Neue Gefahr: Wenn Hacker fremde Herzschrittmacher manipulieren

Ab diesem Herbst wird an der Hochschule Luzern – Informatik in Rotkreuz ein neuer Bachelor-Studiengang «Information & Cyber Security» angeboten. Die Nachfrage ist sehr gross: «Wir sind bereits voll gebucht», sagt Peter E. Fischer, Dozent und Präsident Swiss Internet Security Alliance. Kein anderer Studiengang hatte dieses Jahr so viele Anmeldungen. «IT-Sicherheitsfirmen sind intensiv auf der Suche nach IT-Sicherheitsexperten – und zwar nicht in drei Jahren, sondern eigentlich per sofort.»

Und dies aus gutem Grund: Der Schutz von Daten und Geräten durch Angriffe aus dem Netz wird immer wichtiger. Im Fokus sind dabei insbesondere auch Gesundheitsinstitutionen wie Spitäler, Psychiatrien oder Spitex-Organisationen, die ihre Daten verstärkt digitalisieren. «Banken sind heute bereits recht gut gesichert, doch im Gesundheitsbereich fehlt leider häufig noch das Bewusstsein für die Gefahren», sagt Fischer.

«Wenn diese beispielsweise einen Herzschrittmacher abstellen, können sie damit einen Patienten umbringen.»

Peter E. Fischer, Hochschule Luzern

Und die Risiken sind enorm. Dabei geht es nicht nur um äusserst sensible und intime Patientenakten, beispielsweise aus Therapiegesprächen, mit denen Datendiebe die Institutionen und ihre Patienten erpressen oder die Karriere von Persönlichkeiten massiv schädigen könnten. Ein Bereich, der gemeinhin ausser Acht gelassen wird, sind moderne medizinische Installationen, die selbst computergesteuert sind.

Perfide Hackermethoden

«Auch Spezialisten sind immer wieder erstaunt, wie einfach sie medizinische Geräte hacken können», natürlich mit dem Einverständnis der Geräteinhaber, sagt Fischer. Das Horrorszenario: die Manipulation eines Geräts durch Dritte. «Wenn diese beispielsweise einen Herzschrittmacher abstellen, können sie damit einen Patienten umbringen», so der IT-Sicherheitsexperte. Oder mit einer Morddrohung könnten auch Millionen erpresst werden – beispielsweise bei einem prominenten Patienten. Eine andere perfide Methode: Die Manipulation der Patientenakte – statt eines Herzfehlers hat der Patient plötzlich ein anderes Krankheitsbild und erhält dadurch die falschen Medikamente verabreicht.

Wer dies erreichen will, braucht laut Fischer nicht einmal selbst die technischen Fähigkeiten hierzu – den Mord kann man auch einfach in Auftrag geben. «Heute ist es kein Problem, im Darknet Anbieter für eine solche Tat zu finden.» Das sei nicht einmal besonders teuer, Hacker aus Osteuropa und Asien erledigten das für einige Hundert bis einige Tausend Franken.

Die Aufdeckung und Verfolgung eines solchen Auftragsmordes sei äusserst schwierig. Laut Fischer würden Todesfälle oft gar nicht mit einem Angriff auf die Gerätesteuerung in Verbindung gebracht und falls doch, von den Institutionen möglicherweise aus Scham gar nicht gemeldet werden. «Transparenz wird grundsätzlich gerne propagiert, aber in der Realität leider oft nicht gelebt», so Fischer. Die Tätersuche in nicht demokratischen Ländern sei fast immer erfolglos.

Gefährdet seien nicht primär grosse Spitäler wie das Inselspital oder das Luzerner Kantonsspital, sondern kleine, regionale Institutionen. «Diese haben häufig weder das Know-how noch die Mittel, ihre Infrastruktur genügend zu schützen.» Oft würde die IT-Sicherheit in solchen Betrieben ausgelagert und vor Ort fehle ein Sicherheitsteam.

Mitarbeiter als Sicherheitsrisiko

Beim Luzerner Kantonsspital würden derzeit die Patientendossiers und administrativen Abläufe umfassend digitalisiert und im gleichen Zug die Informationssicherheit aufgerüstet – hier macht Fischer sich wenig Sorgen. Dennoch – ein Risiko bleibe bestehen. Der Faktor Mensch ist dabei die grösste Schwachstelle – insbesondere in Gesundheitsinstitutionen. «Für das Personal geht es in erster Linie darum, Menschen zu helfen und ihr Leiden zu lindern. Das Thema Sicherheit hat kaum eine Priorität und wird zuweilen auch als hinderliche Aufgabe angesehen bei der Ausführung der Pflege», sagt Fischer.

«Wenn selbst unsere Leute sich schwertun, potenziell gefährliche Mails zu identifizieren, wie hoch ist da die Gefahr in einem Spital?»

Peter E. Fischer, Hochschule Luzern

Gerade die soziale Ader vieler Mitarbeiter im Spital könne jedoch gnadenlos ausgenutzt werden. Der Klassiker ist beispielsweise ein offenbar zufällig herumliegender USB-Stick mit einem Trojaner im Gepäck oder ein Hilfemail mit einem schädlichen Anhang. Auch ungenügende Passwörter können Einfallstore für Angriffe sein. «Das durch Menschen verursachte Fehlerpotenzial ist schier unerschöpflich», sagt der IT-Experte. Die Hochschule selbst habe kürzlich einen Test mit sogenannten Phishing-Mails gemacht: Sie versendeten Mails mit einem attraktiven Angebot – ein erstaunlich hoher Anteil der Mitarbeiter hätte die Mail mit schädlichem Inhalt geöffnet.

Gelder zu knapp

«Wenn selbst unsere Leute sich schwertun, potenziell gefährliche Mails zu identifizieren, wie hoch ist da die Gefahr in einem Spital?», gibt Peter E. Fischer zu bedenken. Doch was ist zu tun? Neben substanziellen Investitionen in die Infrastruktur und die Sicherheitsorganisation brauche es auch eine intensive Schulung sowie Sensibilisierung der Mitarbeiter. Doch in Zeiten des Sparens ist das nicht einfach. Bestes Beispiel ist der Kanton Luzern: Hier hat der Datenschutzbeauftragte seinen Posten aus Protest geräumt, weil der Kanton nicht bereit ist, die Investitionen in diesem kritischen Bereich zu erhöhen (zentralplus berichtete).

«Ich kann natürlich verstehen, dass es schwierig ist, mehr Geld in einem Bereich zu fordern, wenn gleichzeitig überall im Gemeinwesen die Leistungen gekürzt werden müssen», sagt Fischer. Gerade im Datenschutz, der eng mit der Informationssicherheit verbunden ist, handle es sich um Investitionen, die nicht direkt einen Mehrwert böten. «Ich vergleiche das mit einer Risiko-Lebensversicherung: Man zahlt laufend teure Prämien und eine Unterdeckung wird erst zum Problem, wenn es zum Todesfall kommt.» Ähnlich sei das auch bei der IT-Sicherheit. Zuerst müsse leider etwas geschehen, bis reagiert wird.