Vor zweieinhalb Jahren entdeckte Dirk Schrader, Global Vice President of Security Research des Unternehmens New Net Technologies (NNT) mit Sitz in London, ein Datenleck in der Radiologie. Damals waren Patientendaten über ungeschützte PACS-Systeme an die Öffentlichkeit gelangt. Am 27.04.2022 von 17:00 bis 18:30 Uhr tritt Schrader als Referent beim RWF-Webinar „Effektiver Datenschutz in der Radiologie“ auf. Ursula Katthöfer ( textwiese.com ) fragte ihn, was Webinarteilnehmer von ihm erwarten können, um Patientendaten zu sichern und zu schützen.

Redaktion: Sie beobachten einen riesigen, wachsenden Markt. Wie gut ist die Medizin bei der Cyber-Security aufgestellt im Vergleich zu anderen Branchen?

Dirk Schrader: Mittelprächtig. Die Lernkurve zu Cyber-Sicherheit ist im Gesundheitssektor schlechter als in der Finanzwelt, aber besser als in Transport und Logistik. Es gibt noch einiges zu tun. Unter Radiologen findet sich oft die Einstellung: „Ich habe ein PACS installiert – es funktioniert doch.“ Häufig fehlt noch der gedankliche Schritt hin zu Sicherheitslücken, die Angreifer ausnutzen könnten. Besser wäre die Einstellung: „Es funktioniert und ist sicher.“

Redaktion: Die Radiologie ist ein sehr digitalisiertes Fach. Gehen Radiologen seit Ihrer Entdeckung des Datenlecks sensibler mit Patientendaten um?

Dirk Schrader: Vermutlich ja, was ein Rückschluss aus meinen Beobachtungen ist. Wenn ich die Ergebnisse von damals mit denen meiner letzten Analyse vergleiche, sind zurzeit keine deutschen PACS der Humanmedizin mehr ungeschützt im Internet zu finden. Ob sich damit ein erhöhtes Bewusstsein über das gesamte Spektrum IT-Sicherheit verbindet, lässt sich aus dem Ergebnis nicht ableiten. In den vergangenen zwei Jahren hat es eine Reihe von prominenten Vorfällen im deutschen Gesundheitswesen gegeben. Hinzu kommt, dass die Anzahl an PACS, die im Internet zu finden sind, im gleichen Zeitraum um 36 Prozent gewachsen ist. Auch ändert die Technik sich ständig – und mit ihr die Risiken. Weil die CD relativ kosten- und zeitintensiv ist und viele Laptops gar kein CD-Laufwerk mehr haben, können Patienten ihre Bilder zunehmend über ein Webinterface digital abrufen. Doch auch überweisende Ärzte wie Orthopäden können die Daten herunterladen. Es entsteht ein komplexes Netzwerk von Datenaustauschprozessen, das gesichert werden muss. Die Wachsamkeit darf also nicht aufhören.

Redaktion: Und technisch? Was hat sich seit Herbst 2019 bei der Sicherung von Übertragungswegen und Server-Standorten getan?

Dirk Schrader: Die Daten deuten auf einen verstärkten Einsatz von Verschlüsselung hin, was ein guter Schritt ist. Allerdings sollten radiologische Praxen und Abteilungen sich nicht mit einer Checkbox-Security zufrieden geben. Wenn nur nach dem Motto „Firewall Ja, Antivirus Ja, Verschlüsselung Ja, Schwachstellen-Management Nein“ abgehakt wird, dann erleben wir meist ein böses Erwachen. Wenn diese Tools nicht koordiniert sind, fehlt die Sicherheits-Architektur.

Redaktion: Für diese Sicherheits-Architektur würde doch ein IT-Dienstleister verpflichtet.

Dirk Schrader: IT-Dienstleister, die ein PACS installieren oder es von CD auf Webinterface umgestalten, sind nicht unbedingt IT-Security-Spezialisten. Es hängt vom Selbstverständnis des Dienstleisters ab, inwieweit Sicherheitskriterien umgesetzt werden. Auch muss die Geschäftsführung auf Sicherheit bestehen und kontrollieren, ob Schwachstellentests gemacht werden. Es gibt Fälle, in denen Praxen den Empfehlungen der Dienstleister nicht folgen. „Schwachstellentest? Brauche ich nicht.“

Redaktion: Bleiben wir noch bei der Entwicklung und der Umstellung von CD aufs Webinterface. Wo sind die Gefahren?

Dirk Schrader: Die Verschlüsselung ist das geringere Problem. Komplizierter ist die Nutzerverwaltung bei den Browservarianten. Wenn eine Praxis pro Tag 100 Patienten hat, muss sie pro Tag 100 User-Accounts erstellen bzw. verwalten. Dort mit aufsteigender Passwortreihenfolge zu arbeiten, birgt das Risiko, dass Hacker die Passwörter mithilfe von Algorithmen durchspielen. Auch sollten mehrere Personen nicht das gleiche Passwort verwenden. Besser sind mit Benutzerrechten gekoppelte Passwörter, die sich über einen einprägsamen Satz merken lassen. Das könnte der Hochzeitstag gekoppelt mit dem Geburtsort und ein paar Sonderzeichen sein. Bei wichtigen Patientendaten ist die Multifaktor-Authentifizierung über Log-in und Bestätigung per Smartphone eine zusätzliche Hürde. So schafft man Basissicherheit ohne komplexe Tools.

Redaktion: Die eigenen Daten zu sichern, ist eine Sache, sich vor Cyber-Attacken zu schützen, eine andere. Mit welchem Motiv werden radiologische Praxen oder Abteilungen angegriffen?

Dirk Schrader: Die Motive und damit verbundenen Methoden der Angreifer sind in zwei Gruppen einteilbar. Eine Gruppe ist an einer möglichst großen Menge an Opfern interessiert und macht dabei keine Unterschiede nach Größe, Standort oder Branche. Diese Gruppe nutzt eine Art ‚Hit and Run‘-Taktik. Sie greift breit an und verschickt massenweise Phishing-E-Mails. Das einzelne Opfer ist nur eines von vielen „Fischen im Netz“. Für diese Gruppe greift das Prinzip der großen Zahlen. Bei Mietkosten von 50 bis 60 Euro pro Monat für eine Ransomware-as-a-Service Plattform ist der Aufwand gering im Vergleich zum potenziellen Ertrag, wenn der Angriff an 100.000 E-Mail-Adressen geht. Die „Erfolgschancen“ sind immer noch hoch genug.

Die zweite Gruppe agiert gezielter und geduldiger, denn sie verfolgt nicht primär das Ziel, Lösegeld zu erpressen. Daten aller Art sind dieser Gruppe wichtig. Hier kommt Big Data der unschönen Art zum Einsatz. Je mehr Daten eine APT-Gruppe (ATP = Advanced Persistent Threat) hat und je mehr sie an Wissen aus den Daten generieren kann, umso erfolgreicher ist sie bei den wirklich großen Zielen. Im Nachhinein die Systeme einer Radiologie-Praxis zu verschlüsseln, ist ein Nebengeschäft, das mitgenommen wird.

Redaktion: Was könnte die zweite Gruppe mit den erbeuteten Daten tun?

Dirk Schrader: Nehmen wir an, der Buchhalter eines weltweit operierenden Unternehmens wird radiologisch untersucht. Er bekommt per E-Mail den gefälschten Hinweis seiner Praxis, dass sich an den Untersuchungsdaten etwas verändert habe. „Siehe Anhang.“ Sobald er den Anhang öffnet, hat der Angreifer Zugang zum Unternehmen. Für den Angreifer ergeben sich die Möglichkeiten aus den Daten, die er erbeutet.

Redaktion: Die Gematik musste im vergangenen September wegen einer kritischen Schwachstelle in der Java-Bibliothek einige Dienste der Telematikinfrastruktur präventiv vom Netz nehmen. Das sorgte für Ärger und Verunsicherung in den Praxen. Hätten Sie auch so entschieden?

Ja, das war richtig. Gibt es eine Schwachstelle, ist die Gefahr eines Angriffs hoch. Dann hat sich jemand in die Infrastruktur hineingefressen. Selbst wenn die Schwachstelle behoben wird, ist der Angreifer noch da. Deshalb sollte man die Dienste abschalten, sichern und dann wieder einschalten. IT-Systeme ändern sich täglich. Schon eine kleine Änderung kann zu einer Schwachstelle führen. Dann muss man reagieren.

Redaktion: Kommen wir auf das Webinar am 27.04.2022 zu sprechen. Was bringen Sie mit?

Dirk Schrader: Daten, Beispiele und Lösungsansätze. Ich bin gerade dabei, die Analyse von 2019 auf den neuesten Stand zu bringen. Daraus ergeben sich einige warnende Beispiele, die zum Glück nicht in Deutschland sind. In den USA bin ich auf ein System gestoßen, das schon in meiner ersten Analyse so schlecht geschützt war, dass ich auf die Sozialversicherungsnummern der Versicherten zugreifen konnte. Sogar das FBI kontaktierte damals den Betreiber. Geändert hat sich nichts.

Redaktion: Welche Hinweise können Teilnehmer nach dem Webinar mitnehmen, um sie direkt umzusetzen?

Dirk Schrader: Wir reden nicht darüber, wie ein Computer funktioniert, sondern wie ein Hacker denkt. Daher werden wir den Blickwinkel des Angreifers einnehmen und schauen, welche Systeme einer Praxis aus dem Internet erreichbar sind: Abrechnungs- und Buchungssysteme, Verwaltung, E-Mails mit Rechnungen, Buchungsportale für Termine. Diese Perspektive ist der erste Schritt, um Praxen weniger angreifbar zu machen. Denn auch Angreifer denken ökonomisch. Wenn sie merken, dass eine Praxis gut geschützt ist, wenden sie sich anderen Zielen zu, bei denen sie deutlich weniger Ressourcen in einen erfolgreichen Angriff investieren müssen.

Redaktion: Was wünschen Sie sich von den Teilnehmern?

Dirk Schrader: Offenheit für die Thematik. Auch wer nicht weiß, wie man programmiert, kann die Methodik der Angreifer verstehen. Nachhaltige Aufmerksamkeit ist ein weiterer Wunsch über das Webinar hinaus. Cyber-Risiken und IT-Sicherheit werden nicht verschwinden und sind nicht erledigt, indem ein Unternehmen gewisse Tools einsetzt. Ständige Phishing-Attacken können zu einer Alarmmüdigkeit führen. Doch Radiologen sollten sich immer wieder bewusst machen, dass die Angreifer auf leicht zu attackierende Ziele warten. Wir können das Risiko nicht negieren. Doch wir können radiologische Praxen widerstandsfähig machen.