An seiner Jahresmedienkonferenz präsentierte das Universitätsspital Zürich (USZ) vor allem Finanz- und Patientenzahlen sowie Baupläne. Thema waren aber auch Cyberangriffe auf Gesundheitseinrichtungen und wie sich das Unispital besser dagegen schützen will. Wir haben dazu bei Franziska Fink detaillierter nachgefragt. Sie ist seit Juni 2021 Information Security Officer des USZ.

"Wie in allen Unternehmen sind Angriffsversuche von Cyberkriminellen zum Beispiel mittels Phishing E-Mails oder Scans gegen den Perimeter leider zur Tagesordnung geworden. Dies gilt auch für das USZ", hält sie fest. Bis anhin sei aber keiner dieser Versuche am Spital erfolgreich verlaufen.

Um dies auch in Zukunft aufrecht erhalten zu können, wurden am Unispital verschiedene Massnahmen aufgegleist. "Das USZ hat in den letzten Jahren, in Ergänzung zu den Sicherheitsexpertinnen und -experten der ICT, ein spezifisches Information Security Office aufgebaut", so Fink. Eine Aufgabe des Teams sei der Betrieb des Security Operations Centers (SOC) in Zusammenarbeit mit einem externen Dienstleister. Zudem arbeite das USZ eng mit dem Nationalen Zentrum für Cybersicherheit (NCSC) und weiteren Partnern zusammen.

Das Spital hat zudem ein eigenes technisches Abwehrsystem aufgebaut. "Hier handelt es sich um ein System für die systematische und zentrale Erkennung von Schwachstellen und Cyber-Vorfällen. Dieses besteht aus einem SIEM (Security Information & Event Management) und verschiedenen Sensoren, über welche auch die ins Netzwerk integrierten, medizinischen Geräte abdeckt werden", erklärt Fink.

Um die Cyberresilienz zu stärken, würden sich die Verantwortlichen für Informationssicherheit der Kantons- und Universitätsspitäler in der Schweiz auch regelmässig im Rahmen einer fixen Arbeitsgruppe sowie nach Bedarf austauschen. Zudem verfolge man genau, was zum Beispiel bei Ransomware-Angriffen im In- und Ausland passiere. Diese hatten zuletzt auch auf Gesundheitseinrichtungen zugenommen. Für Aufsehen sorgte etwa der Angriff auf die irische Gesundheitsbehörde HSE im Mai 2021.

Deshalb lege das USZ besonders Wert auf interne Schulungen aller Mitarbeitenden, so Fink. "Das USZ betreibt eine Information Security Awareness Plattform mit diversen Materialien. Zudem werden die Mitarbeiterinnen und Mitarbeiter beim Eintritt sowie im Rahmen von gezielten Veranstaltungen geschult." Auch würden regelmässig Awareness-Kampagnen und Phishing-Simulationen durchgeführt.

Ein weiterer, relativ neuer Bestandteil der Abwehrmassnahmen ist ein Bug-Bounty-Programm. Dieses wird zusammen mit Bug Bounty Switzerland betrieben. Erstmals wurde es 2020 im Rahmen des neuen Internetauftritts des USZ getestet und angewandt. "Gegen Ende 2021 wurde die technische und organisatorische Integration etabliert und so die Voraussetzungen für ein kontinuierliches Programm geschaffen. Dieses erlaubt es uns nun, das bereits sehr hohe Sicherheitslevel der ohnehin extern exponierten Systeme unter realen Bedingungen einer kontinuierlichen Prüfung zu unterziehen."

Die Methode "Bug Bounty" habe sich dabei als äusserst effektiv erwiesen, erklärt Franziska Fink. Die Belohnungen seien abhängig von der Schwere der gefundenen Lücke gemäss Common Vulnerability Scoring System (CVSS). "Marktüblich sind dabei Preise von einigen hundert bis von einigen tausend Franken."