Der unsichtbare Angriff

Ein Röntgenbild verschwindet. Eine Laborsoftware spielt verrückt. Ein Medikamentendosierer gibt plötzlich die doppelte Dosis ab. Was wie ein Filmszenario klingt, ist für Spitäler eine reale Gefahr. Der nächste Cyberangriff kommt bestimmt.

Ein Cyberangriff auf ein Spital kann Leben kosten. Und die Bedrohung wächst. Hackerinnen und Hacker versuchen längst nicht mehr nur, Daten zu stehlen – sie nehmen gezielt Systeme ins Visier, die den Betrieb eines Spitals sichern. Wie viele grosse Organisationen wehrt das Universitätsspital Zürich (USZ) jeden Monat zehntausende Angriffsversuche ab. Cyberkriminelle agieren wie Einbrecher, die immer wieder an Türgriffen rütteln, an Fensterrahmen drücken und hoffen, irgendwo eine Schwachstelle zu finden. Nur sind es beim USZ nicht zwei oder drei Einbruchsversuche, sondern eben zehntausende. Für ausgefeilte Cyberangriffe braucht es keine fundierten IT-Kenntnisse mehr: Cyberkriminelle verkaufen ihre Angriffsmethoden heute auch als Dienstleistung – mit fertiger Schadsoftware, automatisierten Angriffsprogrammen und sogar technischem Support. Erik Dinkel, Chief Security Officer des USZ, kennt das Bedrohungsszenario genau. «Wir arbeiten rund um die Uhr. Ein Spital kann nicht offline gehen.» Doch genau das droht, wenn Cyberkriminelle in die Netzwerke eindringen.

Cyberangriffe: ein lukratives Geschäft

Cyberkriminalität hat sich in den letzten Jahren von sporadischen Hackerangriffen zu einer milliardenschweren Industrie entwickelt. Neben automatisierten Angriffen nehmen auch gezielte Attacken zu. Besonders perfide ist Ransomware: Die Angreifenden dringen unbemerkt in ein System ein, verschlüsseln alle Daten und legen die gesamte IT lahm. Plötzlich geht nichts mehr: Patientenakten, Terminplanung, Labordaten − alles ist blockiert. Dann erscheint eine Meldung auf den Bildschirmen: Ihre Daten wurden gesperrt. Zahlen Sie 5 Millionen in Bitcoin, um sie zurückzubekommen. Die einzige Alternative? Wochenlanger Wiederaufbau, grosse finanzielle Verluste und unkalkulierbare Risiken für die Patientenversorgung. Spitäler sind besonders attraktive Ziele, weil sie unter hohem Druck stehen: Ein Ausfall der IT kann Leben kosten. Cyberkriminelle wissen das – und setzen auf Erpressung. Dabei geht es nicht nur um Lösegeld. Gestohlene Patientendaten sind im Darknet besonders wertvoll. Kreditkarten lassen sich sperren – medizinische Daten aber bleiben ein Leben lang gültig. Kriminelle nutzen sie für Identitätsdiebstahl, Versicherungsbetrug oder den illegalen Handel mit Medikamenten. Mit echten Patientendaten reichen Betrügerinnen und Betrüger gefälschte Arztrechnungen ein oder erschleichen sich unter falschem Namen teure Behandlungen. Sogar falsche Arztpraxen lassen sich mit gestohlenen Identitäten betreiben – inklusive Abrechnungen für nie erbrachte Leistungen. «Cyberkriminalität ist eine Gefahr, auf die sich jede Organisation vorbereiten muss – egal ob Spital oder KMU», so Erik Dinkel. Er wünscht sich mehr Sorgfalt bei der Softwareentwicklung: «Oft sind es kleine, vermeidbare Fehler in Programmen, die später zu Sicherheitslücken führen.»

Kein Schutz hinter dicken Mauern

Moderne Cyberangriffe tarnen sich als legitime Zugriffe und bleiben oft lange unbemerkt. Erst wenn es zu spät ist, wenn Daten verschlüsselt oder gestohlen sind, wird der Angriff sichtbar. Dann ist der Schaden meist enorm. Die Vorstellung, IT-Systeme wie eine mittelalterliche Burg nur mit dicken Mauern zu schützen, hält Erik Dinkel für überholt. «Unsere Welt ist heute vernetzter und komplexer – mit mobilen Geräten, Cloud-Diensten und Homeoffice. Es gibt nicht mehr die eine grosse Burg, sondern viele kleine Burgen. Entscheidend ist, dass wir wissen, was in diesen Burgen und zwischen ihnen geschieht.» Doch wie kann sich ein Spital schützen, das nicht einfach offline gehen kann?

Gemeinsam gegen Cyberangriffe

Es beginnt mit einer verdächtigen Bewegung im System. Vielleicht ein untypischer Datenabruf in der Nacht oder ein unerwartetes Login von den Bahamas. Solche Anzeichen können harmlos sein – oder der erste Hinweis auf einen Angriff. Wenn sich Angreifende unbemerkt durchs System bewegen, zählt jede Sekunde. Deshalb hat das USZ in den letzten Jahren investiert, um Cybervorfälle und Schwachstellen systematisch und zentral zu erkennen und schnell darauf zu reagieren. Dabei arbeitet das Spital mit externen Partnern zusammen: Die Swiss Post Cybersecurity AG unterstützt das interne Sicherheitsteam mit modernster Sicherheitstechnologie und Bedrohungsanalysen. Das Herzstück bildet das gemeinsam betriebene Security Operations Center (SOC) – eine Einsatzzentrale, die rund um die Uhr das digitale Geschehen überwacht und im Ernstfall sofort reagiert. Ein wichtiges Werkzeug im SOC ist die Cyber Defense Platform, die wie ein intelligentes Alarmsystem verdächtige Bewegungsmuster frühzeitig erkennt und automatisch Schutzmassnahmen auslöst. Doch selbst die beste Technik kann menschliche Fehler nicht ausschliessen.

Der Faktor Mensch

Oft reicht eine einzige Unachtsamkeit. Ein Mitarbeiter erhält ein E-Mail, das scheinbar von der IT-Abteilung stammt. Darin die Aufforderung, das Passwort zu bestätigen. Doch die Nachricht ist eine Falle. Ein Klick – und die Angreifenden haben eine erste Tür ins System gefunden. 90 Prozent aller erfolgreichen Cyberangriffe beginnen mit einem menschlichen Fehler. Deshalb setzt das USZ auf eine umfassende Sensibilisierung der Mitarbeitenden. Simulierte Phishing-Angriffe und Schulungen sind fester Bestandteil der Abwehrstrategie. Dinkel spricht von einem Kulturwandel: «Es geht nicht darum, Angst zu schüren, sondern darum, Verantwortung zu übernehmen. Sicherheit beginnt bei den Menschen, nicht bei der Technik.» Cyberkriminalität ist längst keine abstrakte Bedrohung mehr. Das Universitätsspital Zürich hat sich darauf eingestellt. «Cyberangriffe entwickeln sich ständig weiter – unsere Sicherheitsmassnahmen müssen das auch», sagt Dinkel. «Sicherheit ist kein Zustand, den man einmal erreicht, sondern ein fortlaufender Prozess.»