Cybersicherheitslücken bestehen in einem Drittel aller deutschen Krankenhäuser. Werden diese von Cyberkriminellen systematisch ausgenutzt, kann dies zu einem nationalen Sicherheitsrisiko werden. Dies ist das Ergebnis einer Studie, die von drei IT-Sicherheitsexperten aus Deutschland und Österreich für die CyCon-Konferenz der NATO durchgeführt wurde, welche pandemiebedingt virtuell stattfinden wird. Johannes Klick von Alpha Strike Labs, Robert Koch von der Universität der Bundeswehr und Thomas Brandstetter von Limes Security haben die Ergebnisse nun unter dem Titel Epidemie? Die Angriffsfläche deutscher Krankenhäuser während der COVID-19-Pandemie veröffentlicht. Die Studie befindet sich im Begutachtungsprozess und untersuchte die Sicherheitssituation von Systemen und öffentlich zugänglichen Informationen von mehr als 1500 deutschen Krankenhäusern im Internet. 32 Prozent der analysierten Dienste wiesen unterschiedliche Schwachstellen auf. 36 Prozent aller untersuchten Krankenhäuser hatten Angriffspunkte. Insgesamt wurden mehr als 900 kritische Schwachstellen identifiziert.
Identifizierte DIVI-Krankenhäuser mit Schwachstellen.
Hohe Anzahl an Schwachstellen in großen Krankenhäusern
Auffällig ist, dass Krankenhäuser, die nach der Klassifizierung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Kritischen Infrastruktur (KRITIS) gehören, eine erkennbar höhere Anzahl an Schwachstellen aufweisen als kleinere Krankenhäuser. Entgegen den Erwartungen wird die IT-Sicherheit in Krankenhäusern, die mit mehr als 30.000 vollstationären Behandlungen pro Jahr zu KRITIS gehören, offenbar nicht professioneller gehandhabt.
Die Verteilung der am häufigsten erkannten Service-Banner, gruppiert nach den wichtigsten Service-Anwendungen.
Insgesamt 1.483 GB Daten aus 89 verschiedenen globalen Internet-Scans wurden mit dem Distributed Cyber Recon System (DCS) von Alpha Strike Labs analysiert, das bereits auf dem CCCamp 2019 vorgestellt wurde. Dies ermöglichte die Erfassung von 1.555 deutschen Krankenhäusern. Die Analyse der Angriffsfläche untersuchte mehr als 13.000 Service-Banner von Krankenhäusern zur Versionsidentifizierung und anschließenden CVE-basierten Schwachstellenidentifizierung. 32 % aller zugänglichen Netzwerkdienste waren anfällig. Unter anderem sind noch sehr alte Windows 2003-Server im Einsatz, die seit 2015 keine Sicherheitsupdates mehr von Microsoft erhalten haben.
Anzahl der Schwachstellen in Krankenhäusern im Verhältnis zur Bettenzahl.
„Deutsche Krankenhäuser stehen vor zentralen Herausforderungen im Bereich der kritischen IT-Infrastruktur. Es gibt immer noch eine hohe Anzahl veralteter, teils proprietärer Systeme, die schwer zu patchen sind, sei es aufgrund erforderlicher Rezertifizierungen oder des Endes des Supports für Software. Dem stehen sehr begrenzte Ressourcen für die IT-Sicherheit gegenüber“, sagte Co-Autor Robert Koch. „Der deutsche Gesundheitssektor bietet im Jahr 2020 trotz gestiegener Kritikalität und verstärkter regulatorischer Bemühungen zahlreiche sichtbare Angriffsflächen. Aus der Perspektive des nationalen Risikomanagements muss die Ausbildung im Bereich IT-Sicherheit für KRITIS-Organisationen deutlich verstärkt werden.“ Johannes Klick fügt hinzu: „Durch Penetrationstests bei unseren Kunden wissen wir, dass Krankenhäuser oft nicht ausreichend gegen Cyberangriffe geschützt sind, da es schlicht an Budget, Personal und vor allem an Risikobewusstsein mangelt. Daher stellt sich die Frage, ob der Staat die Suche nach Schwachstellen nicht selbst in die Hand nehmen sollte.“ Thomas Brandstetter ergänzt: „In anderen Regionen der Welt ist der Schutz kritischer Infrastrukturen schon viel länger und intensiver ein staatliches Thema, mit entsprechenden Regulierungen und Budgets. Hier gibt es einen klaren Nachholbedarf. Sowohl der Gesundheitssektor als auch der Staat müssen sich effektiver aufstellen, um den Schutz wichtiger kritischer Infrastrukturen wie Krankenhäuser auch von der digitalen Seite her zu gewährleisten.“
Autoren der Studie
Johannes Klick, M.Sc. (Informatik) ist Geschäftsführer der Alpha Strike Labs GmbH und promoviert an der Freien Universität Berlin zum Thema „Large-Scale Internet Scanning and Global Vulnerability Detection“.
Dr. Dr. habil. Robert Koch ist Admiralstabsoffizier der Bundeswehr und Privatdozent an der Universität der Bundeswehr München.
FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA ist Geschäftsführer der Limes Security GmbH und Professor an der FH St. Pölten.
