Cyber-Sicherheit: Spital STS liess sich hacken – und fand Lücken

Ethische Hacker entdeckten im Auftrag der Thuner Spital-Gruppe Sicherheitslücken, die andernorts schon für Ransomware-Angriffe ausgenutzt worden waren.

, 15. März 2024 um 10:56
image
Jetzt sicherer: STS-Spital Thun  |  Bild: PD (bearbeitet)
Zwei kritische Lücken in der IT der Spitalgruppe STS blieben lange Zeit unentdeckt. Wären sie von Cyberkriminellen ausgenutzt worden, so hätte dies den Betrieb gefährden können. Die heiklen Punkte fanden sich im Service-Desk-Portal von Cherwell und im Citrix Netscaler. Gerade über solche Lücken in Citrix wurden in der Vergangenheit schon sensible Daten gestohlen.
Beim Thuner Spital sind die Schwachpunkte allerdings jetzt behoben. Gefunden hat sie ein in Australien ansässiger Westeuropäer, der sich in seiner Freizeit als sogenannter White-Hat-Hacker ein Nebeneinkommen sichert. 6000 Franken erhielt er in diesem Fall als Belohnung, je 3000 Franken pro Leck.
Der Mann nennt sich «Brsn», und er war einer von 75 Hackern, die im Herbst vergangenen Jahres von der darauf spezialisierten Firma Bug Bounty Switzerland – im Auftrag von STS – eingeladen worden waren, deren Systeme zu testen beziehungsweise zu hacken.
image
Bug-Report des White-Hat-Hackers.
Der Spitalgruppe war dieser Auftrag ans Berner Test-Unternehmen 30'000 Franken wert. Es sei nicht schwierig gewesen, die Spitalleitung von dieser Investition zu überzeugen, erzählt Alexander Brügger, Leiter IT-Infrastruktur bei der Spital STS AG. Das Management habe ein gutes Gespür für IT, und im «ICT-Board stimmen wir uns alle zwei Monate ab».
Die Hälfte der 30’000 Franken stand als «Bounty-Wallet» zur Verfügung, sie wird also an die Hacker ausbezahlt, die eine Lücke finden. «Die andere Hälfte benötigen wir für die Koordination mit den Hackern, die Steuerung gemäss den abgemachten Vorgaben und den operativen Betrieb der Tests», erklärt Florian Badertscher, Mitgründer von Bug Bounty Switzerland.
Das Unternehmen hat laut eigenen Angaben gut 10'000 White-Hat-Hacker in seiner Kartei und schreibt diese je nach Auftrag und Kunde an. «Gute Hacker verdienen sechsstellig im Jahr», so Badertscher, der sagt, die Identität der jeweiligen Personen zu kennen.

Die meisten Hacker gingen leer aus

Im Falle des Thuner Spitals gingen die meisten angefragten Hacker leer aus. Gerade mal neun der angefragten 75 Personen meldeten zusammen 14 Lücken. Aber weil nur fünf Hacker insgesamt acht «valide» Lücken fanden, wurde vom vorgesehenen «Geldtopf» von 15'000 Franken nur gut die Hälfte ausbezahlt, nämlich 7350 Franken, erklärt Florian Badertscher. Die Differenz gehört dem Kunden und verbleibt normalerweise auf einem Konto beim Unternehmen – «für weitere Aufträge».
image
Eine kritische Lücke ist 3000 Franken wert.
Bezahlt wird nach CVS-System, das Lücken auf einer zehnstufigen Skala zwischen unkritisch und kritisch einordnet. Je kritischer ein Leck, desto mehr Geld gibt es für die Hacker. Dementsprechend kassierte «Brsn» 6050 Franken, die anderen vier Hacker, die valide Lücken meldeten, teilen sich weitere 300 Franken – der Rest geht leer aus.
«Wir gingen mit einer offenen Erwartungshaltung in die Tests», sagt STS-Manager Brügger, «und sind zufrieden mit den Ergebnissen». Dummerweise sei der Incident Report am Freitag gekommen, was «uns ein arbeitsreiches Wochenende bescherte»; dennoch könnten Unternehmen mit Bug Bounty «nur gewinnen».

Next: Die Angestellten-Accounts

Wären die beiden Lücken von bösartigen Hackern gefunden worden, hätte dies das Spital viel mehr gekostet als die insgesamt 30'000 Franken für diesen dreiwöchigen Test.
Es sei wichtig sich – nebst internen Awarenesstrainings – auch regelmässig von aussen testen zu lassen.
Theoretisch will man das in Thun jährlich machen, in der Praxis würden so Tests dann aber «alle zwei bis drei Jahre» stattfinden, so Brügger. Beim nächsten Mal will das Spital den White-Hat-Hackern auch die Zugänge zu Accounts von Mitarbeitenden zur Verfügung stellen, um das Angriffsszenario noch realistischer zu machen. Darauf habe man diesmal noch verzichtet.
  • Dieser Beitrag erschien zuerst auf «Inside-IT» unter dem Titel «White-Hat-Hacker finden beim Spital Thun kritische Lücken».


  • IT
  • cyberattacken
  • cybercrime
  • Spital Thun
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Das BAG muss bei der Cybersicherheit nachrüsten

Das Gesetz will, dass das Bundesamt für Gesundheit ein Information Security Management System betreibt. Davon ist die Behörde allerdings noch weit entfernt.

image

Mit Best Practices zum neuen KIS

Finanzielle und personelle Engpässe fordern die IT-Abteilungen in Spitälern. Gefragt sind Lösungen, die sich ressourcenschonend einführen lassen.

image

Und wie schliessen wir dann das EPD an unser KIS an?

Fast 400 Millionen Franken nimmt der Bund in die Hand, um das Gesundheitswesen zu digitalisieren. Zugleich nimmt er die Software-Anbieter und Spitäler in die Pflicht.

image

Triemli: IT-Leiter steckte 3,5 Millionen in die eigene Tasche

Er finanzierte damit seinen ausschweifenden Lebensstil. Ihm droht eine Haftstrafe. Für den geplanten Prozess Ende Februar liess er sich dispensieren.

image
Gastbeitrag von Felix Schneuwly

EPD: Noch mehr Geld und Zwang machen es auch nicht besser

Ein brauchbares elektronisches Patientendossier wäre überfällig. Aber weiterhin sind wichtige Fragen offen. Zum Beispiel: Wie müsste das EPD sein, damit es auch genutzt wird? Warum fehlen viele praktische Features?

image

USZ schreibt neues Klinik-Informationssystem aus

Das Universitätsspital Zürich sucht als KIS einen Alleskönner, der die bisherigen Systeme konsolidiert. Da kommt wohl nur ein Anbieter in Frage.

Vom gleichen Autor

image

Auch IPW Winterthur sucht neues Klinik-Informationssystem

Die Integrierte Psychiatrie Winterthur – Zürcher Unterland beschafft ein neues Klinikinformationssystem. Grund dafür ist ein Strategiewechsel des bisherigen Lieferanten.

image

Der lange, lange Weg in mein Patientendossier

Was passiert, wenn man seine Daten von meineimpfungen.ch zurück holt – um sie dann ins EPD einzupflegen? Ein Selbstversuch.

image

EPD: «…schlimmer noch, die Probleme haben sich verschärft»

Die Finanzkontrolle des Bundes veröffentlicht einen herben Bericht zum E-Patientendossier. Sie plädiert für eine Abkehr vom heutigen Modell – hin zu einer Zentralisierung.