GA-Serie Tatort Internet: Angriff auf Leib und Leben

GA-Serie Tatort Internet : Angriff auf Leib und Leben

Wie Kriminelle im Internet die Sicherheit von medizinischen Geräten bedrohen.

„Ich fuhr mit 110 Stundenkilometern am Rande der Zentrums von St. Louis als die Übernahme begann“ – so beginnt der Bericht des amerikanischen Journalisten Adam Greenberg über einen Selbstversuch, dessen Ausgang nicht schauriger hätte sein können.

Was war passiert? Greenberg war auf dem Highway in einem Jeep Cherokee unterwegs, als sich plötzlich die Klimaanlage einschaltete. Wie von Geisterhand wechselte der Radiosender. Greenberg versuchte die Musik, die jetzt in voller Lautstärke aus den Boxen dröhnte, abzustellen, doch als er den Knopf betätigte, passierte nichts. Gemeinsam mit zwei IT-Spezialisten wollte Greenberg die Gefahr einer Sicherheitslücke im Bordsystem des Cherokee hinweisen. Sie ermöglichte es den Hackern, den Wagen vom Sofa zu Hause vollständig zu steuern. Nicht nur gelang es ihnen, den Motor absaufen zulassen, sie konnten ihn auch wieder anlassen, den Wagen abrupt abbremsen oder das Bremsen unmöglich machen.

Ist von Cyberkriminalität die Rede, denkt man meist an Gefahren wie Betrugsmaschen, Datenklau, Industriespionage. Dass eine Online-Attacke aber auch zu einer Bedrohung für Gesundheit und sogar Leben werden kann, klingt noch immer nach düsterer Science-Fiction. Dabei hat die Gegenwart die Zukunftsvision bereits eingeholt. Vernetzte Technik hat längst den Weg in das Innerste unserer Privatsphäre gefunden. Sie soll unser Leben sicherer und bequemer machen (selbstfahrende Autos) und Tätigkeiten im Haushalt vereinfachen (Smart Home). Gleichzeitig rücken die Risiken näher. Im Auftrag des Technologiekonzerns IBM haben Forscher Sicherheitslücken in vernetzten Gebäudesystem gesucht – sie wurden fündig. Bei einem realen Angriff könnten Kriminelle beispielsweise die Steuerung der Fahrstühle oder die Stromversorgung empfindlich manipulieren, teilte IBM im Februar mit.

Etwa zur gleichen Zeit legte eine Cyber-Attacke das IT-System des Lukaskrankenhauses in Neuss lahm. Tagelang mussten Ärzte und Angestellte auf Zettel und Stift zurückgreifen. Die Versorgung der Patienten sei zwar zu keinem Zeitpunkt gefährdet gewesen, teilte die Klinik mit, dennoch mussten geplante Operationen abgesagt werden. „Der Angriff erfolgte offenbar über den Mailserver“, so Ulla Dahmen, Sprecherin des Lukaskrankenhauses. „Um Risiken auszuschließen, haben wir das gesamte System heruntergefahren.“ Auch andere Krankenhäuser in Deutschland wurden angegriffen, wenn auch mit weniger schlimmen Folgen. Allein im Zeitraum von Juli 2015 bis zum Februar zählte das Landeskriminalamt (LKA) sechs Fälle, bei denen Krankenhäuser in Nordrhein-Westfalen von Cyberangriffen betroffen waren.

Nicht selten sind es Erpresser-Trojaner, sogenannte Ransomware, mit denen Kriminelle die Festplatten fremder Rechner verschlüsseln, um anschließend Geld für die Freigabe zu verlangen. So berichteten Medien von einem Krankenhaus in Los Angeles, das Lösegeld im Wert von 15 000 Euro bezahlt haben soll, um die Kontrolle über ihr IT-System zurückzuerlangen. Auch im Fall des Lukaskrankenhauses soll der Angriff mit Ransomware erfolgt sein. Nach Einschätzung des Bundesverbandes der Krankenhaus-IT-Leiter sei in den jüngsten Fällen nur „die Spitze des Eisbergs zu sehen“. Auch das LKA teilt auf Nachfrage des General-Anzeigers mit: „Nicht alle Fälle von Cybercrime werden der Polizei angezeigt“. Dass in einem Fall Patienten zu Schaden kamen, ist bislang nicht bekannt.

Das könnte allerdings auch anders laufen, wie IT-Sicherheitsexperte Florian Grunow von der Firma ERNW im vergangenen Jahr demonstriert hat. Im Auftrag eines Krankenhauses in Süddeutschland prüfte er die Sicherheit des Netzwerks mit erschreckendem Ergebnis. „Wir konnten zum Beispiel ein Narkosegerät komplett fernsteuern und es während einer simulierten Beatmung herunterfahren“, erklärte Grunow.

Dass Kriminelle eine derartige Schwachstelle für einen gezielten Anschlag nutzen könnten, liegt nahe. In den USA ist es Experten bereits gelungen, Insulinpumpen anzugreifen und deren Abgabemenge zu manipulieren. „Fortschreitende Vernetzung bietet viele Vorteile, aber sie hat auch eine Kehrseite: Die Risiken bezogen auf die Anwendung steigen“, sagt Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik mit Sitz in Bonn. Einen ersten Schritt, um Gefahren einzudämmen habe die Bundesregierung mit dem 2015 in Kraft getretenen IT-Sicherheitsgesetz unternommen, so Gärtner. Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, wie etwa die Energieversorgung oder Krankenhäuser sollen künftig einen Mindeststandard an IT-Sicherheit einhalten Sicherheitsvorfälle an das BSI melden. Ebenso wichtig wie politische Rahmensetzung sei es, dass Einrichtungen und Unternehmen selbst Gefahren ernst nehmen, meint Florian Grunow. „Die Schwachstellen liegen meist schon in den „Basics“, etwa schlecht geschützte Passwörter. Grunow und Gärtner sind sich einig: Zwischenfälle wie im Neusser Lukaskrankenhaus werden sich in Zukunft häufen.

Teil 4: In der nächsten Woche geht es um Versicherer, die von Cyberkriminalität profitieren, denn immer mehr Unternehmen wollen sich gegen Schäden absichern.