Vom Offline-Backup zum Krisentraining: Wie das Spital Schwyz seine IT sichert

17. Juni 2022, 09:40
  • security
  • cio
  • Spital Schwyz
  • gesundheitsbranche
image
Im Spital Schwyz wurden 2020 knapp 6700 Patientinnen und Patienten behandelt. Foto: @ BSS Architekten

Ransomware-Banden nehmen das Schweizer Gesundheitswesen ins Visier. Im Gespräch erklärt der IT-Leiter des Spitals, wie er mit der zunehmenden Bedrohung umgeht.

Im April 2021 erhielten die Beschäftigten des Spitals Schwyz eine Mail, das scheinbar von der Spitaldirektorin veranlasst worden war. Jeder 5. Mitarbeitende klickte den Link an, der in der Nachricht enthalten war. Was sie nicht wussten: Absender war die hausinterne Informatikabteilung, die testen wollte, wie einfach Angreifer mit Phishing-Mails in die hauseigenen Systeme eindringen können. Das Resultat zeigt: Die Beschäftigten sind ein effizienter Angriffsvektor.
"Das hat uns in der Einsicht bestärkt, dass Awareness zwar wichtig ist, dass wir aber vor allem unsere Systeme härten müssen", sagt Marcel Schönbächler im Gespräch mit inside-it.ch. Der Wirtschaftsinformatiker ist seit Anfang 2021 Informatik-Leiter des Spitals. Mit seinem 10-köpfigen Team ist er nicht nur für den Betrieb, sondern auch für die Cybersicherheit der Gesundheitseinrichtung mit ihren rund 700 Beschäftigten verantwortlich.
image
Marcel Schönbächler stiess im Januar 2021 von der AWK Group zum Spital Schwyz.
Der CIO hatte einiges nachzuholen: Erst im Mai 2022 wurde ein neues Offline-Backup in Betrieb genommen. Man habe mittlerweile aber nicht nur die Schadensbegrenzung mit einer guten Datensicherung verbessert, sondern auch die Eintrittsmöglichkeiten für Kriminelle beschränkt, betont Schönbächler. So wurde mit Geoblocking der Zugang zu den ans Internet angeschlossenen Geräten auf die Schweiz und ausgewählte Länder begrenzt. Schliesslich sind Server bei Zero-Day-Exploits lohnende Ziele für Banden, die oftmals von Russland, China und anderen Staaten aus die Systeme scannen.

Hauptsorge: Ransomware

Zwar könne die Beschränkung mit einem VPN umgangen werden, räumt Schönbächler ein, damit errichte man aber immerhin eine weitere Hürde für Kriminelle. "Bei unseren Überlegungen standen Ransomware-Angriffe im Zentrum", ergänzt er. Die Lageentwicklung gibt ihm recht. Die Erpresserbande Lockbit 2.0 nimmt derzeit vermehrt Spitäler und Arztpraxen ins Visier. Seit März hat allein die berüchtigte Bande vier Institutionen aus dem Schweizer Gesundheitswesen gehackt.
Pascal Lamia, der operative Leiter des Nationalen Zentrums für Cybersicherheit (NCSC) monierte kürzlich im Interview mit inside-it.ch, dass es im Sektor Nachholbedarf gebe. "Hier arbeitet man mit besonders sensiblen Daten, da kann ein Vorfall gravierende Folgen haben", so Lamia. Was droht, wenn die Systeme ausfallen, zeigte sich im letzten Sommer besonders dramatisch: Nach einem grossangelegten Ransomware-Angriff kämpfte die irische Gesundheitsbehörde HSE über Wochen für die Normalisierung der medizinischen Versorgung.
Fallen das Klinikinformationssystem (KIS) und das Archiv mit den medizinischen Berichten aus, ist der finanzielle Schaden immens, auch wenn nicht alle Dienstleistungen wegbrechen würden. Bei einem Vorfall stehe immer die Sicherstellung der Patientensicherheit im Vordergrund, betont Schönbächler. Wenn die Dokumentation aber wieder analog gemacht werden muss, ist auch die Kodierung und danach die Fakturierung eingeschränkt.

Das Sicherheitsdispositiv

Nun wurde in seinem Spital für etwas weniger als eine Viertelmillion ein neues Offline-Backup von Dell Technologies implementiert, das rund 40 Terabyte an Daten beherbergen kann und physisch vom System getrennt ist. "Wir haben den Vertrag im letzten Oktober unterzeichnet, im Mai konnten wir das System in Betrieb nehmen", so Schönbächler. Die Verbindung zum IT-System könne man nach eigenem Zeitplan bestimmen. Das Backup wird dann überspielt, Angreifer sollen damit aber vom Zugriff ausgeschlossen werden. Manches Opfer von Ransomware-Banden stand schon vor einem verschlüsselten Backup und damit vor einem Scherbenhaufen.
Doch gegen die Entwendung von sensiblen Patientendaten hilft auch ein Backup nichts. Was gegen dieses Problem unternommen wird, sowie Fragen zu Details des Sicherheitsdispositivs beantwortet Schönbächler zurückhaltend. Das ist verständlich: Technische Angaben helfen Angreifern, die gerne auch zu ihren Opfern recherchieren.
Was der IT-Leiter aber sagt: In Schwyz setzt man auch auf ein Security Operation Center (SOC) von Infoguard. Der Security-Dienstleister scannt unter anderem das Spital regelmässig auf Lücken. "Denn auch die Kriminellen scannen uns standardmässig", erklärt Schönbächler und lobt dabei das Nationale Zentrum für Cybersicherheit: Dessen Informationen seien zentral, um Löcher zu stopfen. Erst kürzlich wurde im Spital Schwyz der Zugang zu Onedrive gesperrt, weil das NCSC gewarnt hatte, es würden Onedrive-Links per Mail versendet, welche auf bösartige Dateien zeigen.
Trotz aller Härtungsmassnahmen will man in Schwyz weiter in die Awareness investieren und auch eine Cyberversicherung wurde vor einigen Jahren abgeschlossen. "Wir beobachten die dynamische Entwicklung der Ransomware-Banden weiter und versuchen auf dem aktuellen Stand zu bleiben", sagt Schönbächler. Diese haben allerdings immense Summen im hochlukrativen Markt und entwickeln sich rasch. Da dürfte es auch von Vorteil sein, dass man in Schwyz Krisentrainings durchführt und derzeit den bestehenden Notfallplan für den Ernstfall ausbaut.

Loading

Mehr zum Thema

image

Ex-Digitalchef des BAG heuert bei Berner Fachhochschule an

Die BFH will mit Sang-Il Kim ihre digitalen Kompetenzen stärken: Auch Gert Krummrey von der Insel Gruppe stösst zum Medizininformatik-Bereich der Fachhochschule.

publiziert am 12.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022