetzikon

Dass Spitäler eine attraktive Zielgruppe für Hacker sind, musste auch das Spital Wetzikon erleben: Im Oktober 2019 wurde das Spital, welches die medizinische Grund­versorgung von rund 55’000 Personen im Zürcher Oberland sicherstellt, Opfer eines Hacker­angriffs. Über eine gefälschte E-Mail wurde ein Computer mit dem Trojaner «Emotet» infiziert. Die Software breitete sich im Netzwerk aus und lud weitere Schad­programme nach. 

Erfolgreich abgewehrt dank guter Vorbereitung

Im Spital Wetzikon ging der Angriff glücklicher­weise glimpflich aus, berichtet Matthias Spielmann, CEO des Spitals Wetzikon: «IT-Sicherheit hat bei uns eine hohe Priorität und wir haben verschiedene Massnahmen ergriffen, um uns vor Hackerangriffen zu schützen.» Unter anderem werden regelmässig Back-ups aller wichtigen Daten erstellt und getrennt vom Netzwerk gespeichert. Auch das umsichtige Verhalten der Beschäftigten spielte eine grosse Rolle: «Dank aufmerksamer Mitarbeiter haben wir den Angriff schnell entdeckt und konnten unser System zeitnah bereinigen. Durch unsere umfangreichen Back-ups waren die Daten nicht verloren, sondern wir konnten sie wieder aufspielen.» 

Angriff mit verheerenden Folgen

Welche verheerenden Folgen Cyberangriffe auf Gesund­heitsein­richtungen haben können, zeigt das Beispiel einer deutschen Universitäts­klinik: Während der Attacke auf die Klinik waren keine Operationen mehr möglich, die Not­aufnahme musste geschlossen werden und Kranken­wagen konnten die Uniklinik nicht mehr anfahren. Der reguläre Betrieb wurde massiv beeinträchtigt und sogar Rettungs­wagen mussten umgeleitet werden.

Spitäler im Fokus der Hacker

Nicht ganz so dramatisch, aber ebenfalls folgenreich ist es, wenn Hacker die sensitiven Gesund­heitsdaten von Patientinnen und Patienten angreifen und mit einer Veröffentlichung drohen. Auch mit solchen Formen der Cyber-Erpressung lässt sich viel Schaden anrichten und entsprechend hohes Lösegeld verlangen. Gemäss dem «Cyber Security Report 2021» der IT-Sicherheitsfirma Check Point haben im vierten Quartal 2020 die Cyberattacken auf Spitäler weltweit um 45 % zugenommen. Check Point kommentiert das mit den Worten: «Attacks on healthcare sector become an epidemic.» Auch die Schweizer Spitäler bekommen dies zu spüren. Umso wichtiger ist es, sich wirkungsvoll zu schützen.

Auch die Rechtslage wird strenger

Bei mangelhafter Cyber-Sicherheit drohen auch immer stärkere rechtliche Konsequenzen: Mit der Angleichung des Schweizer Daten­schutzrechts (DSG) an die EU Daten­schutzverordnung unterliegen die Spitäler wie alle anderen Unternehmen wesentlich strengeren Sanktionen und erweiterten Informations­pflichten und sind überdies verpflichtet, ein Bearbeitungs­verzeichnis zu erstellen. Auch werden die Rechte der betroffenen Person gestärkt. Noch nicht bekannt ist, auf welches Datum der Bundesrat das neue Daten­schutzgesetzt in Kraft setzen wird. 

Cyber Security ist mehr als IT

Matchentscheidend ist es, dass Spitäler ihre Cyber-Risiken ganzheitlich verstehen. Zeitgemässe technische Sicherheits­massnahmen helfen, das Risiko eines Schadens deutlich zu reduzieren. Doch wer den Schutz von Daten und IT-Systemen als reines IT- und Technik-Problem versteht, kann sich nicht umfassend absichern: Die Zugangs­wege der Angreifer sind vielfältig. Oft nutzen sie auch den Faktor «Mensch», denn er ist das schwächste Glied in der Sicherheits­kette. Unwissenheit erhöht erheblich die Gefahr, Opfer einer Cyber-Attacke zu werden. Deshalb sind Schulungen für die Cyber Security Awareness ein wichtiger Bestandteil des Sicherheits­konzepts. Ziel dieser Schulungen ist es, Mitarbeitende für die Gefahren zu sensibilisieren und zu trainieren, wie sie sich im Fall eines Angriffs verhalten sollen. 

Gute Vorbereitung ist der beste Schutz

Das Beispiel des Spitals Wetzikon zeigt, dass Spitäler, welche auf Cyber­angriffe vorbereitet sind, viele Attacken abwehren oder zumindest das Schadens­ausmass stark reduzieren können. Es gilt also, die Widerstands­fähigkeit der internen Systeme gegen Angriffe zu stärken und Bedrohungen frühzeitig zu erkennen. Denn die Cyber­angriffe werden nicht nur immer raffinierter, sondern auch immer unauffälliger: Von der ersten Attacke bis zum finalen Einsatz der Ver­schlüsselungs­software kann es mehrere Wochen oder gar Monate dauern. Während dieser Zeit können sich Kriminelle mehr oder weniger frei im Netzwerk bewegen. Nur wer sein Firmen­netzwerk regelmässig überprüft, erkennt frühe Anzeichen für das Eindringen von Hackern. 

Dank IT-Notfallplan Cyberangriffe besser bewältigen

Neben der guten Vorsorge sollte jedes Spital zwingend über einen IT-Notfallplan verfügen. Denn sobald wichtige IT-Systeme angegriffen und beinträchtig wurden, ist Eile geboten. Hierzu gehört das Üben von Wieder­herstellungs­prozessen oder die Simulation von Szenarien, wie elementare Funktionalitäten trotz IT-Krise in einem Notfallmodus weiterbetrieben werden können und wichtige Prozesse nicht oder nur kurz unterbrochen werden. Auch das Spital Wetzikon hat nach dem Hackerangriff seine Sicherheits­vorkehrungen nochmals verstärkt, wie Matthias Spielmann berichtet: «Wir waren vorher bereits vorsichtig, haben unsere Sicherheits­massnahmen nun aber nochmals verstärkt. Dazu gehören regelmässige Schulungen für die Mitarbeitenden, Sicherheits-Updates und ein noch ausgefeilteres Backup-System.»

Matthias Spielmann
Matthias P. Spielmann, CEO GZO Spital Wetzikon

Interview mit Matthias P. Spielmann, CEO GZO Spital Wetzikon

Weshalb ist der Hackerangriff im Oktober 2019 auf das Spital GZO Spital Wetzikon so glimpflich abgelaufen?
Das GZO Spital Wetzikon hat bereits vor dem Hackerangriff einen umfangreichen IT-Sicherheitsaudit durchgeführt. Er hatte zum Ziel, Klarheit über potenzielle Mängel im Bereich Sicherheit zu erhalten und diese zu beheben. Dank dieser guten Vorbereitung lief der Angriff glücklicher­weise glimpflich aus. Eingeschlichen hat sich der Trojaner «Emotet» über eine gefälschte interne E-Mail-Nachricht, die aber täuschend echt aussah. Beim Öffnen des Anhangs hat sich der Trojaner in unserem IT-Netzwerk ausgebreitet und weitere Schaden­programme geladen. Dank aufmerksamer Mitarbeiter haben wir den Angriff schnell entdeckt und konnten unser System zeitnah bereinigen.

Wie wichtig war der Faktor Zeit in dieser Situation?
Es war äusserst wichtig, dass wir den Angriff so schnell entdeckt haben und ent­sprechend speditiv reagieren konnten. So konnten wir trotz des Angriffs den Betrieb im Spital Wetzikon normal weiterführen und es kam zu keiner Verschlüsselung und keinem Verlust von Patientendaten. Jedoch war ein Expertenteam mehrere Wochen lang damit beschäftigt, Geräte zu kontrollieren und zu bereinigen. Der Aufwand, aber auch die Kosten waren dementsprechend hoch.

Was haben Sie aus dem Angriff gelernt? Was haben Sie verändert?
Der Angriff hat uns bewusst gemacht, dass sich die Cyber­kriminalität auf einer neuen Ebene bewegt – wir erleben jetzt eine komplett neue Dimension von Bedrohungen. Cyber­kriminalität betrifft uns alle und neben einer guten Prävention sollte jedes Spital zwingend über einen IT-Notfallplan verfügen. Auch eine ständige Überwachung und eine schnelle Reaktionszeit sind entscheidend, um im Kampf gegen solche Angriffe erfolgreich zu sein. Die Attacke hat uns aufgezeigt, dass gut vorbereitete Spitäler Angriffe abwehren oder zumindest das Schaden­ausmass stark reduzieren können. Gleichwohl haben wir unsere Sicherheits­massnahmen nach dem Angriff nochmals verstärkt und in neue IT-Schutz­massnahmen investiert. Ein wichtiger Bestandteil unseres Sicherheits­konzeptes ist es, unsere Mitarbeitenden regelmässige zu schulen und sensibilisieren. 
LinkedIn E-Mail

Weitere Artikel

Männer bei einer heiteren Diskussion

Die Geschichte unseres Cyberversicherungskunden Planted

Das Start-up Planted sorgt mit innovativen Lebensmitteln aus Pflanzen für Furore.
Mehr erfahren
Ärztin im Gespräch mit Patientin

Berufshaft­pflicht für Medizinal- und Gesundheits­berufe

Im medizinischen Bereich können kleine Fehler grosse Folgen haben. So kann man sich im Fall der Fälle schützen.
Mehr erfahren