Gefahr von Cyberattacken im Gesundheitswesen steigt

Berlin – Die Lage der Cybersicherheit ist weiter angespannt und könnte sich angesichts zunehmend profes­sioneller Hackerangriffe künftig noch zuspitzen. Das geht aus dem gestern vorgestellten Bericht zur Lage der IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervor. Die aktuellen Trends sind besonders für das Gesundheitswesen relevant.

„Wir ordnen die aktuelle Cybersicherheitslage als besorgniserregend ein“, hatte BSI-Präsidentin Claudia Platt­ner bei der Vorstellung in Berlin gewarnt. Laut dem Branchenverband Bitkom betrage der volkswirtschaftliche Schaden durch Cyberkriminalität 206 Milliarden Euro im Jahr. Zum Vergleich: Der Bundeshaushalt umfasse 476 Milliarden Euro.

Im Berichtszeitraum hat das BSI dem Lagebericht zufolge zufolge täglich rund 250.000 neue Varianten von Schadpro­grammen und 21.000 mit Schadsoftware infizierte Systeme registriert. Zusätzlich werden dem Re­port nach täglich im Durchschnitt 70 neue Sicherheitslücken entdeckt, von denen jede zweite als hoch oder kritisch eingestuft wird. Das entspreche einer Steigerung von 24 Prozent gegenüber dem Vorjahr, heißt es.

Die größte Gefahr geht dabei von sogenannten Ransomware-Attacken aus, bei denen Daten extrahiert oder der Zugang zu Daten und Systemen blockiert werden, um die Opfer zu erpressen. Angesichts der Sensibilität ihrer Daten ist das für Gesundheitseinrichtungen von besonderer Bedeutung.

Ransomware verursacht dem BIS zufolge einen Großteil der wirtschaftlichen Schäden, die durch Cyberangriffe entstehen. Insbesondere kleine und mittlere Unternehmen, Kommunen und kommunale Betriebe seien von den oft schwerwiegenden Folgen dieser Angriffe betroffen.

Dem Lagebericht zufolge ist das Gesundheitswesen unter allen Sektoren der kritischen Infrastruktur derjenige mit der höchsten Zahl an gemeldeten Vorfällen im Berichtszeitraum: 132 von 490 Meldungen kamen aus dem Sektor Gesundheit, es folgen Transport und Verkehr mit 111 sowie Energie mit 99.

Allerdings betont der Lagebericht auch, dass die Auswertung der Vorfallsmeldungen aus der medizinischen Versorgung eine hohe Bereitschaft der Betreiber zeige, ihre Vorfälle ans MSI zu melden. In privatwirtschaft­lichen Betrieben gebe es da eher Defizite.

„Das BSI ist grundsätzlich für alle Betreiber Kritischer Infrastrukturen ansprechbar und rät dazu, den Kontakt zu staatlichen Stellen bereits zu suchen, bevor etwas passiert“, heißt es im Bericht. „So lässt sich im Fall der Fälle einfacher und vertrauensvoller zusammenarbeiten und ein schwerer IT-Vorfall gemeinsam bewältigen, bevor er sich zur Krise ausweitet.“

Allerdings bezog sich fast die Hälfte der eingegangenen Meldungen auf einen Ausfall oder eine Beeinträchti­gung der durch den Betreiber erbrachten kritischen Dienstleistungen. Meist sei als Grund technisches Versa­gen angegeben worden. Ausfälle und Störungen in den Diensten der Telematikinfrastruktur (TI) dürften die Meldungen also gemehrt haben.

Dienstleister der Betreiber als Einfalls­tor

Bei rund 20 Prozent der aus dem Gesundheitswesen an das BSI gemeldeten Vorfälle habe es sich wiederum um Angriffe gehandelt. Hier lasse sich ein zunehmender Fokus auf die Dienstleister der Betreiber als Einfalls­tor erkennen.

Dabei handelt es sich um sogenannte Supply-Chain-Angriffe, die nicht die Einrichtungen selbst ins Visier neh­men, sondern Anbieter oder Lieferanten. Die Gefahr geht dann meist von kompromittierten Produkten oder Diensten aus, sodass der Schaden in der Wertschöpfungskette weitergereicht wird.

„Dieser Multiplikatoreffekt macht Supply-Chain-Angriffe für Kriminelle besonders lukrativ, was das vermehrte Auftreten solcher Attacken erklären kann“, heißt es im Lagebericht. Das BSI habe in Prüfungen bereits mehr­fach festgestellt, dass die Beziehungen zwischen Betreibern und Dienstleistern so gestaltet sind, dass die Be­treiber ihrer Verantwortung in Bezug auf einen angemessenen IT-Schutz nicht ausreichend nachkommen können.

Denn, so unterstreicht die Behörde, die Sicherheitsverantwortung verbleibe auch bei einer Auslagerung von IT-Dienstleistungen beim Betreiber der kritischen Infrastruktur – also gegebenenfalls Krankenhäusern, Arzt­praxen oder anderen Einrichtungen des Gesundheitswesens.

Auch eine Risikobewertung der Dienstleisterbeziehung finde nach Aussagen des BSI häufig nicht statt: Manch­­­­mal sei schlicht unklar, wer welchen Teil der Betreiberverantwortung übernehme und ob die getroffe­nen Maßnahmen tatsächlich ausreichten.

Betreiber kritischer Infrastruktur seien jedoch verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen, hieß es.

Um die kritische Infrastruktur besser zu schützen, hat die Europäische Union die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau mit Fokus auf IT-Sicherheit (NIS-2-Richtlinie) ausgearbei­tet, die Anfang des Jahres in Kraft trat.

Welche neuen Vorgaben damit auf Kliniken und Praxen zukommen, ist allerdings noch nicht sicher. Die Richt­linie muss bis Oktober 2024 in nationales Recht umgesetzt werden, woran die Bundesregierung bereits ar­beitet. „Mein Gesetzentwurf dazu befindet sich bereits in der Ressortabstimmung“, erklärte Bundesinnenminis­terin Nancy Faeser bei der Vorstellung des Lageberichts.

Darüber hinaus brauche es aber auch organisatorische Veränderungen. „Die Cyberkriminalität, vor allem aber auch die Zeitenwende, die wir erleben, erfordert eine strategische Neuaufstellung und den gemeinsamen Ein­satz mit dem BSI als treibende Kraft um unser Cybersicherheitsniveau deutlich zu erhöhen“, erklärte Faeser.

So brauche es eine bessere institutionelle Zusammenarbeit zwischen Bund und Ländern. Zwar habe das BSI seine Zusammenarbeit als Bundesbehörde mit den Ländern im Berichtszeitraum ausgebaut. Doch sie basiert bisher lediglich auf bilateralen Kooperationsvereinbarungen.

Deshalb hat das BSI aktuell zum Beispiel keine Möglichkeit, die Länder bei der Detektion von Schadsoftware in den Landesnetzen zu unterstützen, indem es etwa Sensorik bereitstellt.

Die Bundesregierung will das ändern, weshalb das Bundesinnenministerium (BMI), BSI und die Länder ein Konzept zum Ausbau des BSI zur Zentralstelle im Bund-Länder-Verhältnis ausarbeiten, das einen Ausbau der gesetzlichen Grundlagen der Bund-Länder-Zusammenarbeit im Bereich Cybersicherheit näher beschreibt.

Es sei das Ziel der Bundesregierung, durch eine Änderung des Grundgesetzes die Zusammenarbeit zwischen Bund und Ländern im Bereich der Cybersicherheit zu verstetigen und zu vertiefen. Faeser erklärte, für das BSI stelle sie sich dabei eine Zentralstellenfunktion ähnlich der des Bundeskriminalamts (BKA) vor.

lau