In vielen Spitälern ist die Infrastruktur oft veraltet und man behandelt das Thema nach dem Motto «Bislang ist nichts passiert – weshalb also etwas ändern?» Einerseits fehlt das Bewusstsein für das Risiko, andererseits werden Kosten und Aufwand gescheut. Die Spitäler sehen sich aktuell mit anderen Herausforderungen konfrontiert, die Cyberprävention wird vernachlässigt. Bis etwas passiert. Dann kommt das grosse Erwachen.
Die Spitäler verfügen aber sehr wohl über Cybersicherheitsprogramme. Reichen die nicht aus?
Viele Spitäler investieren zwar in die Überwachung ihrer Systeme, aber der Fokus auf Prävention fehlt. Man muss Schwachstellen frühzeitig erkennen und beheben, bevor es zu einem Angriff kommt.
Sandro Nafzger ist CEO von Bug Bounty Switzerland, einer Organisation zur Prävention gegen Cyberattacken. Bevor der Wirtschaftsinformatiker Bug Bounty Switzerland mitgründete, arbeitete er für die Informationssicherheit der Schweizerischen Post.
Wie bleibt man den Hackern einen Schritt voraus?
Primär gilt: Man muss es den Cyberkriminellen so schwierig machen wir nur möglich – für sie ist ein Cyberangriff immer ein Abwägen von Aufwand und Ertrag. Ist der Aufwand zu gross, gehen sie weiter. Das Problem: Gut geschützte Systeme sind in der Regel komplex und kostenintensiv. Und: Sobald man weiss, wo die Sicherheitslücken sind, muss man sich proaktiv damit auseinandersetzen. Da sind viele noch zu bequem.
«Die technische Überprüfungen von potentiellen Schwachstellen mit Sicherheitssoftware sind wichtig, doch nur echte Menschen denken wie Hacker»
Schon nach kurzer Zeit fanden die ethischen Hacker mehrere gravierende Sicherheitslücken. Dabei kam sogar heraus, dass das Spital bereits Ziel eines Hackerangriffs war. Wie schlimm das hätte enden können, lässt sich im Nachhinein schwer sagen. Basierend auf diesem Wissen, konnte das Spital dann die Lücken stopfen.
Unter dem Begriff «Bug-Bounty-Programm» versteht man sinngemäss ein «Kopfgeld für Sicherheitslücken»: Dabei werden in der Regel ethische Hacker für das Entdecken von Schwachstellen und Sicherheitslücken (Bugs) in einem IT-System oder einem IT-Programm mit einer Prämie (Bounty) belohnt.
Auch das Universitätsspital Zürich lässt sich seit 2021 regelmässig auf sogenannte Bugs überprüfen. Wie fiel das Ergebnis hier aus?
Auch da wurden potentielle Schwachstellen gefunden, die durch vorhergehende Tests nicht aufgedeckt worden waren. Bug Bounty wird am USZ seither als kontinuierlicher Prozess der Informationssicherheits-Strategie weitergeführt. Das ist auch bezüglich der Kosten sinnvoll. Denn einen potentiell grossen Schaden durch einen Cyber-Angriff zu beheben, ist um ein Vielfaches teurer als präventive Massnahmen.
Wie gehen ethische Hacker bei ihrer Arbeit vor?
In der Regel laden wir mehrere verifizierte Hacker ein und stellen eine bestimmte Summe als sogenanntes «Bounty-Wallet» zur Verfügung: Ein Kopfgeld, das an die Hacker ausbezahlt wird, wenn sie eine Lücke finden. Meist finden die Hacker innerhalb kurzer Zeit mehrere Bugs. Je nach Gefährlichkeitsgrad, erhalten die Hacker einen Teil der Summe. Finden sie nichts, gehen sie leer aus.
«Die Zukunft liegt in der Proaktivität. Spitäler müssen weg von einer reaktiven Haltung und hin zu einer vorausschauenden Sicherheitsstrategie»
Anhand der gefunden Sicherheitslücken können dann entsprechende Massnahmen eingeleitet werden. Der grosse Vorteil von Bug Bounty ist, dass es eine reale Situation simuliert. Die technische Überprüfungen von potentiellen Schwachstellen mit Sicherheitssoftware sind wichtig, doch nur echte Menschen denken wie Hacker.
Beim Hacken denkt man unweigerlich an eine kriminelle Handlung. Besteht hier kein Risiko fürs Unternehmen?
Für die Organisation entsteht kein neues Risiko, sondern Unternehmen werden dabei unterstützt ihre bereits vorhandenen Cyberrisiken besser zu verstehen. Die ethischen Hacker handeln innerhalb eines klar geregelten Vertrags und bewegen sich darin in einem sogenannten «legal safe harbor». Wenn sich ein ethischer Hacker nicht an die Spielregeln hält, läuft er Gefahr, dass dieser «sichere Hafen» zusammenbricht und er rechtlich verfolgt wird.
Aus Ihrer Erfahrung: Was sind die Hauptziele, die Cyberkriminelle bei Angriffen auf Spitäler verfolgen?
Spitäler sind attraktive Ziele für Cyberkriminelle, da der Zugang zu ihren Daten entscheidend für die Patientensicherheit ist. Mit der fortschreitenden Digitalisierung wächst jedoch auch die IT-Abhängigkeit der Kliniken, was sie anfälliger für Cyberangriffe macht. Die Kriminellen versprechen sich bei einem Angriff schnelle Lösegeldzahlungen.
Welche Rolle spielen organisatorische Hürden innerhalb des Spitals bei der Cybersicherheit?
Oft fehlt es an einer klaren Strategie und schnellen Reaktionsfähigkeit. Selbst wenn Sicherheitslücken erkannt werden, wird nicht immer sofort gehandelt. Das verschafft den Angreifern wertvolle Zeit. Hinzu kommen knappe Budgets und das Unverständnis, wie wichtig Investitionen in die präventive Cybersicherheit sind.
Wie sieht die Zukunft der Cyber-Sicherheit in Spitälern aus? Was muss sich ändern?
Die Zukunft liegt in der Proaktivität. Spitäler müssen weg von einer reaktiven Haltung und hin zu einer vorausschauenden Sicherheitsstrategie. Wenn man frühzeitig in die Prävention investiert, lassen sich viele nachgelagerte Probleme vermeiden. Regelmässige Sicherheitsüberprüfungen und die Zusammenarbeit mit ethischen Hackern sollten zur Norm werden.
