Wenn ethische Hacker ins Spital einbrechen

Zunehmend lassen sich Schweizer Spitäler legal hacken. Mit teils beunruhigenden Ergebnissen, wie der Cybersecurity-Spezialist Sandro Nafzger im Interview zeigt.

, 18. Oktober 2024 um 04:35
image
«Für Cyberkriminelle ist ein Angriff immer ein Abwägen von Aufwand und Ertrag»: Sandro Nafzger  |  Bild: zvg
Herr Nafzger, zuletzt wurde die Waadtländer Praxisgruppe Vidymed Opfer eines Hackerangriffs, in England wurden im vergangenen Juni gleich mehrere Kliniken von Hackern lahmgelegt. Trotz dem Wissen um die Gefahr: Weshalb schützen sich Gesundheitsinstitutionen nicht besser vor solchen Angriffen?
In vielen Spitälern ist die Infrastruktur oft veraltet und man behandelt das Thema nach dem Motto «Bislang ist nichts passiert – weshalb also etwas ändern?» Einerseits fehlt das Bewusstsein für das Risiko, andererseits werden Kosten und Aufwand gescheut. Die Spitäler sehen sich aktuell mit anderen Herausforderungen konfrontiert, die Cyberprävention wird vernachlässigt. Bis etwas passiert. Dann kommt das grosse Erwachen.
Die Spitäler verfügen aber sehr wohl über Cybersicherheitsprogramme. Reichen die nicht aus?
Viele Spitäler investieren zwar in die Überwachung ihrer Systeme, aber der Fokus auf Prävention fehlt. Man muss Schwachstellen frühzeitig erkennen und beheben, bevor es zu einem Angriff kommt.
Sandro Nafzger ist CEO von Bug Bounty Switzerland, einer Organisation zur Prävention gegen Cyberattacken. Bevor der Wirtschaftsinformatiker Bug Bounty Switzerland mitgründete, arbeitete er für die Informationssicherheit der Schweizerischen Post.
Wie bleibt man den Hackern einen Schritt voraus? Primär gilt: Man muss es den Cyberkriminellen so schwierig machen wir nur möglich – für sie ist ein Cyberangriff immer ein Abwägen von Aufwand und Ertrag. Ist der Aufwand zu gross, gehen sie weiter. Das Problem: Gut geschützte Systeme sind in der Regel komplex und kostenintensiv. Und: Sobald man weiss, wo die Sicherheitslücken sind, muss man sich proaktiv damit auseinandersetzen. Da sind viele noch zu bequem.
«Die technische Überprüfungen von potentiellen Schwachstellen mit Sicherheitssoftware sind wichtig, doch nur echte Menschen denken wie Hacker»
Das Kantonsspital Thun hat sich von ethischen Hackern auf IT-Sicherheitslücken hin hacken lassen. Das Ergebnis war beeindruckend…
Schon nach kurzer Zeit fanden die ethischen Hacker mehrere gravierende Sicherheitslücken. Dabei kam sogar heraus, dass das Spital bereits Ziel eines Hackerangriffs war. Wie schlimm das hätte enden können, lässt sich im Nachhinein schwer sagen. Basierend auf diesem Wissen, konnte das Spital dann die Lücken stopfen.
Unter dem Begriff «Bug-Bounty-Programm» versteht man sinngemäss ein «Kopfgeld für Sicherheitslücken»: Dabei werden in der Regel ethische Hacker für das Entdecken von Schwachstellen und Sicherheitslücken (Bugs) in einem IT-System oder einem IT-Programm mit einer Prämie (Bounty) belohnt.

Auch das Universitätsspital Zürich lässt sich seit 2021 regelmässig auf sogenannte Bugs überprüfen. Wie fiel das Ergebnis hier aus?
Auch da wurden potentielle Schwachstellen gefunden, die durch vorhergehende Tests nicht aufgedeckt worden waren. Bug Bounty wird am USZ seither als kontinuierlicher Prozess der Informationssicherheits-Strategie weitergeführt. Das ist auch bezüglich der Kosten sinnvoll. Denn einen potentiell grossen Schaden durch einen Cyber-Angriff zu beheben, ist um ein Vielfaches teurer als präventive Massnahmen.
Wie gehen ethische Hacker bei ihrer Arbeit vor?
In der Regel laden wir mehrere verifizierte Hacker ein und stellen eine bestimmte Summe als sogenanntes «Bounty-Wallet» zur Verfügung: Ein Kopfgeld, das an die Hacker ausbezahlt wird, wenn sie eine Lücke finden. Meist finden die Hacker innerhalb kurzer Zeit mehrere Bugs. Je nach Gefährlichkeitsgrad, erhalten die Hacker einen Teil der Summe. Finden sie nichts, gehen sie leer aus.
«Die Zukunft liegt in der Proaktivität. Spitäler müssen weg von einer reaktiven Haltung und hin zu einer vorausschauenden Sicherheitsstrategie»
Anhand der gefunden Sicherheitslücken können dann entsprechende Massnahmen eingeleitet werden. Der grosse Vorteil von Bug Bounty ist, dass es eine reale Situation simuliert. Die technische Überprüfungen von potentiellen Schwachstellen mit Sicherheitssoftware sind wichtig, doch nur echte Menschen denken wie Hacker.
Beim Hacken denkt man unweigerlich an eine kriminelle Handlung. Besteht hier kein Risiko fürs Unternehmen?
Für die Organisation entsteht kein neues Risiko, sondern Unternehmen werden dabei unterstützt ihre bereits vorhandenen Cyberrisiken besser zu verstehen. Die ethischen Hacker handeln innerhalb eines klar geregelten Vertrags und bewegen sich darin in einem sogenannten «legal safe harbor». Wenn sich ein ethischer Hacker nicht an die Spielregeln hält, läuft er Gefahr, dass dieser «sichere Hafen» zusammenbricht und er rechtlich verfolgt wird.
Aus Ihrer Erfahrung: Was sind die Hauptziele, die Cyberkriminelle bei Angriffen auf Spitäler verfolgen?
Spitäler sind attraktive Ziele für Cyberkriminelle, da der Zugang zu ihren Daten entscheidend für die Patientensicherheit ist. Mit der fortschreitenden Digitalisierung wächst jedoch auch die IT-Abhängigkeit der Kliniken, was sie anfälliger für Cyberangriffe macht. Die Kriminellen versprechen sich bei einem Angriff schnelle Lösegeldzahlungen.
Welche Rolle spielen organisatorische Hürden innerhalb des Spitals bei der Cybersicherheit?
Oft fehlt es an einer klaren Strategie und schnellen Reaktionsfähigkeit. Selbst wenn Sicherheitslücken erkannt werden, wird nicht immer sofort gehandelt. Das verschafft den Angreifern wertvolle Zeit. Hinzu kommen knappe Budgets und das Unverständnis, wie wichtig Investitionen in die präventive Cybersicherheit sind.
Wie sieht die Zukunft der Cyber-Sicherheit in Spitälern aus? Was muss sich ändern?
Die Zukunft liegt in der Proaktivität. Spitäler müssen weg von einer reaktiven Haltung und hin zu einer vorausschauenden Sicherheitsstrategie. Wenn man frühzeitig in die Prävention investiert, lassen sich viele nachgelagerte Probleme vermeiden. Regelmässige Sicherheitsüberprüfungen und die Zusammenarbeit mit ethischen Hackern sollten zur Norm werden.
  • cybercrime
  • spital
  • IT
Artikel teilen

Loading

Kommentar

Mehr zum Thema

image

Insel Gruppe: Christian Leumann bleibt bis Ende 2025

Die Suche nach einem neuen CEO stockt. Interims-Direktor Leumann will dazu beitragen, dass kein Zeitdruck entsteht.

image

Nachhaltiger Neubau in Arlesheim: Fast alles aus Holz

Der Neubau der Klinik Arlesheim setzt auf nachhaltigen Holzbau. Mit modernster Architektur und ökologischen Materialien entsteht ein einzigartiges Gebäude, das Gesundheit und Umwelt vereint. Ein Projekt, das für die Zukunft der medizinischen Versorgung steht.

image

Spital Wallis: 30 zusätzliche Stellen für die Pflege

Der Kanton bewilligt 6,6 Millionen Franken, mit denen nächstes Jahr die Arbeitsbedingungen im Spital Wallis verbessert werden können.

image

Zürich: Kein Teuerungsausgleich in den kantonalen Spitälern

Seit 2023 wuchsen die Lohnsummen bei KSW, PUK, IPW und USZ deutlich schwächer als in der übrigen Kantonsverwaltung.

image

Hoch Health Ostschweiz: Die Geschäftsleitung steht

Neben Simon Wildermuth im Amt des CEO übernehmen weitere Geschäftsleitungsmitglieder Interims-Funktionen.

image

GZO Spital Wetzikon: Definitive Nachlassstundung bewilligt

Damit wird dem Spital Wetzikon die benötigte Zeit eingeräumt, um das Sanierungskonzept anzugehen.

Vom gleichen Autor

image

Kantonsspital Aarau: Neuer Interims-CMO

Philipp Schütz übernimmt die neu geschaffene Stelle des Chief Medical Officers vorübergehend.

image

42+4-Stunden-Woche auch für Tessiner Assistenz- und Oberärzte

Die Tessiner Kantonsspital-Gruppe EOC führte die Änderung zum Jahresbeginn 2025 ein.

image

Kantonsspital Frauenfeld: Neue Pflegedirektorin

Sibylle Schuster wird auch Mitglied der Spitaldirektion Akutsomatik der Spital Thurgau AG.