Manfred Kloiber: Cyberangriffe auf Krankenhäuser und Arztpraxen nehmen massiv zu. Das jedenfalls behauptet das Sicherheitsunternehmen McAfee, an dem der Prozessorhersteller Intel große Anteile hält. Die Firma schreckt die Öffentlichkeit mit einer Analyse von Datendiebstählen im Gesundheitssektor auf. Was haben die Online-Kriminellen da erbeutet, Peter Welchering?
Peter Welchering: Sie haben Diagnosen, Verordnungen von Medikamenten, Behandlungsunterlagen, sogar ganze Krankengeschichten und Studienergebnisse erbeutet. Was die Sicherheitsexperten da ermittelt haben, ist ausgesprochen bedenklich. Ich konnte noch ganz kurz mit Hans-Peter Bauer, dem Chef von McAfee in Deutschland, über diese Angriffe auf die Gesundheitsdaten sprechen, leider nur telefonisch. Er sagte:
Hans-Peter Bauer: Wir haben ja in 2017 auch in Deutschland wirklich namhafte Fälle gehabt in Krankenhäusern, wo auf Krankendaten zugegriffen wurde. Angriffe, die aus anderen Ländern von Geheimdiensten erfolgten, selbst von Freunden, freundlich gesonnenen Organisationen, die darauf zugreifen.
"Von Erpressung bis zu Diffamierung"
Kloiber: Weiß man denn, was zum Beispiel Geheimdienste mit diesen erbeuteten Krankendaten machen?
Welchering: Das reicht von Erpressung über Diffamierung. Hans-Peter Bauer berichtete von Fällen, in denen Krankheitsdaten von Politikern, in einem Fall waren das Medikationsdaten, verwendet worden sind, um diesen Politiker unter Druck zu setzen. Es gab auch bereits Ankündigungen, solche Informationen in einer Diffamierungskampagne einzusetzen. Auch da haben die McAfee-Analysten Beispiele. Also, dahinter steckt schon ein erhebliches Potenzial.
Kloiber: Sind 2017 nur Krankenhäuser angegriffen worden oder auch andere Einrichtungen des Gesundheitswesens?
Welchering: Arztpraxen waren genauso im Visier der Cyberangreifer, Tageskliniken und Ambulanzen und auch medizinische Forschungseinrichtungen.
Kloiber: Wurden in allen Fällen Krankenakten erbeutet?
Welchering: Es ging auch um Forschungsergebnisse oder laufende Studien zu Arzneimitteln und neuen Therapien. Deshalb gehen die Sicherheitsexperten auch davon aus, dass Angriffe dieser Art nicht nur von Geheimdiensten durchgeführt werden, sondern auch von der organisierten Kriminalität. Und der geht es neben Forschungsergebnissen, die weiterverkauft werden können, und Krankenakten, mit denen zum Beispiel prominente Patienten erpresst werden können, auch um die Erpressung von Kliniken. Da wird dann so eine Art Lösegeld gefordert.
Kloiber: Und gegen Zahlung eines Lösegeldes werden dann die Patientenunterlagen wieder zurückgegeben oder vernichtet?
Welchering: Auch das ist so ein Geschäftsmodell der Online-Kriminellen. In einigen Fällen haben sie aber auch Krankenakten offensichtlich manipuliert oder verschlüsselt. Gegen Zahlung eines Lösegeldes ist dann die Original-Krankenakte wiederhergestellt, so a la WannaCry.
Kloiber: Nun sollte man meinen, insbesondere medizinische Forschungseinrichtungen sind besonders gut gesichert. Mit welchen Methoden konnten Cyberangreifer einbrechen und die medizinischen Daten erbeuten?
Welchering: Bei medizinischen Forschungseinrichtungen sind sie oft über die Netze beteiligter Kliniken eingedrungen, in einigen Fällen über Praxissysteme von Ärzten, die an Studien beteiligt waren. Phishingmails mit Schadsoftware an Mitarbeiter, gefolgt von Einbrüchen nach intensivem Penetrationstests sind die am häufigsten in diesem Zusammenhang verwendeten Einbruchsmethoden.
Inzwischen ist sogar eine Handelsplattform für Sicherheitslücken bei medizinischen Einbrüchen mit der Top-Level-Domain .onion geschlossen worden. Aber das wird nicht die einzige ihrer Art sein. Und da liegt ein Riesenproblem: Medizinische Daten, Krankenakten zum Beispiel, sind so miserabel gesichert, dass ein unterdurchschnittlich begabter Hacker sie mit nur wenigen Stunden Zeitaufwand erbeuten kann. Da muss dringend etwas passieren, vor allen Dingen in den Krankenhausnetzen und in den Praxissystemen.
Den Krankenhäusern fehlt schlicht das Geld für die ausreichende Absicherung ihrer medizinischen Daten. Bei den Praxissystemen haben die Hersteller Sicherheitsaspekten bisher viel zu wenig Bedeutung beigemessen. Da werden zum Beispiel vom System Laborergebnisse unverschlüsselt per Mail verschickt. Sowohl die Ärzte als auch die medizinischen Fachangestellten sind natürlich davon ausgegangen, dass Mails dieser Art nur verschlüsselt und via virtuellem privaten Netzwerk weiterversandt werden. Aber das war bei Praxissystemen einiger Hersteller eben bisher so gar nicht vorgesehen.
Kloiber: Was muss da jetzt geschehen?
"Hier sind die Gesundheitspolitiker gefordert"
Welchering: Also zunächst muss in den medizinischen Einrichtungen auf das Thema aufmerksam gemacht werden, und dann müssen die Systeme sicherheitstechnisch nachgerüstet werden. Das kostet Geld. Dieses Geld haben Kliniken und Praxen nicht. Hier sind die Gesundheitspolitiker gefordert. Die müssen dem Gesundheitssystem dafür Geld bereitstellen. Denn IT-Sicherheitsaspekte haben im Gesundheitssystem hierzulande so gut wie keine Rolle gespielt.
Kloiber: Peter Welchering über bedrohte Gesundheitsdaten, vielen Dank!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.