Erneuter Cyberangriff auf Krankenhaus: Besserer Schutz für tschechische Gesundheitseinrichtungen

Illustrationsfoto: Charles Deluvio, Unsplash / CC0

In der vergangenen Woche ist ein weiteres Krankenhaus in Tschechien zum Ziel von Hackern geworden. Laut einer neuen Anordnung des Amtes für Informationssicherheit müssen Kliniken und Gesundheitsämter bei der IT-Sicherheit aufstocken.

Illustrationsfoto: Shahadat Rahman,  Unsplash,  CC0

Spätestens der Cyberangriff auf das Krankenhaus in Benešov 2019 hat gezeigt, wie anfällig die IT-Infrastruktur des tschechischen Gesundheitssystems ist. Mehrere Tage lang war der Klinikbetrieb nur eingeschränkt möglich. Der aktuelle Fall, bei dem Hacker eine kleinere Klinik mit einem Erpresservirus bedroht haben, wird wohl nicht derartige Ausmaße haben. Er könnte laut Pavel Řezníček aber trotzdem teuer werden. Der Experte für Cybersicherheit bei der Gesellschaft Check Point sagte in den Inlandssendungen des Tschechischen Rundfunks:

„Ende vergangener Woche kam es zur Attacke auf eine Gesundheitseinrichtung. Dabei wurde Ransomware eingesetzt. Das heißt, dass die Angreifer wahrscheinlich Lösegeld für die Rückgabe von Daten verlangen werden. Soweit wir wissen, sind auch einige Informationssysteme betroffen.“

Illustrationsfoto: Mufid Majnun,  Unsplash / CC0

Das Nationale Amt für Cyber- und Informationssicherheit (NÚKIB) macht keine Angaben darüber, um welche Klinik es sich konkret handelt. Sicherheitslücken tun sich für Hacker offenbar immer wieder auf. Bekannt gewordene Fälle aus dem vergangenen Jahr betrafen die Unikliniken in Brno / Brünn und Ostrava / Ostrau sowie das psychiatrische Krankenhaus im nordböhmischen Kosmonosy / Kosmanos. Den Daten von Check Point zufolge stieg die Zahl solcher Cyberangriffe in Mitteleuropa während der vergangenen zwei Monate um 145 Prozent.

Vor allem kleinere Einrichtungen hätten wenig Mittel, um sich wirksam gegen solche kriminellen Akte zu schützen, so Řezníček:

„Die Kliniken müssen vor allem ihren Betrieb und die Behandlung der Patienten finanzieren. Gelder für Cybersicherheit oder die Beschäftigung von IT-Experten gibt der Haushalt dann meist nicht mehr her.“

Krankenhaus Benešov  (Foto: Google Street View)

Durch das Hacken von Patientendaten sowie das Lahmlegen des Krankenhausbetriebs können Millionen-Schäden entstehen. Der Angriff auf das Krankenhaus Benešov hatte laut Polizei einen Verlust von 60 Millionen Kronen (2,3 Millionen Euro) zur Folge. Kliniksprecher Petr Ballek teilte mit, dass die Einrichtung zum Jahresende 2020 alle aktuellen Sicherheitsempfehlungen des NÚKIB umgesetzt habe.

Diese wurden zum Jahresanfang mit einer neuen Anordnung aktualisiert. Bisher galten die Vorgaben verpflichtend nur für die 16 größten Krankenhäuser in Tschechien. Nun fallen auch 46 kleinere Kliniken unter das Cybergesetz. Häuser mit mindestens 400 Betten müssen ihre IT-Sicherheit entsprechend anpassen. NÚKIB-Abteilungsleiter Adam Kučinský:

Adam Kučinský  (Foto: ČT24)

„Das betrifft Kliniken, die eine Notaufnahme haben. Ein neues Kriterium ist außerdem die Jahresleistung einer Einrichtung.“

In diesen Tagen nimmt das Amt entsprechende Kontrollen in den Einrichtungen auf. In Kraft treten zum Beispiel strengere Regeln für den E-Mail-Schutz, und das nicht nur für Krankenhäuser. Auch die Gesundheitsämter müssen diesbezüglich aufstocken. Lange litt der Bereich an Unterfinanzierung, wie Jarmila Rážová schon vergangenen Sommer beklagte:

Jarmila Rážová  (Foto: ČT24)

„Unsere Cybersicherheit wird nicht auf dem erforderlichen Niveau gewährleistet.“

Die neue Anordnung des Amtes für Cyber- und Informationssicherheit soll in drei Jahren erfüllt sein. Bis dahin werden, so Kučinskýs Schätzung, 700 bis 800 wichtige IT-Systeme mit einem besseren Schutz ausgestattet sein. Bisher erfüllen nur etwa 200 Systeme die aktuellen Kriterien.