Bei einem Drittel aller deutschen Krankenhäuser gibt es Cybersecurity-Schwachstellen. Werden diese systematisch von Cyberkriminellen missbraucht, kann das zu einem nationalen Sicherheitsrisiko werden. Zu diesem Ergebnis kommt eine Studie von drei IT-Sicherheitsexperten aus Deutschland und Österreich für die CyCon-Konferenz der NATO, die aus Pandemiegründen virtuell stattfinden wird. Johannes Klick von Alpha Strike Labs, Robert Koch von der Universität der Bundeswehr und Thomas Brandstetter von Limes Security haben die Ergebnisse jetzt unter dem Titel Epidemic? The Attack Surface of German Hospitals during the COVID-19 Pandemic vorab veröffentlicht. Die Studie befindet sich im Review Prozess und hat die Sicherheitslage von im Internet öffentlich zugänglichen Systemen und Informationen von mehr als 1500 deutschen Krankenhäusern untersucht. 32 Prozent der analysierten Dienste wurden in unterschiedlichem Ausmaß als verwundbar eingestuft. 36 Prozent aller untersuchten Krankenhäuser weisen Angriffspunkte auf. Insgesamt wurden mehr als 900 kritische Schwachstellen identifiziert.
Identifizierte DIVI-Krankenhäuser mit Schwachstellen
Besonders viele Schwachstellen bei großen Kliniken
Auffallend ist, dass Krankenhäuser, die nach der Einstufung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur kritischen Infrastruktur (KRITIS) gehören, eine erkennbar höhere Anzahl an Schwachstellen aufweisen als kleinere Krankenhäuser. Entgegen der Erwartung wird die IT-Sicherheit bei den zu KRITIS gehörenden Kliniken mit mehr als 30.000 vollstationären Behandlungen/Jahr offensichtlich nicht professioneller gehandhabt.
Die Verteilung der am häufigsten erkannten Dienstbanner, gruppiert nach den wichtigsten Dienstanwendungen.
Insgesamt wurden mit Hilfe des Distributed Cyber Recon System (DCS) von Alpha Strike Labs, welches bereits auf dem CCCamp 2019 vorgestellt wurde, 1.483 GB Daten aus 89 verschiedenen globalen Internet-Scans ausgewertet. Damit konnten 1.555 deutsche Krankenhäuser erfasst werden. Bei der Angriffsoberflächenanalyse wurden mehr als 13.000 Service-Banner der Krankenhäuser zur Versionsidentifikation und anschließender CVE-basierter Schwachstellenidentifikation untersucht. 32 Prozent aller erreichbaren Netzwerkdienste waren schwachstellenbehaftet. So sind unter anderem immer noch sehr alte Windows 2003 Server im Einsatz, die schon seit 2015 keine Sicherheitsupdates mehr von Microsoft erhalten.
Anzahl der Schwachstellen in Krankenhäusern in Bezug auf die Anzahl der Betten.
„Die deutschen Krankenhäuser stehen vor zentralen Herausforderungen im Bereich der kritischen IT-Infrastruktur. Es gibt immer noch eine hohe Zahl veralteter, manchmal proprietärer Systeme, welche nur schwierig patchbar sind, sei es aufgrund von erforderlichen Re-Zertifizierungen oder dem Support-Ende von Software. Dem stehen sehr begrenzte Mittel für die IT-Sicherheit gegenüber,” so Mitautor Robert Koch. „Der deutsche Gesundheitssektor bietet im Jahr 2020 trotz erhöhter Kritikalität und verstärkten Regulierungsbestrebungen zahlreiche sichtbare Angriffsflächen. Aus Sicht des nationalen Risikomanagements muss die Aufklärungsarbeit im Bereich IT-Security für KRITIS-Organisationen deutlich verstärkt werden.” Johannes Klick ergänzt: „Durch Penetrationstests bei unseren Kunden wissen wir, dass Krankenhäuser häufig nicht ausreichend vor Cyberangriffen geschützt sind, oft fehlt es schlicht an Budget, Personal und vor allem Risikobewusstsein. Deshalb stellt sich die Frage, ob der Staat nicht selbst die Schwachstellensuche in die Hand nehmen sollte.” Thomas Brandstetter ergänzt: „In anderen Regionen der Welt ist der Schutz kritischer Infrastrukturen schon deutlich länger und intensiver Staatsthema, mit entsprechenden Regulatorien und Budgets. Es besteht deutlicher Nachholbedarf. Sowohl der Gesundheitssektor als auch der Staat müssen sich effektiver aufstellen, um den Schutz wichtiger kritischer Infrastrukturen wie Krankenhäuser auch von digitaler Seite sicherzustellen.”
Die Studienautoren
Johannes Klick, M.Sc. (Informatik) ist Geschäftsführer der Alpha Strike Labs GmbH und promoviert zum Thema „Large-Scale Internet-Scanning und globaler Schwachstellenerkennung“ an der Freien Universität Berlin.
Dr. Dr. habil Robert Koch ist Admiralstabsoffizier der Bundeswehr und Privatdozent an der Universität der Bundeswehr München.
FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA ist Geschäftsführer der Limes Security GmbH und Professor an der FH St. Pölten.
