Experte im Interview - "Sparen an der Cybersicherheit ist existenzbedrohend"

Mi 16.10.24 | 15:16 Uhr
  3
Symbolbild: Illustration des umschreibens eines Quellcodes am Computer im dunkeln am 11.02.2024. (Quelle: picture alliance/an Eifert)
Audio: rbb24 Inforadio | 16.10.2024 | Jenny Barke | Bild: picture alliance/an Eifert

Die Johannesstift-Diakonie ist Opfer eines Cyberangriffs geworden. Vieles läuft bereits wieder. Für den Experten Timo Kob ein gutes Zeichen. Denn jeder kann angegriffen werden, die Frage sei eher: Wie schnell kommt ein Unternehmen wieder raus?

rbb|24: Warum passiert es immer wieder, dass öffentliche Institutionen, seien es kommunale Verwaltungen, Universitäten oder wie jetzt ein Krankenhaus, Opfer von Cyberangriffen werden?

Timo Kob: Ich kann nichts über den einzelnen Fall am Johannesstift sagen, da handelte es sich um einen sogenannten Krypto-Trojaner, der die Festplatten verschlüsselt. Das kann auch mit sehr guten Schutzmaßnahmen passieren. Der Unterschied ist eher: Wie schnell komme ich aus der Situation wieder heraus? Es gibt fast keinen, der von sich aus sagen kann, das kann mir auf gar keinem Fall passieren, aber ich kann einiges tun, um die Wahrscheinlichkeit zu reduzieren.

Zur Person

Timo Kob, Cybersicherheitsexperte bei "InSolution". (Quelle: privat)
Kühnapfel Fotografie

Timo Kob ist Cybersicherheits-Experte und berät mit seiner Firma HiSolutions Unternehmen wie öffentliche Institutionen wie Bundesbehörden beim IT-Schutz.

Was genau wären gute Maßnahmen, sich zu schützen?

Dass es jedem passieren kann, ist die erste wichtige Erkenntnis, weil dann frage ich: Was tue ich, wenn es mir passiert ist? Die meisten Fehler passieren gar nicht dabei, dass ich mich davor schütze, dass es passiert. Sondern, wenn es passiert, dabei wieder aufzustehen. Die Resilienz ist die nötige Fähigkeit: Die Häuser, die ein Notfallhandbuch aufgebaut haben, die ausreichend Backups gemacht haben und die dann aber auch so gespeichert haben, dass sie nicht aufverschlüsselt worden sind, sind schon deutlich weiter vorne. Und die auch getestet haben, dass ich die wieder einspielen kann in ausreichenden Zyklen.

Es reicht also schon, Backups zu machen, die Software sauber zu aktualisieren, die Rechte meiner Nutzer so weit einzuschränken, dass wenn ein PC erwischt wird, nicht gleich alle erwischt werden. Dann habe ich schon viel getan.

Welche speziellen Herausforderungen haben Krankenhäuser, um sich vor Cyberkriminalität zu schützen?

Gerade öffentliche Institutionen und Krankenhäuser, übrigens auch private, haben in den letzten Jahren viel zu wenig getan und müssen dementsprechend jetzt noch mehr aufholen. Außerdem unterliegen sie dem enormen Digitalisierungsdruck. Das heißt, gerade Krankenhäuser müssen sehr schnell in der Digitalisierung aufholen plus die Security hinbekommen - bei zu wenig Geld und Personal. Da ist es natürlich abzusehen, dass da leichter mal Fehler passieren.

Da haben wir gerade bei Institutionen wie Krankenhäusern oder Universitäten in der Breite nicht unbedingt das bestausgebildete Personal für Cybersicherheit und teilweise einen großen Wildwuchs an unterschiedlichen Systemen. Stellen Sie sich das vor, wenn Sie so eine Grenze wie Norwegen haben, völlig zerklüftet, dann ist die halt schwerer zu schützen als eine Grenze wie Libyen, die mit dem Lineal gezogen ist. Das ist auch Teil der Situation.

Warum ist Cybersicherheit in Krankenhäusern – um es in Ihren Worten auszudrücken – eine zerklüftete Grenze, warum das Thema so komplex?

Zum einen muss man aufpassen, wir müssen unterscheiden: Im Zweifel hat der Krypto-Trojaner einfach einen ganz normalen Windows-Rechner verschlüsselt. Da gibt es keine Unterschiede zu anderen Cyberangriffen.

In der Unterscheidung kann man aber sagen, dass Krankenhäuser Tausende verschiedene Geräte haben, die alle mit ins Netz hinein müssen. An denen darf ich auch nicht einfach mal so schnell eine aktuelle Version einspielen. Stellen Sie sich das jetzt bei einem Röntgengerät vor, da wollen Sie das nicht haben, mit einem falsch eingespielten Update haben Sie dann vielleicht aus Versehen eine zu hohe Dosis übertragen.

Das heißt, es ist viel komplexer, immer ein aktuelles System zu haben und dann habe ich auch noch Tausende verschiedene Systeme. Ein furchtbarer Wildwuchs im Verhältnis zu einem normalen Unternehmen mit ein paar Computern.

Wie können die Krankenhäuser sich dennoch schützen, trotz der Komplexität?

Im ersten Schritt ist es eine Frage des Geldes. Da gibt es Gesetze, das Krankenhauszukunftsgesetz sagt, 15 Prozent des Budgets für Digitalisierung muss in Sicherheit liegen. Das war früher viel weniger und ist teilweise immer noch zu wenig. Ich kann mir also gar nicht die besten Systeme leisten.

Der Johannesstift hat sehr viel investiert. Auf der anderen Seite ist das große Problem der Fachkräftemangel, es ist fast unmöglich, am Markt Cybersecurity-Experten zu bekommen. Und dann noch schwieriger, das die sich für öffentliche Institutionen entscheiden, weil die weniger zahlen können als jemand in der Privatwirtschaft. Wir haben, das ist der zentrale Faktor in ganz Deutschland, zu wenig Personal.

Stellen Sie sich das jetzt bei einem Röntgengerät vor, da wollen Sie kein falsch eingespieltes Update haben und dann vielleicht aus Versehen eine zu hohe Radio-Dosis übertragen.

Timo Kob, Cybersicherheitsexperte

Fehlendes Personal ist das eine. Aber wenn Unternehmen mit Kosten argumentieren: Kostet sie der Angriff am Ende nicht mehr als die Prävention?

Definitiv. Wir machen als Unternehmen den Sanitäter-Dienst eines gehackten Systems. Es ist nicht lustig, wenn man dann neben einem Geschäftsführer eines Traditionshauses steht, das über sechs Generationen aufgebaut wurde und durch einen Cyberangriff ist dieses gesamte Unternehmen einfach mal ausradiert. Wer heute noch sagt, ich gebe das Geld lieber nicht aus und spare, der hat irgendwas noch nicht mitbekommen, weil es einfach existenzbedrohend ist.

Wie sollte sich ein Krankenhaus, ein Unternehmen, verhalten, wenn es Opfer eines Cyberangriffs geworden ist?

Eine generell wichtige Botschaft ist: Wenn ich einen Fehler gemacht habe, muss ich bereit sein, darüber zu reden, auch das BSI (Bundesministerium für Sicherheit in der Informationstechnik, Anm. d. Red.) und die Polizei zu informieren. Früher haben die Leute gesagt, ich versuch das mal zu verheimlichen. Da war immer die Aussage: Wenn mir das passiert, dann war ich wohl schuld. Das ist aber eine Täter-Opfer-Umkehr.

Das Johannesstift hat schon einiges getan, das klingt gar nicht so schlecht. Aber natürlich, wenn man den Fall noch nie hatte, sich nicht explizit darauf vorbereitet hat, dann wird es nicht perfekt laufen. Das ist aber nichts Krankenhausspezifisches.

Braucht es strengere Gesetze, damit die Unternehmen wirklich auch erste Maßnahmen ergreifen?

Es gibt ja jetzt eine neue Gesetzgebung, die sogenannte NIS2-Umsetzung (eine EU-Richtlinie, Anm. d. Red.), die dafür sorgt, dass man bestimmte Vorsorge gemacht haben muss für alle kritischen Infrastrukturen, für Krankenhäuser, aber eben auch Energieversorger et cetera.

Unschön ist, dass wir als Deutschland da schon Verzug haben, denn es sollte eigentlich in zwei Tagen eingeführt werden. Darüber reden wir aber seit anderthalb Jahren, das werden wir schon mal nicht schaffen, gegebenenfalls. Jetzt ist angesagt worden, dass es bis März funktioniert. Auch das ist nicht sicher - wenn jetzt irgendetwas in der Bundespolitik passiert, die Koalition zerbricht oder was auch immer und es noch mehr zum Verzug kommt, dann werden wir wahrschenilich noch ein Jahr verlieren, bis dieses Gesetz überhaupt in Kraft tritt.

Vielen Dank für das Gespräch!

Das Interview führte Jenny Barke.

Sendung: rbb24 Inforadio, 16.10.2024, 15 Uhr

3 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 3.

    Stimmt @Andreas, manchmal ist die Akte weg, ist aber meist egal. Wird ein Patient aus dem Krankenhaus entlassen, wurde früher eine Kurzmitteilung (Zettel) für den niedergelassenen Arzt per Hand ausgefüllt damit die Behandlung ohne Zeitverzögerung weitergeht. Selten gab es Rücksprache per analoges Telefon. Der offizielle Entlassungsbericht ist seitenlang und enthält alle Einzelheiten. Da wirft der niedergelassene Arzt kaum einen Blick drauf, die Zeit alles zu lesen hat er nicht. Erst beim Rechtsstreit kramt man die Akte wieder vor. Sie sehen, ich hatte mal Verantwortung für die Abläufe und Sie sehen, das liegt lange zurück. Absolut sicher ist nichts, man hat schon Patientenakten auf der Müllkippe gefunden. Aber selbst das Risiko ist im Vergleich klein, wenn alles im Computer steht und irgendwo steht ein Hintertürchen (Backdoor) offen; alle Akten weltweit vernetzt offen für alle, die Schlupflöcher gefunden haben.

  2. 2.

    „ An den dummen Zettel kommen Kriminelle aus China, Russland und dem Rest der Welt nicht ran.“
    Der ist sogar noch sicherer…. An den Zettel kommt ein Mitarbeiter ran und sonst niemand. Sie kennen vielleicht noch die Aussage von früher „ oh die Akte ist gerade nicht da rufen sie morgen oder noch besser nächste Woche an“
    Sarkasmus off

  3. 1.

    Beides richtig; Sparen an Cybersicherheit ist existenzbedrohend, Cybersicherheit ist oft zu teuer. Dann geht eben vieles nicht, was wünschenswert wäre. Beim Schlagwort Digitalisierung ist viel zu viel Naivität und banale Unwissenheit dabei. Vorteile werden durch Aufwand und Sicherheitskosten wieder aufgefressen oder der Aufwand plus Kosten für Sicherheit ist sogar erheblich teurer als die Vorteile der Digitalisierung. Manchmal ist eine ganz dumme Strichliste auf Zettel besser als superteure, superschlaue Künstliche Intelligenz. Das www ist Tummelplatz für World Wide Hacker. An den dummen Zettel kommen Kriminelle aus China, Russland und dem Rest der Welt nicht ran.

Nächster Artikel