Aus

gabe

3 /

2019

www.medizin-edv.de ISSN 1619-0629 Preis: 12 Euro

ENTSCHEIDERFABRIK

Bundesverband der KrankenhausIT-Leiterinnen / Leiter e. V.

IT-Personal ist das wichtigste Kapital

KH-IT-Frühjahrstagung:

081Krankenhaus-IT Journal 03/2019

Digitalisierung im Gesundheitswesen – Risiken und Chancen

DER FEIND IN MEINEM(SPITAL)BETTAm 06.06.2019 fand zum fünften Mal die Information Security in Heath Care Conference in Rotkreuz/Schweiz statt. Die Partnerverbände Health Tech Cluster Switzerland/HTCS (www.healthtech.ch) und Information Security Society Switzerland/ISSS (www.isss.ch) richteten zusammen mit der Hochschule Luzern (www.hslu.ch/de-ch/informatik/weiterbildung) und dem Organisator DMS Schnee die Tagung aus. Weder Spitäler, Heime, Versicherungen etc. können sich der Digitalisierung im Gesundheitswesen entziehen.

Seitdem das Schweizer Bundesgesetz zum elektronischen Patientendossier in Kraft ist, müssen sich alle damit auseinan-dersetzen. Umso wichtiger ist es, alle, die damit zu haben, zu sensibilisieren, zu informieren und ihre Ängste zu nehmen.

Auf Arztpraxen kommen neue Herausforderungen zur IT Sicher-heit zu – es gibt wohl kaum eine Praxis, die eine IT-Abteilung hat. Wie kann sich eine Arztpraxis vor einem Hackingangriff schüt-zen? Wo einen Verdacht melden?

Was soll der Hype um Passwörter? Und was bedeutet integrierte Sicherheit in der Medizintechnik?

Welche Gefahren lauern in «harmlosen» E-Mails mit Attachements – sind Phishingmails wirklich zu erkennen?

Diese und viele andere Fragen konnten den einzelnen Refe-renten gestellt werden, bzw. durch deren Vorträge beantwor-tet werden.

Der Vortrag von Prof. Dr. Eric Dubuis über die Risiken und Chancen der Digitalisierung im Gesundheitswesen zog die Teilnehmer schon am Morgen in den Bann.

Die fortschreitende Digitalisierung bietet gerade im Health-care-Bereich viele Chancen wie die Verbesserung und Opti-mierung von Behandlungsprozessen, neue Möglichkeiten der Auswertung von Gesundheitsdaten in der Forschung und vieles mehr.

Andererseits birgt die Digitalisierung auch Risiken: Zum einen ist die IT-Infrastruktur der ständigen Gefahr durch Cyber-kriminelle ausgesetzt, welche durch ihre kriminellen Machen-schaften leicht zu Geld gelangen (im Falle von Ransomware) oder sonst wie Schaden (im Falle von DDoS-Angriffen) Scha-den anrichten möchten.

Mit der Auslagerung von Gesundheitsdaten in die Cloud oder mit dem Verknüpfen derer von verschiedenen bisher unab-hängigen Leistungserbringer ergeben sich nicht nur neue Mög-lichkeiten, sondern potenzieren sich die Risiken geradezu. Die Verwendung von neuen Verschlüsselungstechnologien können in gewissen Fällen helfen, die Risiken zu vermindern.

082Krankenhaus-IT Journal 03/2019

Vera

nsta

ltung

en

Cyber Security, die «smarte» Herausforderung im Healthcare Umfeld – Es fängt erst richtig an!2016, 2017 und 2018 wurden mehrere Spitäler tagelang durch Ransomware und Cyberangriffe lahmgelegt.

Im Jahr 2019 haben wir eigentlich nichts mehr in den Medien gelesen, oder? Ja, dann ist ja alles gut! Machen wir uns keine Sorgen…

Von wegen – Cyber-Sicherheitsvorfälle nehmen in einem alarmierenden Tempo zu und können tiefgreifende Auswirkun-gen auf das tägliche Funktionieren von Gesellschaft und Wirt-schaft haben, sowohl online als auch offline!

Franco Cerminara zeigte anhand aktueller Daten auf, wie ein «alter» Trojaner, Emotet, von einer Hackergruppe wieder-belebt wurde.

Emotet war 2014 ein Banking-Trojaner der inzwischen mit Phishingmails verschickt wird.

Emotet kommt meistens als Word-Makro-Attachement, oder Download-Link zu Makros per Mail.

Die Hackergruppe hinter Emotet ändert den Virus fast im Wochentakt, was die Bekämpfung extrem schwierig macht.Seit Oktober 2018 sammelt Emotet im grossen Stil E-Mails.

Der Vortrag «Einmal täglich Passwort – das reicht dann aber auch» entfachte eine rege Diskussion über Für und Wider eines einzigen Passwortes für ALLE Systeme.

Oft von Benutzern gewünscht, damit sie sich nicht meh-rere, verschiedene Passwörter merken müssen, den Keypass nicht nutzen wollen – was bleibt dann noch? Aus Bequemlich-keit nur ein Passwort für alles Systeme setzen – und bloss nicht was Kompliziertes oder Kryptisches. Nein, einfach soll es sein.

So einfach geht es dann doch nicht, erklärte Referent Cyril Gailer von der IPG AG, man kann nur ein Passwort verwenden – ABER, das muss durch einen 2. Faktor gesichert sein. Ob mit einem PIN oder einem weiteren Passwort, das obliegt den Kunden. Es wurde anschaulich gezeigt, dass ein einfaches Pass-wort, selbst wenn es länger als 6 Zeichen inkl. Sonderzeichen ist, in weniger als 60 Sekunden gehackt wird.

Was kann ein Passwort-Nutzer tun, um ein sicheres Pass-wort zu generieren? Da bleibt nur, dass ein Passwort aus min-destens 12 Zeichen, Buchstaben, Zahlen, Sonderzeichen beste-hen sollte. Dann, ja dann braucht ein Hacker vielleicht statt 60 Sekunden – Minuten, Stunden, ein paar Tage, um das Passwort zu hacken.

Wie Sie hier lesen können – die Frage, ob ein Passwort für alle Systeme reicht – das bleibt den Unternehmen, den Privat-personen, Passwort-Nutzer überlassen.Beispiel: Top 10 Malware April 2019

Rang Name Art Funktion

1 Gh0st RAT Backdoor: erlaubt volle Kontrolle des Systems.

2 Dridex Banking Trojaner Verteilt sich über böse Word Macros.

3 Kovter Click Fraud Versteckt sich in Registry Keys, hat Backdoor Funktionen.

4 Trickbot Banking Trojaner Modularer E-Banking Trojaner, wird oft von Emotet nachgeliefert.

5 Dridex Banking Trojaner Word Macros, macht Malspam.

6 WannaCry Ransomware Eternalblue Exploit. Verteilt sich via SMB Protokoll.

7 ZeuS Banking Trojaner KeyLogger, Banking Trojaner. (Seit 2011 aktiv)

8 CoinMiner Miner Cryptocurrency Miner. Verteilt sich via WMI und Eternalblue.

9 NanoCore RAT Verseuchte Excel Dateien. Volle Kontrolle über das System.

10 Emotet Dropper/InfoStealer Wird benutzt um andere Viren zu installieren. Stiehlt E-Mails.

© InfoGuard │ INFOGUARD.CH │ 22

https://www.cisecurity.org/blog/top-10-malware-april-2019/

Seit April 2019 verschickt sich Emotet als Teil von vergange-nen E-Mail-Konversationen, auch Dynamit Phishing genannt.Was machen Sie, wenn Sie einen USB Stick «finden»? Unsere menschliche Neugier ist und bleibt unbezähmbar – was wohl auf dem USB Stick ist? Steht womöglich noch Confidential, Löhne, oder ähnliches drauf, wird der USB Stick an den PC/das Laptop angeschlossen. Und schon ist es passiert! Der USB Stick ist ein «Rubber Ducky», mit dem erst der PC und dann womöglich das ganze Unternehmen mit einem Virus verseucht und gehackt wird.

Eine sichere Architektur für verteilte Systeme medizinischer Geräte wurde im Vortrag von Dr. Stefan Schlichting, Dräger-werk AG&Co, am Beispiel des Themas Alarm-Management im Krankenhaus vorgestellt, wobei die Eigenschaften des im Jahr 2018 verabschiedeten IEEE 11073 Normenreihe „Service-oriented Device Connectivity“ (SDC) bzgl. Patienten- und Datensicherheit beleuchtet wurden.

Die Podiumsdiskussion mit Vertretern aus der Medizin-technologie, Pharmabranche, Spital IT und MELANI zeigte auf, dass es sehr wohl möglich ist, zusammen mit dem Bund Maß-nahmen zu erarbeiten und umzusetzen. So gibt es bei MELANI eine Fachgruppe Gesundheitswesen mit Vertretern aus aktuell 30 Spitälern. Diese Gruppe trifft sich alle 6 Monate, um aktiv die Cyber Kriminalität im Gesundheitswesen zu analysieren, Massnahmen zu definieren und umzusetzen.

083Krankenhaus-IT Journal 03/2019

Und wer ist der Feind in meinem (Spital)Bett?Prof. Dr. Peter E. Fischer brachte es auf den Punkt – Patienten, Ärzte, Pfl ege, im Grunde genommen alle Mitarbeiter eines Spitals, einer Praxis wünschen sich eine Vernetzung, um so bequem und einfach Termine buchen zu können, Vitaldaten zu übertragen, eine größtmögliche Verfügbarkeit aller Patienten-daten in kürzester Zeit. Aber zu welchem Preis?

Daten werden mittels Schnittstellen «drahtlos» über WLAN in das elektronische Patientendossier übertragen. Fotos von Wunden mal eben mit dem privaten Handy auf-genommen, weil gerade keine Kamera zur Hand ist – macht doch nichts, oder?

Dann schlägt der Feind = Hacker zu! Fotos mit dem privaten Handy per WhatsApp verschickt – macht doch nichts, oder? WhatsApp wurde erst vor kurzem wieder gehackt – macht also doch was. Die Fotos könnten im Netz kursieren und im Darknet landen. Patientendaten werden im Darknet hoch gehandelt – Interessenten dafür gibt es genug. Sei es, um Versicherungen solche Daten anzubieten, oder Spitäler, Heime und auch Patienten mit den Daten zu erpressen.

FazitDer Feind in meinem (Spital)Bett – oder sollte es eher heissen «Killing me softly with a medical device»?

■ Medizingeräte (dazu gehören auch Pacemaker!) können ohne weiteres gehackt, Patientendaten verfälscht und so Menschleben gefährdet, bzw. im Schlimmsten Fall durch Hacker der Tod eines Menschen verursacht werden.

■ E-Mails können Böse sein und sind das Nr.1 Einfallstor für Hacker

■ Rubber Ducks sind keine Quietsche-Entchen, sondern böse USB Sticks

■ Passwörter können mit Leichtigkeit gehackt werden ■ Wir können uns bei Verdacht auf Auffälligkeiten,

vermutete Cyber-Attacken etc. beruhigt an die Polizei und MELANI wenden – das ist kein Whistleblowing!

Oft scheitert die Sicherheit am Geld. Wenn jedoch Kontroll-organe bei Audits gefährliche Lücken aufdecken oder das Management mit DSGVO-Forderungen wegen nicht zeitge-mäßer Informationssicherheit konfrontiert wird, erhält die Informationssicherheit eine ganz andere Bedeutung. Das heißt es ist günstiger, mehr in die Sicherheit zu investieren, als Bußen zu bezahlen. Ganz abgesehen vom Reputationsverlust.

Dies sind Eindrücke einer großen Tagung – alle Vorträge/Präsentationen stehen Ihnen auf www.infosec-health.ch zum Download zur Verfügung.

SAVE THE DATE! NÄCHSTE Information Security in Health Care Conference am 04.06.2020 in Rotkreuz / Schweiz

Petra Breiting