Experte im Interview - "Sparen an der Cybersicherheit ist existenzbedrohend"
Die Johannesstift-Diakonie ist Opfer eines Cyberangriffs geworden. Vieles läuft bereits wieder. Für den Experten Timo Kob ein gutes Zeichen. Denn jeder kann angegriffen werden, die Frage sei eher: Wie schnell kommt ein Unternehmen wieder raus?
rbb|24: Warum passiert es immer wieder, dass öffentliche Institutionen, seien es kommunale Verwaltungen, Universitäten oder wie jetzt ein Krankenhaus, Opfer von Cyberangriffen werden?
Timo Kob: Ich kann nichts über den einzelnen Fall am Johannesstift sagen, da handelte es sich um einen sogenannten Krypto-Trojaner, der die Festplatten verschlüsselt. Das kann auch mit sehr guten Schutzmaßnahmen passieren. Der Unterschied ist eher: Wie schnell komme ich aus der Situation wieder heraus? Es gibt fast keinen, der von sich aus sagen kann, das kann mir auf gar keinem Fall passieren, aber ich kann einiges tun, um die Wahrscheinlichkeit zu reduzieren.
Was genau wären gute Maßnahmen, sich zu schützen?
Dass es jedem passieren kann, ist die erste wichtige Erkenntnis, weil dann frage ich: Was tue ich, wenn es mir passiert ist? Die meisten Fehler passieren gar nicht dabei, dass ich mich davor schütze, dass es passiert. Sondern, wenn es passiert, dabei wieder aufzustehen. Die Resilienz ist die nötige Fähigkeit: Die Häuser, die ein Notfallhandbuch aufgebaut haben, die ausreichend Backups gemacht haben und die dann aber auch so gespeichert haben, dass sie nicht aufverschlüsselt worden sind, sind schon deutlich weiter vorne. Und die auch getestet haben, dass ich die wieder einspielen kann in ausreichenden Zyklen.
Es reicht also schon, Backups zu machen, die Software sauber zu aktualisieren, die Rechte meiner Nutzer so weit einzuschränken, dass wenn ein PC erwischt wird, nicht gleich alle erwischt werden. Dann habe ich schon viel getan.
Welche speziellen Herausforderungen haben Krankenhäuser, um sich vor Cyberkriminalität zu schützen?
Gerade öffentliche Institutionen und Krankenhäuser, übrigens auch private, haben in den letzten Jahren viel zu wenig getan und müssen dementsprechend jetzt noch mehr aufholen. Außerdem unterliegen sie dem enormen Digitalisierungsdruck. Das heißt, gerade Krankenhäuser müssen sehr schnell in der Digitalisierung aufholen plus die Security hinbekommen - bei zu wenig Geld und Personal. Da ist es natürlich abzusehen, dass da leichter mal Fehler passieren.
Da haben wir gerade bei Institutionen wie Krankenhäusern oder Universitäten in der Breite nicht unbedingt das bestausgebildete Personal für Cybersicherheit und teilweise einen großen Wildwuchs an unterschiedlichen Systemen. Stellen Sie sich das vor, wenn Sie so eine Grenze wie Norwegen haben, völlig zerklüftet, dann ist die halt schwerer zu schützen als eine Grenze wie Libyen, die mit dem Lineal gezogen ist. Das ist auch Teil der Situation.
Warum ist Cybersicherheit in Krankenhäusern – um es in Ihren Worten auszudrücken – eine zerklüftete Grenze, warum das Thema so komplex?
Zum einen muss man aufpassen, wir müssen unterscheiden: Im Zweifel hat der Krypto-Trojaner einfach einen ganz normalen Windows-Rechner verschlüsselt. Da gibt es keine Unterschiede zu anderen Cyberangriffen.
In der Unterscheidung kann man aber sagen, dass Krankenhäuser Tausende verschiedene Geräte haben, die alle mit ins Netz hinein müssen. An denen darf ich auch nicht einfach mal so schnell eine aktuelle Version einspielen. Stellen Sie sich das jetzt bei einem Röntgengerät vor, da wollen Sie das nicht haben, mit einem falsch eingespielten Update haben Sie dann vielleicht aus Versehen eine zu hohe Dosis übertragen.
Das heißt, es ist viel komplexer, immer ein aktuelles System zu haben und dann habe ich auch noch Tausende verschiedene Systeme. Ein furchtbarer Wildwuchs im Verhältnis zu einem normalen Unternehmen mit ein paar Computern.
Wie können die Krankenhäuser sich dennoch schützen, trotz der Komplexität?
Im ersten Schritt ist es eine Frage des Geldes. Da gibt es Gesetze, das Krankenhauszukunftsgesetz sagt, 15 Prozent des Budgets für Digitalisierung muss in Sicherheit liegen. Das war früher viel weniger und ist teilweise immer noch zu wenig. Ich kann mir also gar nicht die besten Systeme leisten.
Der Johannesstift hat sehr viel investiert. Auf der anderen Seite ist das große Problem der Fachkräftemangel, es ist fast unmöglich, am Markt Cybersecurity-Experten zu bekommen. Und dann noch schwieriger, das die sich für öffentliche Institutionen entscheiden, weil die weniger zahlen können als jemand in der Privatwirtschaft. Wir haben, das ist der zentrale Faktor in ganz Deutschland, zu wenig Personal.
Fehlendes Personal ist das eine. Aber wenn Unternehmen mit Kosten argumentieren: Kostet sie der Angriff am Ende nicht mehr als die Prävention?
Definitiv. Wir machen als Unternehmen den Sanitäter-Dienst eines gehackten Systems. Es ist nicht lustig, wenn man dann neben einem Geschäftsführer eines Traditionshauses steht, das über sechs Generationen aufgebaut wurde und durch einen Cyberangriff ist dieses gesamte Unternehmen einfach mal ausradiert. Wer heute noch sagt, ich gebe das Geld lieber nicht aus und spare, der hat irgendwas noch nicht mitbekommen, weil es einfach existenzbedrohend ist.
Wie sollte sich ein Krankenhaus, ein Unternehmen, verhalten, wenn es Opfer eines Cyberangriffs geworden ist?
Eine generell wichtige Botschaft ist: Wenn ich einen Fehler gemacht habe, muss ich bereit sein, darüber zu reden, auch das BSI (Bundesministerium für Sicherheit in der Informationstechnik, Anm. d. Red.) und die Polizei zu informieren. Früher haben die Leute gesagt, ich versuch das mal zu verheimlichen. Da war immer die Aussage: Wenn mir das passiert, dann war ich wohl schuld. Das ist aber eine Täter-Opfer-Umkehr.
Das Johannesstift hat schon einiges getan, das klingt gar nicht so schlecht. Aber natürlich, wenn man den Fall noch nie hatte, sich nicht explizit darauf vorbereitet hat, dann wird es nicht perfekt laufen. Das ist aber nichts Krankenhausspezifisches.
Braucht es strengere Gesetze, damit die Unternehmen wirklich auch erste Maßnahmen ergreifen?
Es gibt ja jetzt eine neue Gesetzgebung, die sogenannte NIS2-Umsetzung (eine EU-Richtlinie, Anm. d. Red.), die dafür sorgt, dass man bestimmte Vorsorge gemacht haben muss für alle kritischen Infrastrukturen, für Krankenhäuser, aber eben auch Energieversorger et cetera.
Unschön ist, dass wir als Deutschland da schon Verzug haben, denn es sollte eigentlich in zwei Tagen eingeführt werden. Darüber reden wir aber seit anderthalb Jahren, das werden wir schon mal nicht schaffen, gegebenenfalls. Jetzt ist angesagt worden, dass es bis März funktioniert. Auch das ist nicht sicher - wenn jetzt irgendetwas in der Bundespolitik passiert, die Koalition zerbricht oder was auch immer und es noch mehr zum Verzug kommt, dann werden wir wahrschenilich noch ein Jahr verlieren, bis dieses Gesetz überhaupt in Kraft tritt.
Vielen Dank für das Gespräch!
Das Interview führte Jenny Barke.
Sendung: rbb24 Inforadio, 16.10.2024, 15 Uhr