„Cyber-Sicherheit ist ein fortlaufender Prozess“
Cybergefahren, also die Bedrohung durch Ransomware-Angriffe, Datenschutzverletzungen oder IT-Ausfälle, sind derzeit weltweit die größte Sorge für Unternehmen weltweit und in Deutschland an zweiter Stelle. Überrascht Sie dieses Ergebnis?
Dr. Nicolas Krämer Das BKA hat Cyber-Risiken in Deutschland lange Zeit als zweitgrößte Gefahr direkt hinter dem islamistischen Terror eingestuft. Von daher überrascht mich das Ergebnis der Studie nicht. Dass das Risiko weltweit an erster Stelle rangiert und in Deutschland nur an zweiter Stelle liegt sicherlich auch daran, dass wir hier vor Ort recht früh damit angefangen haben, uns gegen Cyber-Risiken zu schützen.
Wie groß schätzen Sie das Risiko ein?
Dr. Nicolas Krämer Bereits 2015 war bekannt, dass das Risiko für Unternehmen, Opfer eines schweren Cyber-Angriffs zu werden, bei etwa 50 % liegt. Mit Corona hat die Digitalisierung einen zusätzlichen Schub erfahren, von jetzt auf gleich sind flächendeckend Videokonferenzsysteme eingeführt worden. Überall wurden die Chancen der Digitalisierung gesehen, die Risiken und Nebenwirkungen aber ignoriert. Dabei sind gerade jene Videokonferenzsysteme ein Einfallstor für Cyber-Kriminelle.
Sie sind 2016 selbst in Ihrer damaligen Funktion als Klinikgeschäftsführer des Lukas-Krankenhauses Opfer eines solchen Angriffs geworden. Hat die Branche aus diesem Vorfall gelernt?
Dr. Nicolas Krämer Seit dem ersten großen Cyber-Angriff 2015 auf den Deutschen Bundestag spielt das Thema natürlich medial eine größere Rolle. Sicherlich auch durch Romane wie „Blackout“ von Marc Elsberg, der gerade mit Moritz Bleibtreu in der Hauptrolle verfilmt worden ist. Das hat schon mehr Aufmerksamkeit geschaffen. Man sieht das auch daran, dass Versicherungen mehr Cyber-Policen verkaufen. Insofern kann man sagen: Ja, seit 2016 ist das Thema Cyber-Angriffe, bzw. hybride Kriegsführung in den Fokus der Medien und damit auch der Unternehmen geraten. Das bedeutet aber nicht, dass dem Thema die erforderliche Beachtung geschenkt wird, um Cyber-Risiken adäquat zu begegnen. Da muss noch viel getan werden.
Zitate vom World Credit Congress in Dublin
“Aus meiner Sicht war der Kongress ein voller Erfolg. Nach der langen digitalen Phase war diese Live-Veranstaltung wichtig für die Vernetzung und den Erfahrungsaustausch und natürlich für die Geschäftsanbahnung. Hochwertige Vorträge – mit den dazugehörigen Fragen – kommen auch nur in Live-Sessions mit Gleichgesinnten aus aller Welt zustande.” — Daniel Klinke, Credit Manager Klasmann-Deilmann
“Es war nicht nur spannend, die neuen Aryza-Kollegen kennenzulernen. Der Kongress war eine tolle Gelegenheit, die neuesten Trends in den Bereichen Digitalisierung und Automatisierung zu erhalten und Kontakte zu potenziellen Partnern zu knüpfen. Besonders schön war es natürlich, dass der Kongress in Dublin, der Heimat von Aryza, stattfand.” — Regine Hilgers, Product Owner Credit Management
“Credit Management ist ein Prozess, der ein integraler und wesentlicher Bestandteil des gesamten finanziellen Ökosystems und einer gesunden Wirtschaft ist. Deshalb ist es so wichtig, einen umfassenden Ansatz für dieses Thema zu haben, um die Herausforderungen zu verstehen, die der Zustand der heutigen Welt und der europäischen Wirtschaft mit sich bringt. Nur durch gemeinsames, strategisches Handeln wird es uns gelingen, die bevorstehende Krise ohne Ausschläge zu überstehen. Der diesjährige Word Credit Congress hat gezeigt, wie sehr die Teilnehmer den Markt kennen und wie sehr sie bereit sind zu handeln. Die Möglichkeit, sich auszutauschen und verschiedene Perspektiven kennenzulernen, ist immer eine belebende Erfahrung, die jedem Unternehmen neue Horizonte eröffnet.” — Adv. Michał Rączkowski, geschäftsführender Gesellschafter von RK Legal
“Der World Credit Congress war eine sehr gut organisierte Veranstaltung mit guten Rednern und vielen Themen. Wir hatten viele Gelegenheiten, Kontakte zu internationalen Geschäftspartnern zu knüpfen. Außerdem war es großartig, als Teil der Aryza Gruppe vor Ort zu sein und gemeinsam mit neuen und alten Kollegen unser Unternehmen zu repräsentieren.” — Manuel Friedrich, Teamleiter Sales Corporates DACH
Sind in dieser Zeit nicht auch die Tricks und Instrumente der Hacker überproportional smarter und damit gefährlicher geworden?
Dr. Nicolas Krämer Abwehrsysteme sind natürlich immer eine Reaktion auf bekannte Angriffsmuster. In der Regel sind die Hacker immer einen Schritt voraus. Es reicht nicht, 2016 neue Computer zu kaufen, um 2022 sagen zu können: Wir sind digital auf dem neuesten Stand. Das ist ein fortlaufender Prozess, in den immer wieder investiert und Schulungsaufwand gesteckt werden muss.
Sie sensibilisieren für dieses Thema seit vielen Jahren und haben Vorträge in großen Unternehmen und Beratungsgesellschaften gehalten. Lassen sich die Erkenntnisse auf andere Branchen übertragen, bzw. welche Branchen sind besonders gefährdet?
Dr. Nicolas Krämer Das Gesundheitswesen ist schon besonders gefährdet. Das hat zwei Ursachen: Mit Gesundheitsdaten kann man im Darknet das meiste Geld verdienen: Für einen Patientendatensatz werden im Darknet in der Regel 70 Euro bezahlt. Man kann sich ausmalen, welche Summen mit Massendaten in diesem Bereich verdient werden können. Zweitens werden Investitionen auch für IT-Sicherheit in Krankenhäusern häufig von den Bundesländern getätigt. Die öffentlichen Kassen sind allerdings leer und viele Gesundheitseinrichtungen geben ihr Geld lieber für Medizintechnik als IT-Sicherheit aus. Das hat zur Folge, dass die technischen Systeme oft schlecht ausgestattet sind und Krankenhäuser dementsprechend schlecht geschützt. Hinzu kommt ein weiteres Problem. Im Krankenhaus, zum Beispiel in der Notaufnahme, greifen oft mehrere Personen auf einen Stationsrechner zu. Kriminelle können sich leichter Zugriff verschaffen, als zum Beispiel auf den Rechner in einem Bürogebäude.
Das Gesundheitswesen schneidet im Bereich Digitalisierung ja ohnehin traditionell sehr schlecht ab …
Dr. Nicolas Krämer In der Tat, im Digital Health Index der Bertelsmann Stiftung steht Deutschland, eine führende Industrienation, die noch vor wenigen Jahren behauptet hat, das beste Gesundheitswesen der Welt zu haben, auf dem vorletzten, nämlich 16. Platz. Zum Vergleich: Niederländische Krankenhäuser liegen beim Digitalisierungsgrad ganz weit vorne.
Welche Vorsichtsmaßnahmen sollten Unternehmen bereits im Vorfeld treffen, um Cyber-Attacken abzuwehren?
Dr. Nicolas Krämer Es geht immer um zwei Dinge: 1. die technische Infrastruktur und 2. den Faktor Mensch. Technisch lässt sich zum Beispiel ein sogenanntes Sandbox-System implementieren. Das ist ein virtueller Sandkasten, in dem verdächtige E-Mail-Anhänge geprüft und bei Bedarf entschärft werden. Auch Virenscanner oder Netzwerk-Segmentierungen können die Gefahren eindämmen, Unternehmen können sich nach ISO 27001 zertifizieren lassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Krankenhäusern einen sogenannten „Basisschutz“ an. Das klingt erst mal nach dem Standardprogramm bei der Autowäsche, ist es aber nicht. Der Basisschutz beinhaltet einen Katalog mit über 1000 Kriterien, die erfüllt sein müssen. Und ich kenne, Stand heute, kein einziges Krankenhaus, das diesen Basisschutz vollumfänglich erfüllt. Es gibt einzelne Kliniken, die für ihre IT-Abteilung diesen Basisschutz erworben und eingeführt haben. Das ist also nicht trivial, aber erstrebenswert.
… und der Faktor Mensch?
Dr. Nicolas Krämer In meinen Vorträgen sage ich immer: Investieren Sie nicht nur 10.000 Euro in eine neue Firewall, sondern auch noch 100.000 Euro in jemanden, der diese adäquat bedient. Regelmäßige Mitarbeiter:innen-Schulungen sind hier auch ganz wesentlich. Man kann online kurze Tests für einen „IT-Führerschein“ anbieten. Wenn jemand dreimal durch diesen Test fällt, wird er als Konsequenz zum Beispiel nicht mehr für die Internetnutzung zugelassen. Eine weitere Möglichkeit sind sogenannte Pentests durch White-Hat-Hacker, also ethische Hacker, die Unternehmen engagieren können, um Schwachstellen aufzudecken. Auch das Thema Awareness ist ganz wichtig. Dass das Führungsteam oder die IT in Rundmails zum Beispiel darüber informiert, dass in E-Mail-Anhängen keine Makros aktiviert werden dürfen. Bruce Shyer, der berühmte IT-Sicherheitsexperte, hat einmal gesagt: Amateure hacken Systeme, Profis hacken Menschen.
Zum Beispiel?
Dr. Nicolas Krämer Profi-Hacker geben sich als Experten der IT-Hotline eines Unternehmens aus und versuchen in hektischen Situationen an die Passwörter von Mitarbeiter:innen zu gelangen. Das Hasso-Plattner Institut und der Branchenverband Bitkom veröffentlichen jedes Jahr die Top-10-Liste der häufigsten Kennwörter im deutschsprachigen Internet. Was glauben Sie, ist das häufigste Passwort?
1234?
Dr. Nicolas Krämer Das kommt erst an zweiter Stelle, das häufigste Passwort ist „Passwort“. Das dritthäufigste Passwort – das immerhin Zahlen und Buchstaben kombiniert – hat mit Fußball zu tun: „Schalke04“. Es ist dementsprechend wichtig, gute Passwörter zu verwenden, die Buchstaben in Groß- und Kleinschreibung verwenden, Zahlen und Sonderzeichen. Damit wird es für Hacker in der Regel unmöglich, diese herauszufinden. Selbst dann, wenn Hacker Algorithmen verwenden, um Kennwörter zu knacken. Doch selbst diese Minimalanforderungen werden in viel zu vielen Einrichtungen nicht beherzigt.
Gehen wir davon aus, eine Krisis ist bereits eingetreten: Welche Schritte müssen eingeleitet, welche Stakeholder informiert werden?
Dr. Nicolas Krämer Zwei Dinge sollten in jedem Fall im Vorfeld berücksichtigt werden: 1. Unternehmen müssen einen Notfallplan erstellen; 2. die Systemarchitektur sollte nach alter Väter Sitte mit Papier und Bleistift aufgeschrieben und abgeheftet sein. Wenn die IT Systeme eines Unternehmens heruntergefahren werden müssen, hat man in der Regel keinen Zugriff mehr darauf. Also noch mal: Alles ausdrucken und abheften! Optimalerweise hat man das Notfallszenario schon einmal durchgespielt. Das BSI unterstützt übrigens an dieser Stelle.
Als sie den Cyber-Angriff dem Lukas-Krankenhaus managen mussten, lief die Klinik auch lange mit Stift und Papier …
Dr. Nicolas Krämer Viele Krankenhäuser haben Prozesse, die einen gewissen Technologiesierungsgrad aufweisen, diese Prozesse zu verändern, ist kompliziert. Wenn es vom Automatik- in den Handbetrieb umgeschaltet wird, dann ändern sich Prozesse. Da ist es wichtig, einen Krisenstab zu haben, in dem jeder seine Aufgabe hat: der eine koordiniert das LKA, der nächste ist für den Dialog mit den IT-Sicherheitsexpert:innen zuständig, um den Angriffsvektor zu identifizieren, wieder ein anderer ist für die Kommunikation gegenüber Ärzten, Angehörigen oder der Öffentlichkeit zuständig. Es ist außerdem wichtig, dass alle im Krisenstab ein einheitliches Bild der Lage haben. Idealerweise ist ein Ausfallkonzept für den Fall vorhanden, falls kein Zugriff mehr auf führende Systeme wie das Krankenhausinformationssystem möglich ist. Man muss sich vor Augen führen: Ärzte haben heutzutage ca. vier Stunden täglich mit Dokumentation zu tun, die in der Regel an einem Computer stattfindet. Wenn diese Computer nicht funktionieren und mit Papier und Bleistift dokumentiert werden muss, dann sind Standards und Zuständigkeiten Gold wert.
Ist es bei einem Cyber-Angriff immer sinnvoll, an die Öffentlichkeit zu gehen?
Dr. Nicolas Krämer Ein Austausch ist absolut wichtig. Bereits 2018 hat die Roland Berger-Krankenhausstudie ans Licht gebracht, dass bereits 68 % aller Krankenhäuser in Deutschland einen schweren Cyber-Angriff überstanden hat. In den Medien haben davon vielleicht 20 oder 30 stattgefunden. Nur wenn man transparent über Eingriffe gesprochen wird, kann es gelingen, diesen perfiden Hackern den das Handwerk zu legen. Die Dunkelziffer ist viel größer, als man ahnt. Die Kommunikation muss nicht immer über die Presse laufen, sondern kann zum Beispiel auch auf Fachveranstaltungen erfolgen.
Kann Cloud-Technologie in diesem Bereich für mehr Sicherheit sorgen?
Dr. Nicolas Krämer Cloud-Technologie kommt in der Tat immer mehr in Deutschland. Seit Herbst 2020 gibt es das Krankenhauszukunftsgesetz, das den Häusern 4,3 Milliarden Euro (3 Milliarden vom Bund, 1,3 Milliarden von den Bundesländern) für mehr Digitalisierung zur Verfügung stellt. 15 % dieses Geldes muss in Maßnahmen zur IT-Sicherheit fließen. Cloud-Lösungen sind in diesem Kontext immer mehr im Kommen und wertvoll. Allerdings scheint in Deutschland die Patientendaten-Sicherheit einen größeren Stellenwert zu haben, als die Patienten-Sicherheit. Das haben wir am Beispiel der Corona-Warnapp der Bundesregierung gesehen, die in Summe über 130 Millionen Euro verschlungen hat, für das eigentliche Ziel, nämlich die Infektionsketten zu unterbrechen, aber leider absolut nutzlos geblieben ist. Ich bin der Letzte, der gegen Datenschutz ist, hier gilt es jedoch dringend in Zukunft einen Mittelweg zu finden.
Ein Fazit, wird insgesamt genug getan?
Dr. Nicolas Krämer In Deutschland werden alle Krankenhäuser, die mehr als 30.000 Fälle im Jahr behandeln, der kritischen Infrastruktur zugerechnet. Für diese Einrichtungen gelten besonders strenge Regelungen und Mindestanforderungen, auch an die IT-Sicherheit. Für Krankenhäuser, die darunter liegen, gelten diese Regelungen nicht und dort herrscht oftmals noch eine abwartende Haltung vor, was die Sicherheit angeht. Hier gibt es Verbesserungspotenzial. Ich rate zudem dringend, eine entsprechende Versicherung abzuschließen, die zumindest das finanzielle Risiko eingedämmt. Um das Ganze in Relation zu setzen: Für den Goldhamster meiner 8-jährigen Tochter habe ich eine Haftpflichtversicherung für den unwahrscheinlichen Fall abgeschlossen, dass er auf die Straße läuft und eine Massenkarambolage auslöst. Die Eintrittswahrscheinlichkeit ist sehr gering, wenn überhaupt im Promillebereich. Die Eintrittswahrscheinlichkeit eines Cyber-Angriffs liegt hingegen bei über 50 %. Das ist ein real existierendes Risiko.