Seit November 2018 ist bei IT-Experten die Kreisstadt Fürstenfeldbruck im Westen von München als schlechtes Beispiel bekannt. Am 14. November räumte das Klinikum Fürstenfeldbruck ein, dass es bereits eine Woche ohne EDV-Unterstützung auskommen musste. Ursache war eine Schadsoftware in einem E-Mail-Anhang, vermutlich eine Variante des Malware-Programms Emotet, das schon seit Jahren auch im deutschsprachigen Raum aktiv ist. Erst am 19. November konnte weitgehend Entwarnung gegeben werden. Da waren rund 130 der insgesamt etwa 400 Rechner des Krankenhauses wieder im Einsatz.
Foto: Guschenkova - shutterstock.com
Der Vorfall wird von der Zentralstelle Cybercrime Bayern bei der Generalstaatsanwaltschaft Bamberg untersucht und erhielt einige Aufmerksamkeit in der IT-Branche. Er ist aber weder der erste, noch der größte, noch der mit den gravierendsten Auswirkungen. Nur wenige Wochen zuvor im September 2018 legte ein vergleichbarer Angriff zwei Ameos Kliniken in Bremerhaven und eine in Langen-Debstedt im Landkreis Cuxhaven lahm. Auch dort kam die Schadsoftware per E-Mail, auch dort breitete sie sich nahezu ungehindert im Netzwerk aus und befiel dadurch zahlreiche weitere Rechner.
Traurige Sicherheitsbilanz deutscher Kliniken
Den in Deutschland wahrscheinlich größten Schaden und die längste Ausfallzeit gab es aber, nachdem am Aschermittwoch 2016 ein unvorsichtiger Mitarbeiter an einem schlecht geschützten Rechner im Lukaskrankenhaus in Neuss einen E-Mail-Anhang öffnete. Der kaufmännische Geschäftsführer sprach im August 2016 der Lokalpresse gegenüber von "fürchterlichen Wochen", bezifferte den Schaden auf rund eine Million Euro und erklärte, dass das gesamte IT-Budget für das Jahr 2016 in Höhe von 897.000 Euro komplett umgewidmet wurde. Das Geld wurde komplett in Produkte, Maßnahmen und Personal für mehr IT-Sicherheit investiert.
- Was bedeutet eigentlich Cyber Security?
Sascha Plathen, McAfee: "Cyber-Security deckt auch alle Sicherheitsfragen ab, die über herkömmliche Computer- und Netzwerk-Sicherheit hinausgehen." - Was bedeutet eigentlich Cyber Security?
Jan Patrick Schlögell, Regional Director Central Europe bei SonicWall: „Cyber Security umfasst heute nicht nur den Schutz von Daten, sondern auch von Menschen, Firmen und Organisationen, die von Cyber-Kriminellen bedroht werden. Dazu gehören auch der physische Schutz sowie umfassende Maßnahmen zur Absicherung von Unternehmensnetzwerken sowie Personenidentitäten, einzelnen Geräten als auch ganzen IT-Systemen, und jeglichen Daten von Wert.“ - Was bedeutet eigentlich Cyber Security?
Peter Neumeier, Head of Channel Sales Germany bei Kaspersky Labs: "Die Bedrohungslage ist komplexer geworden. Gegen die Masse an Malware hilft solider Endpoint-Schutz auf allen Ebenen." - Was bedeutet eigentlich Cyber Security?
Matthias Zacher, Manager Research & Consulting bei IDC: "Cyber Security ist längst im Alltag angekommen!" - Was bedeutet eigentlich Cyber Security?
Chester "Chet" Wisniewski, Sophos: "Im Wesentlichen ist Cyber Security nur eine bequeme Übertragung von Sicherheitsaspekten, die wir aus der physischen Welt kennen, in die Computer-Welt." - Was bedeutet eigentlich Cyber Security?
Alain De Pauw, Geschäftsführer von Axians IT Security: "Cybersecurity ist eine Sammlung von Richtlinien, Konzepten und Maßnahmen, um persönliche Daten zu schützen. Sie verbindet technische und organisatorische Aspekte, zum Beispiel Sicherheitssysteme, Prozessdefinitionen, Leitlinien oder Pflichtenhefte. Auch Schulungen zur Sensibilisierung von Mitarbeitern spielen eine wichtige Rolle. Es gibt keine „one size fits all“-Lösung. Jedes Unternehmen braucht eine andere Form von Security und muss für sich selbst eine entsprechende Security Policy definieren, die auch die Prozessbeteiligten festlegt." - Was bedeutet eigentlich Cyber Security?
Sven Janssen, Regional, Director Channel Sales DACH bei Sophos: "Der Begriff umfasst den Schutz von Daten und Informationssystemen im weitesten Sinne. Dazu gehören sowohl der physische Schutz wie zum Beispiel von Gebäuden oder Serverräumen, als auch Schutzmaßnahmen gegen Malware, Netzwerksicherheit sowie die Sicherung von Cloud-Infrastrukturen, mobilen Szenarien und dem Internet der Dinge." - Was bedeutet eigentlich Cyber Security?
Christian Nern, Partner bei KPMG: "In einer vernetzten Welt entwickelt sich die IT-Sicherheit zur einer dynamischen Herausforderung." - Was bedeutet eigentlich Cyber Security?
Michael Klatte, Eset: "Alle Sicherheitsaspekte, die mit dem digitalen Raum und dem Internet verknüpft sind." - Was bedeutet eigentlich Cyber Security?
Holger Suhl, Eset: "Als Anbieter von Cyber-Sicherheitslösungen versuchen wir unsere Cyber-Expertise im Markt zu etablieren." - Was bedeutet eigentlich Cyber Security?
Rüdiger Trost, F-Secure: "Im Gegensatz zu dem, was einige Personen denken, sind Cyber-Attacken nicht nur Computerviren." - Was bedeutet eigentlich Cyber Security?
Tim Berghoff, G Data: "Cyber Security vereint Technologien, um Netzwerke, Computer, Programme und Daten vor Angriffen, Schäden oder Diebstahl zu bewahren." - Was bedeutet eigentlich Cyber Security?
Bogdan Botezatu, Bitdefender: "Im Cyberspace können keine Grenzen in Bezug auf den Zugang zu Informationen, Daten und Redefreiheit gesetzt werden. Cyber-Kriminelle können das zu ihrem eigenen Vorteil nutzen." - Was bedeutet eigentlich Cyber Security?
Alexander Noffz: "Der Mensch bewegt sich - ob privat oder beruflich - immer mehr im Internet und ist umgeben von Geräten, die über Schnittstellen vernetzt sind und miteinander Informationen austauschen. Cyber-Security befasst sich nun eben mit dem Schutz dieser digitalen Strukturen und Daten." - Was bedeutet eigentlich Cyber Security?
IDG-Experte Jochen Haller: "Um Personen und Organisationen wirksam zu schützen, sind umfassende Sicherheitskonzepte notwendig." - Was bedeutet eigentlich Cyber Security?
Zeki Turedi, Technology Strategist bei CrowdStrike :"Es ist für Unternehmen unumgänglich, dass sie Cyber Security-Maßnahmen umsetzen, die ihre Mitarbeiter vor digitalen Bedrohungen schützen." - Was bedeutet eigentlich Cyber Security?
Richard Werner, Business Consultant bei Trend Micro: "Ein ganzes Zoo an IT-Security-Produkten in den Unternehmen."
All das ist jedoch nur die Spitze eines Eisbergs. Viele Fälle werden nicht oder kaum einer breiteren Öffentlichkeit bekannt. Aus einer Antwort des Hessischen Sozialministeriums auf eine kleine Anfrage der Landtags-SPD ging etwa im Sommer 2017 hervor, dass es alleine in Hessen seit Anfang 2016 zwölf Vorfälle gab, bei denen Kliniken Opfer von Schadsoftware oder eines Hackerangriffs wurden. "Vereinzelt" wurde der Krankenhausbetrieb beeinträchtigt, "teilweise" Server der Kliniken beschädigt.
Lesetipp: Schutz vor Datenverlust als Service für KMU
In keiner der 40 befragten Kliniken seien von den Angreifern jedoch Patientendaten oder Gesundheitsdaten erbeutet worden, so die vom Sozialministerium befragten Kliniken. Woher die das mit Gewissheit wissen wollen, bleibt völlig offen. Nachdem sie nicht einmal in der Lage sind, eine einfache Schadsoftware in einer E-Mail abzuwehren, ist nicht davon auszugehen, dass sie über DLP-Systeme (Data Loss Prevention) verfügen, die ihnen zuverlässig dazu Auskunft geben könnten.
In der "Krankenhausstudie 2017" der Unternehmensberatung Roland Berger gaben 64 Prozent der 500 befragten Kliniken an, dass sie bereits Opfer eines Hacker-Angriffs wurden. Die Befragten setzen vor allem auf Verbesserung der Firewalls, Notfallkonzepte und Mitarbeiterschulungen. Den meisten Häusern, insbesondere den öffentlichen, fehlen allerdings die Mittel, um zu investieren. Wie das Beispiel des Lukaskrankenhauses zeigt, kann das aber keine akzeptable Ausrede sein: Nach einem Angriff sind nicht nur die Investitionen für zeitgemäße IT-Sicherheit mindestens ebenso hoch, sondern es kommen noch erhebliche Kosten für die Instandsetzung der Systeme und mögliche Einnahmeausfälle durch Zeiten hinzu, in denen nicht normal gearbeitet werden konnte.
Lesetipp: Erkennen Sie Internetbetrug?
Wie viele Gesundheitseinrichtungen im Laufe der vergangenen Jahre Opfer von Cyberkriminellen wurden, lasse sich nur schwere quantifizieren, erklärt Arved Graf von Stackelberg, CSO von Dracoon, einem deutschen Spezialisten für Enterprise Filesharing. Die Meldepflicht für IT-Sicherheitsvorfälle gelte nur für die größten Kliniken und damit gerade einmal zehn Prozent aller Einrichtungen.
Sicherer Datenaustausch im Gesundheitswesen ist möglich
"Um nicht selbst betroffen zu sein, müssen Verantwortliche im Healthcare-Sektor ihr Schutzniveau der besonderen Sensibilität der Daten anpassen und dürfen die Gefahr keineswegs unterschätzen. Es gilt hier, Sicherheit und Effizienz miteinander zu verbinden und keineswegs einen Aspekt für den anderen zu vernachlässigen", so von Stackelberg.
"Für Kliniken ist es entscheidend, ohne Zeitverlust große Daten auszutauschen und gerade auch Untersuchungsergebnisse schnell verfügbar zu machen. Trotzdem ist es ein absolutes Muss, dass diese - meist personenbezogenen Daten - auf höchster Sicherheitsstufe geschützt werden, damit keinerlei Informationen in die Hände unbefugter Dritter gelangen und die ideale Versorgung der Patienten jederzeit gegeben ist", so der Manager weiter. Er rät daher zu einer datenschutzkonformen und zertifizierten Enterprise-Filesharing-Lösung. Als Zertifizierungen, auf die Entscheider achten sollten, nennt er die Norm ISO 27001 und das European Privacy Seal (EuroPriSe). Daten sollten außerdem bereits am Endgerät verschlüsselt werden.
Foto: Dracoon
"Als Anbieter einer Enterprise-Filesharing-Lösung haben wir uns bereits früh mit den besonderen Sicherheitsanforderungen im Bereich KRITIS beschäftigt", so von Stackelberg. Dracoon kann auf die Klinikverbände Sana und Helios als Referenzkunden verweisen, außerdem wird die Lösung für internationale Forschungsprojekte im Bereich E-Health und beim Remote Monitoring von Patientendaten eingesetzt.
Datenaustausch hat aber mehrere Aspekte. Neben dem "Filesharing" gehört dazu auch der Versand und Empfang von Rechnungen, oft als PDF-Datei im Anhang. Diesen Umstand machen sich Kriminelle schon seit Jahren zunutze - in immer wieder neuen Varianten, aber immer mit großem Erfolg.
Foto: TIE Kinetix
Doch auch dieses Einfallstor lässt sich schließen. "E-Invoicing hält nicht nur eine ganze Reihe von prozessualen Vorteilen bereit, sondern bietet vor dem Hintergrund des Vorfalls in Fürstenfeldbruck auch uneingeschränkte Sicherheit", so Klaus Schmitt, Senior Sales Manager Integration bei TIE Kinetix. Zudem hat E-Invoicing den Vorteil, dass es im Gegensatz zu vielen anderen Investitionen in IT-Sicherheit den Aufwand und die Komplexität für die Anwender nicht erhöht, sondern sogar reduziert.
"Der manuelle Aufwand der Rechnungsbearbeitung wird minimiert. Fehler, die immer wieder bei der Erfassung im ERP passieren, werden ausgeschlossen. Zahlungen können unter der Wahrung von Skontofristen zuverlässig erledigt werden", so Schmitt weiter. Auch wenn schnellere Zahlungen Auswirkungen auf die Liquidität haben, sei die Zufriedenheit der Lieferanten in Bezug auf zeitnahen und fristgemäßen Zahlungseingang "ein wesentlicher Aspekt einer funktionierenden und vertrauensvollen Lieferantenbeziehung." Zudem trägt E-Invoicing zum Aufbau digitaler Ökosysteme bei. Und die versprechen, im Zeitalter der Digitalisierung für Unternehmen einer der wesentlichen Wettbewerbsvorteile zu werden.
Lesetipp: E-Invoicing in der öffentlichen Verwaltung
Die Vorteile greifen Schmitt zufolge nicht nur im Klinikumfeld, wären aber hier besonders willkommen. "Die Healthcare-Branche hinkt beim Thema Digitalisierung und E-Invoicing dramatisch hinterher, was auch mit der teils öffentlichen Trägerschaft zusammenhängt. Denn obwohl das E-Rechnungsgesetz den Empfang und die Verarbeitung von E-Rechnungen im öffentlichen Bereich ab dem 18.04.2020 verbindlich vorschreibt, lässt der Stand der Vorbereitungen zur Umsetzung vermuten, dass der Termin von mehr als 50 Prozent der betroffenen Verwaltungen nicht gehalten werden wird."
Diese Annahme bestätigt eine im November 2018 veröffentlichte Studie von ibi research an der Universität Regensburg. Deren Ergebnissen zufolge rechnen nur 43 Prozent der Befragten mit einer fristgerechten Umsetzung. Nur ein Fünftel der befragten Stellen kann bereits heute Rechnungen elektronisch empfangen.
Lesetipp: Wenn man Opfer eines Cyber-Angriffs wird
Vielfach wird allerdings der Empfang von PDF-Anhängen bereits als "digitaler Prozess" definiert, obwohl zwei Drittel dieser Gruppe die PDFs nach dem Empfang ausdrucken und manuell weiterbearbeiten. Nach Ansicht von Schmitt ist das auch einer entsprechenden Option im E-Rechnungsgesetz geschuldet. "Dabei gäbe es - insbesondere auch beim Blick auf die europäische Nachbarschaft - bewährte und etablierte Alternativen zur wirklich vollständigen Digitalisierung."
Mit intelligenten Procurement-Systemen lasse sich nicht nur der gesamte Beschaffungsprozess transparent und Compliance-konform abbilden, sondern über einen integrierten digitalisierten Datenaustausch auch schneller, fehlerärmer, effizienter und sicherer machen.