Bildquelle: UKM
News • IT-Sicherheit im Härtetest
Simulierte Cyberattacke deckt Schwachstellen in Kliniken auf
Dass Cyberattacken in Kliniken zu großen Schäden führen, hat unter anderem der groß angelegte Ransomware-Angriff auf die Universitätsklinik Düsseldorf im Herbst 2020 gezeigt.
Tagelang wurde dort die kritische Krankenhaus-Infrastruktur lahmgelegt. Strategisch setzen Hacker bei ihren Angriffen unter anderem auch auf menschliche Fehleinschätzungen des Personals. Mit der Verhaltensreaktion von Krankenhausmitarbeitenden bei einem simulierten Ernstfall beschäftigt sich eine kürzlich im Wissenschaftsjournal Scientific Reports veröffentlichte kooperative Promotionsstudie zur Sicherheit vernetzter Medizingeräte im intensivmedizinischen Umfeld.
Für die Studie hatten Markus Willing und Christian Dresen als Doktoranden des vom Land NRW geförderten Forschungsteams MediSec.nerd.NRW, in dem Experten der Medizinischen Fakultät der Westfälischen Wilhelms-Universität (WWU), der FH Münster und der Ruhr-Universität Bochum (RUB) im Forschungstandem gemeinsam agieren, 20 Intensiv-Pflegekräfte des UKM (Universitätsklinikum Münster) einer Sicherheitsvorfallsimulation ausgesetzt. Im UKM Trainingszentrum wurde mit hohem Realitätsgrad eine Situation nachgestellt, in der diese Pflegenden, die alle jahrelange Berufserfahrung gesammelt hatten, Teile einer Nachtschicht auf einer Intermediate Care-Station (IMC) durchliefen. Im Setting betreuten die Teilnehmenden dort zusammen mit einem Kollegen sechs Patienten mit vollkommen unterschiedlichen Diagnosen - allesamt waren Laiendarsteller des Studienhospitals Münster der Medizinischen Fakultät.
In der Simulation eines Hackerangriffs auf die Medizingerätetechnik signalisierten nach und nach alle Vitalmonitore einen kritisch zu niedrigen Blutdruck, klinisch blieben die sechs Patienten dabei jedoch vollkommen unauffällig. Am Ende erkannten 12 der 20 Probanden das falsche Verhalten der Monitore, es kam allerdings auch zu kontraproduktiven Verhaltensweisen, die im Ernstfall das Leben der Patienten gefährdet hätten. „Es zeigten sich große Unterschiede in der Reaktion der Probanden. Viele Pflegende vermuteten im Verlauf der simulierten Attacke zwar eine gezielte Manipulation der Geräte, aber nicht alle konnten ihr Krisenverhalten sofort darauf abstimmen.“, sagt Willing, inzwischen Mitarbeiter des Security Operation Center (SOC) in der Stabstelle für Informationssicherheit und Business Continuity Management im Geschäftsbereich IT des UKM. „Trotzdem hat sich gezeigt, dass es teils lange dauerte, bis sich die Probanden von den am Monitor angezeigten Werten lösten und sich stattdessen darauf verließen, was Ihnen der Gesundheitszustand des Patienten und Ihre berufliche Expertise nahelegten.“
Insbesondere eine effektive Kommunikation mit den Kollegen und den Patienten erwies sich bei denjenigen, die die Krisensituation gut gemeistert haben, als Vorteil
Markus Willing
Die beiden Projektinitiatoren, Prof. Dr. Uwe Haverkamp (UKM) und Prof. Dr. Sebastian Schinzel (FH Münster), empfehlen hierzu eine Methode aus der Luftfahrt: So erörtert Sebastian Schinzel: „Fallen bei einem Flug die digitalen Instrumente aus, so sind Piloten angehalten unter die Wolken zu gehen und sich ihrer Flughöhe und Geschwindigkeit mittels Augenmaß und analogen Instrumenten zu versichern.“
Dass der Faktor Mensch bei Cyber-Angriffen auf Kliniken nicht zu unterschätzen ist, diese Erfahrung macht täglich auch Katja Kümmel, Leiterin des Geschäftsbereichs IT am UKM. Sie berichtet von täglich mehreren tausend Attacken aus dem Netz. Das reiche von Mitarbeitenden, die eine Phishing-Mail nicht richtig einschätzen, bis hin zu großen Attacken auf vulnerable IT-Sicherheitsstrukturen. „Obwohl Entscheidungen final vom medizinischen Fachpersonal getroffen werden, ist eine technisch unterstützte Entscheidungsfindung – wie im Fall der Sicherheitsvorfallsimulation das Vitalmonitoring – medizinisch unerlässlich. Wenn ein System nicht verfügbar ist oder die Medizingerätetechnik von außen manipuliert wurde, könnte dies im schlimmsten Fall zu Schäden oder zum Tod von Patienten führen. Daher versuchen wir, alle Mitarbeitenden für die Gefahr von Cyber-Angriffen zu sensibilisieren.“
Laut Willing kann in Bezug auf Cyber-Sicherheitsfragen der einzelne Mitarbeitende je nach seiner individuellen Stressreaktanz „schwächstes Glied“, aber auch „einer der stärksten Faktoren in punkto Verteidigung gegen Attacken“ sein. „Insbesondere eine effektive Kommunikation mit den Kollegen und den Patienten erwies sich bei denjenigen, die die Krisensituation gut gemeistert haben, als Vorteil. Die Geräteanomalie konnte in all diesen Fallsimulationen schneller entdeckt und besser darauf reagiert werden“, berichtet er. In anschließenden Interviews im Rahmen der Promotion zeigten die Teilnehmenden eine deutliche Sensibilisierung für das Thema IT-Sicherheit und äußerten den Wunsch nach weiteren Schulungen in diesem Bereich.
Quelle: Universitätsklinikum Münster
03.11.2021