SENDETERMIN Mi, 24.05.17 | 21:45 Uhr | Das Erste

Cyberattacke: Wo sind die Schwachstellen der Unternehmen? 

Cyberattacke: Wo sind die Schwachstellen der Unternehmen?  | Video verfügbar bis 24.05.2018

– Die Cyberattacke im Mai 2017, unter anderem auch auf britische Krankenhäuser, wie bedrohlich Hackerangriffe sein können.
– Ein IT-Experte geht davon aus, dass 70 Prozent der Geräte in einem Krankenhaus eklatante Schwachstellen haben können.
– "Plusminus" lässt sich von IT-Experten zeigen, wie einfach Hacker Unternehmen schaden können.

Ein Monitor zur Patientenüberwachung, etwa auf einer Intensivstation, misst lebenswichtige Körperfunktionen. Ein einwandfrei funktionierendes Gerät kann in Sekundenschnelle unbrauchbar werden, wenn man sich wie Florian Grunow auskennt. Er ist IT-Spezialist und seine Firma, die ERNW GmbH, hackt im Auftrag Unternehmens-Netzwerke, um Sicherheitslücken ausfindig zu machen. Grunows Spezialgebiet sind medizinische Geräte. Hacker, sagt Grunow, könnten bis in die Behandlungszimmer vordringen und dort die Geräte manipulieren: "Im Endeffekt schalte ich mich jetzt als Angreifer über das Netzwerk auf den Monitor drauf und werde dort einen Verschlüsselungstrojaner einspielen und damit das Gerät infizieren und verschlüsseln."

Zugriff auf Patientendaten versperrt

Cyberattacken: Wie gefährdet sind Firmen und öffentliche Einrichtungen wirklich?
Cyberattacken: Wie gefährdet sind Firmen und öffentliche Einrichtungen wirklich?

Auf dem Bildschirm erscheint plötzlich die Meldung, dass das Gerät verschlüsselt ist. So wie bei dem weltweiten Hacker-Angriff im Mai 2017. Die Überwachung der Patienten ist abgeschaltet. Florian Grunow erklärt, wie weit der Eingriff gehen könnte: "Um zu demonstrieren, dass der Angreifer wirklich die komplette Kontrolle über das Gerät hat, wäre es zum Beispiel auch möglich, dass man auf dem Gerät ein Video laufen lässt, damit ist der Arzt nicht mehr in der Lage, die Patientendaten anzugucken, sich ein Bild davon zu machen, wie es dem Patienten geht, weil eben das Bild blockiert ist – durch ein Video". Schließlich schaltet Grunow das Gerät einfach ab. Nur eine schlichte Labor-Demonstration – doch solche Szenarien sind laut dem IT-Experten auch im realen Krankenhausbetrieb möglich.

So funktioniert eine Cyberattacke:

Überwachungsmonitor im Krankenhaus.
Ein Überwachunsmonitor kann von Hackern ausgeschaltet werden.

Irgendwo sitzen Kriminelle und verschicken massenhaft Schadsoftware per Mail – meist versteckt in E-Mail-Anhängen. Eine dieser Mails landet auf einem Rechner im Krankenhaus. Ein unvorsichtiger Mitarbeiter öffnet den Anhang. Sofort sucht der Schädling im Netzwerk nach Rechnern und Geräten, die er befallen kann – etwa die Überwachungsmonitore auf der Intensivstation. Florian Grunow hat die Erfahrung gemacht, dass es hier kaum Grenzen gibt: "Im Endeffekt kann das alle Geräte betreffen: Narkosegeräte, Beatmungsgeräte, Spritzenpumpen, Patientenmonitore, radiologische Geräte. Wir haben in unseren Studien festgestellt, dass bei den untersuchten Geräten, die das komplette Portfolio abdecken, das ein Krankenhaus einsetzt, 70 Prozent der Geräte eklatante Schwachstellen haben, die es erlauben würden, dass ein Angreifer das Gerät komplett kompromittiert und unter anderem außer Kraft setzen könnte."

Wie anfällig ist die Krankenhaus-IT?

70 Prozent der Geräte angreifbar: Ist das eine steile These? Der Herstellerverband ZVEI erklärt dazu, man könne die Geräte nicht komplett abschotten. Und die Krankenhausgesellschaft schreibt mit Hinweis auf gesetzliche Vorgaben bei der Zulassung: "Insbesondere medizinische Großgeräte weisen (...) teilweise sehr lange Lebenszyklen auf und dürfen trotz der bald veralteten Technik nicht modifiziert werden."

Eine mögliche Lösung gegen Angriffe könnte sein, modernere Geräte zu kaufen oder alte Geräte an besonders gesicherte Netze anzuschließen. Ob Kliniken das flächendeckend tun, das erfährt "Plusminus" von der Krankenhausgesellschaft nicht.

Keine OPs mehr möglich

Blick in einen Operationssaal
Operationen können nicht mehr durchgeführt werden, wenn ein Hacker das System lahmlegt.

"Plusminus" besucht das Lukaskrankenhaus in Neuss. Im Frühjahr 2016 wurde diese Klinik, neben mehreren anderen Krankenhäusern, von Hackern angegriffen. Die Folge: Schwarze Monitore, die IT außer Gefecht und Patientendaten weg. OPs mussten verschoben und Patienten vorzeitig nach Hause geschickt werden. Rettungswagen sollten andere Kliniken anfahren. Und das alles nur wegen einer unbedacht geöffneten Mail.

Die aktuelle Cyberattacke traf viele britische Krankenhäuser und ließ Nicolas Krämer, den Geschäftsführer des Lukaskrankenhaus Neuss, erstmal zusammenzucken: "Ich hatte eine Art Déjà-vu, fühlte mich direkt in die Zeit Februar, März (2016; Anm.d.R.) zurückversetzt." Das Lukaskrankenhaus ist damals sehr offen mit der Attacke umgegangen und hat seither fast zwei Millionen Euro in die IT-Sicherheit investiert: Das Betriebssystem wurde besser abgesichert, verdächtige Mail-Anhänge werden heute schneller aussortiert, die Mitarbeiter per Video geschult.

Vorsorge ist teuer, aber nötig

Viel Aufwand, der aber nötig ist, sagt der Klinikchef Nicolas Krämer: "Als Patient müssen Sie natürlich Angst haben, wenn Sie in ein Krankenhaus kommen, das mit der IT-Sicherheit lax umgeht. Aber das wissen Sie als Patient in der Regel natürlich nicht, welche Krankenhäuser gut in IT-Sicherheit investiert haben und welche nicht. Das steht normalerweise nicht in den Hochglanzbroschüren, die die Krankenhäuser ihren Patienten im Vorfeld überreichen."

Die Telekom legt Fallen für Hacker aus. Die Zahl der täglichen Angriffe ist immens.
Die Telekom legt Fallen für Hacker aus. Die Zahl der täglichen Angriffe ist immens.

Viele Unternehmen schweigen darüber, wie sie Hacker abwehren. Etwas offener zeigt sich die Telekom. Das Unternehmen hat so genannte "Honeypots", also Honigtöpfe, aufgestellt. Das sind ungesicherte IT-Geräte, die Angreifer anlocken sollen. Rund 7,6 Millionen Angriffe auf diese Fallen zählt die Telekom täglich.

Ein Hackerangriff ist vielen peinlich

Jemand der Sicherheitslücken von Unternehmen findet, ist Wolfgang Straßer von der @-yet GmbH. Manchmal riefen ihn Firmen erst an, wenn es schon viel zu spät sei, erklärt der Dienstleister. Dann, wenn die Produktion schon zwei Tage still steht und der Verlust immens ist. Darum sei es wichtig, dass er und seine Spezialisten die Schwachstellen schon früh finden, so Straßer: "Wir kommen viel zu leicht in Systeme rein. Das ist einfach so. Wir kommen viel zu schnell durch, es ist häufig für unsere Pentester nicht so die ganz anspruchsvolle Aufgabe, die Firewallsysteme, die Webapplikationen, anzugreifen und zu durchdringen."

Deutschland steht bei Cybersicherheit schlecht da

Das Londoner "Center For Economic And Business Research" schrieb in einer Studie vergangenes Jahr: "Deutsche Unternehmen hinken bei der Cyber-Sicherheit hinterher." Sie hätten durch Cyberattacken zuletzt im Schnitt geschätzt 13 Milliarden Euro jährlich verloren. Die Cyberattacke im Mai 2017 auf die Bahn war für jeden sichtbar. Kein anderes Großunternehmen wollte mit "Plusminus" über die Zahl der jährlichen Angriffe sprechen.

Hacker (Symbolbild)
Wenn Unternehmen gehackt werden, verschweigen sie es oft.

Barbara Engels vom Institut der deutschen Wirtschaft kennt die Zurückhaltung und ihren Grund: "Es ist wie ein Makel, der anhaftet, wir müssen dahin kommen, dass Unternehmen darüber sprechen, dass sie angegriffen wurden und wie sie diese Angriffe abwehren. Es kann ja auch durchaus eine positive Berichterstattung darüber sein, dass ein Unternehmen sehr erfolgreich im Abwehren von Angriffen ist."

Horrorszenarion lassen sich verhindern

Schwachstellen finden, Maßnahmen ergreifen – das ist auch für Kliniken enorm wichtig. Das müssten Hersteller von medizinischen Geräten als auch Krankenhäuser sicherstellen, fordert IT-Spezialist Florian. Er ist überzeugt, "dass sowohl das Krankenhaus Sorge tragen muss, dass sie die Geräte sicher integrieren, aber auch der Hersteller in der Verantwortung ist, seine Geräte so zu konstruieren und so sicher zu machen, dass sie auch in einem bösartigen Netzwerk, in dem Angriffe passieren können, sich selbst verteidigen können."

Denn dann bleiben Horrorszenarien, wie das mit dem gehackten Überwachungsmonitor am Ende vielleicht wirklich nur: Szenarien.

Autor: Herbert Kordes

Stand: 29.05.2017 10:13 Uhr