Mit Open Source gegen Hacker Die offene Wunde: IT-Sicherheit in Krankenhäusern

Zugehörige Themenseiten:
Datenschutz & Datensicherheit

Während die medizinische Versorgung in Deutschland im Allgemeinen sehr gut ist, lauert eine andere Gefahr in unseren Kliniken, die schon länger grassiert: Cyber-Kriminalität. Hackerangriffe auf Krankenhäuser nehmen zu, der Schutz davor ist oft schlecht und nicht modern genug. Doch es gibt Lösungen.

Hackrangriff Krankenhaus
Krankenhäuser geraten immer öfter in den Fokus der Hacker. Eine Lösung: zukunftsfähige IT-Sicherheit dank Open Source. – © Jaiz Anuar (stock.adobe.com)

Wie sehr selbst ein hypothetischer Hacker-Angriff wehtun kann, musste unlängst CDU-Bundesgeschäftsführer Stefan Hennewig erfahren, als die IT-Expertin Lilith Wittmann eine Schwachstelle in der Wahlkampf-App der Partei entdeckte. Bevor ein größeres Unglück passieren konnte, wurde der Fehler zwar behoben, die Expertin jedoch angezeigt, woraufhin ein vorhersehbarer Sturm der Entrüstung losbrach.

Doch selbst wenn man als Staat, Unternehmen, Krankenhaus oder auch als Einzelperson im Angesicht möglicher digitaler Angriffe etwas klüger agiert, bleibt die Gefahr vorhanden. Der Computerwissenschaftler Hartmut Pohl hält die Situation in Deutschland für desaströs, das Bundesamt für Sicherheit hat im Frühjahr für den Bereich Sicherheit in der Informationstechnik eine Alarmstufe Rot ausgesprochen. Während der Pandemie haben Cyber-Angriffe sogar noch zugelegt. Im ersten Halbjahr 2021 ist die Zahl der Attacken im Verhältnis zum bereits als Rekordjahr eingestuften Jahr 2020 nochmals um ein Drittel gestiegen.

Der Gesundheitssektor im Fokus

Wer aber glaubt, dass Hacker nur gut situierte Unternehmen im Blick haben, liegt falsch. Denn an welchem Ort muss ein Angriff dringender und schneller vereitelt oder bereinigt werden als in einem Krankenhaus, wo sprichwörtlich das Leben von Menschen davon abhängt?

So mussten sich im Juli 2019 DRK-Krankenhäuser in Rheinland-Pfalz und im Saarland gegen einen Hackerangriff zur Wehr setzen – das komplette Netzwerk des Verbands Süd-West war betroffen. Das Universitätsklinikum Düsseldorf traf es mit der Malware DoppelPaymer im Herbst 2020. Zu Beginn dieses Jahres wiederum wurde die Urologische Klinik in Planegg Ziel eines Cyberangriffs und im März die Evangelische Klinik in Lippstadt. Die Liste wird immer länger, die Sicherheitssysteme sind fragiler als viele hoffen. Und immer wieder führt die Spur nach Russland.

Übrigens gehen derartige Attacken nur selten gut aus. Die Betriebe werden oft – zumindest eine Zeit lang – lahmgelegt, und da dies sehr schnell sehr teuer wird, wird entsprechend regelmäßig gezahlt. Nicht selten fließen Millionenbeträge, Geld, das gerade kleine Krankenhäuser und Kliniken nicht haben. Sowohl kurz- als auch langfristig ist die Investition in eine zukunftsfähige IT-Sicherheit deutlich sinnvoller – und rentabler.

Denn bei diesen Angriffen werden oft ganz andere Menschen zu Opfern als nur Geschäftsführer und CEOs. Bei einer Trinkwasseranlage in Florida konnten die Hacker den Natriumhydroxidgehalt im Trinkwasser gefährlich erhöhen, bei Wahlen, wie beispielsweise denen in den USA, geht es um nicht weniger als eine funktionierende Demokratie, und in Krankenhäusern sind potenziell die Schwächsten der Schwachen gefährdet. Im Fall Düsseldorf musste eine lebensbedrohlich erkrankte Frau gar abgewiesen und an ein anderes Krankenhaus verwiesen werden, was dazu führte, dass sie verstarb.

Quo vadis?

Da das Problem in den nächsten Jahren kaum verschwinden, sondern sich eher intensivieren wird, ist die Zeit gekommen, zu handeln. Natürlich werden Antiviren-Programme und Firewalls immer besser, doch die Cyber-Kriminellen lassen sich gleichfalls immer gewieftere Methoden einfallen. IT-Profis empfehlen daher schon seit längerem auf einen Vorteil zu setzen, der eigentlich auf der Hand liegen sollte: Die „Guten“ sind in diesem Kampf deutlich in der Mehrheit, wieso also nicht verstärkt auf Open-Source-Software setzen?

Was zunächst wie ein verwegener Plan klingt – alles öffnen, also Tür und Tor auch Böswilligen zugänglich machen – macht auf den zweiten Blick durchaus Sinn. Bei Open Source haben schließlich alle Anwender Zugriff auf den Quellcode, und Tausende Augen sehen mehr als ein Dutzend. Will heißen: Durch eine solche Öffnung könn(t)en ganze Communities die Schwachstellen frühzeitig ausmachen und Schaden vermeiden. Da hinter Open Source-Programmen zudem große Unternehmen stehen, können auch deren Experten unterstützend eingreifen. Die Armee der IT-Experten, die auf der richtigen Seite stehen, würde sich also mit einem Schlag enorm vergrößern.

Dies bedeutet auch, dass ein Fehler im System, eine Sicherheitslücke, wesentlich schneller geschlossen werden kann. Und der Faktor Zeit spielt bei derartigen Szenarien, wie man sich vorstellen kann und wie oben beschrieben, eine elementare Rolle. Krankenhausspezifische Sicherheitssysteme blieben natürlich dennoch bestehen. Doch aufgrund der Möglichkeit zur Auditierung könnten unabhängige Sachverständige Einfallstore schnell erkennen und versiegeln. Im Zusammenspiel mit individueller Managementsoftware ein besonders effektives Mittel, um Schaden abzuwenden.

Open-Source-Lösung Kix

Diese Erkenntnis führte dazu, dass beispielweise cape IT mit seiner IT-Management-Software Kix von Beginn an auf Open Source gesetzt hat. „Wir haben Kix bereits bei zahlreichen Krankenhäusern implementiert, es läuft wie ein Schweizer Uhrwerk und lässt IT, Infrastruktur und Instandhaltung ineinandergreifen. Und sichert somit nicht weniger als den technischen Betrieb eines Krankenhauses. Denn nichts wäre schlimmer, als wenn bei der Versorgung von Intensivpatienten oder während Operationen, Geräte ausfallen“, erklärt Rico Barth, Geschäftsführer von cape IT.

Das europäische Programm Gaia-X deutet übrigens in eine sehr ähnliche Richtung. Gaia-X ist eine vernetzte Datenstruktur für ein europäisches digitales Ökosystem, das von Vertretern aus Wirtschaft, Wissenschaft und Politik auf europäischer Ebene entwickelt wird. Im Ergebnis erhält ganz Europa eine leistungsstarke und sichere Dateninfrastruktur. Es ist kein Zufall und auch keine Laune, dass die Beteiligten von Gaia-X den Einsatz von Open Source empfehlen, ebenso wie einheitliche Daten und Cloud-Technologien. Das Prinzip dahinter ist einfach. Im Kampf gegen die Hacker bedeutet es schlicht: Wir sind mehr!

Kontakt zum Autor:
Rico Barth, Gründer und Geschäftsführer cape IT, Vorstand der Open Source Business Alliance, Kontakt: pr@capeit.de