Lösungen
Produkte
Informationen zu unseren Produkten, die Gesundheitsprofis entlang der gesamten Patient Journey unterstützen.
ARTIKEL
Erfahren Sie alles über die Vision, Mission sowie die Menschen, die die CompuGroup Medical weltweit prägen.
Cyberkriminelle nutzen immer häufiger Künstliche Intelligenz für Attacken auf IT-Systeme. Die digitale Sicherheitsbranche rüstet ihre Lösungen nach.
Es ist paradox: Die NIS-2-Richtlinie soll die Cybersicherheit in rund 4.000 österreichischen Unternehmen und Einrichtungen stärken, darunter alle Krankenhäuser. Obwohl offiziell noch nicht in Kraft getreten, arbeiten Österreichs Gesundheitseinrichtungen derzeit auf Hochtouren an der Umsetzung der in der Richtlinie geforderten Sicherheitsmaßnahmen. Doch das bindet in den IT-Abteilungen Ressourcen, die für die alltägliche Abwehr von Cyberangriffen dringend benötigt werden. Weil die Umsetzung der NIS-2-Richtlinie in Unternehmen und Einrichtungen zu einem erhöhten Personalbedarf geführt hat, ist auch der Arbeitsmarkt für IT-Experten wie leergefegt. Fachpersonal ist Mangelware. Auf diese Weise führt NIS-2 kurzfristig wohl zu einer Schwächung der Cybersicherheit in Österreich.
Wie alle anderen großen Unternehmen müssen sich auch Krankenhäuser gegen diverse Angriffe aus dem Internet schützen. Tagtäglich versuchen Hacker, die Firewall zu durchdringen und Schadsoftware in die Krankenhaus-IT einzuschleusen. Eine beliebte Methode dabei ist, einen Mitarbeiter dazu zu bringen, Zugangsdaten unter Vorspiegelung falscher Tatsachen oder unwissentlich preiszugeben. In jüngster Zeit haben die Kriminellen, die hinter diesen Angriffen stehen, neue Kanäle für ihre Machenschaften gefunden.
„Dass man bei E-Mails vorsichtig sein muss, weiß dank intensiver Schulungen mittlerweile jeder Mitarbeiter. Aber bei Chatprogrammen oder Videokonferenzprogrammen ist das Vertrauen oft blind“, weiß Rainer Kloimstein, Chief Information Security Officer (CISO) der Oberösterreichischen Gesundheitsholding (OÖG), die knapp 16.000 Mitarbeiter beschäftigt und sechs Kliniken betreibt.
Mithilfe von KI-Anwendungen lassen sich im Handumdrehen täuschend echt aussehende gefälschte Webseiten herstellen. KI-Anwendungen können den schriftlichen Ausdruck konkreter Personen perfekt imitieren und bekommen sogar die Stimme und den individuellen Sprechstil einer konkreten Person gut hin. Phishing und das sogenannte Social Engineering – sozusagen personalisiertes Phishing – werden dadurch sowohl einfacher durchzuführen als auch schwieriger zu entlarven. Die kriminellen Angreifer setzen KI auch ein, um nach bislang unentdeckten Schwachstellen in Programmen zu fahnden. Diese können dann genutzt werden, um unbemerkt ins System einzudringen.
Doch auch die Verteidiger bedienen sich mittlerweile der Künstlichen Intelligenz. Die OÖG setzt eine KI-basierte Anwendung ein, die unter anderem typische Verhaltensmuster von Schadsoftware aufspürt. Denn zunächst müssen sich die Angreifer ja ein Bild von dem System machen, in das sie eingedrungen sind. Das hinterlässt Spuren. Auch im Fall, dass Ransomware damit beginnen würde, die Daten des Systems zu verschlüsseln, würde die KI die damit verbundenen Aktivitätsmuster sofort erkennen und den Prozess stoppen.
„Es ist ein ungleicher Kampf“, sagt Kloimstein: „Die Verteidiger müssen unzählige Lücken stopfen, während die Angreifer nur eine einzige Lücke zu finden braucht.“
Sich in die Hacker hineinzuversetzen, das ist auch der Ansatz von Cyber Security Austria (CSA), einem gemeinnützigen Verein, der sich das Ziel gesetzt hat, die IT-Sicherheit in Österreich zu fördern. Die CSA veranstaltet regelmäßig Wettbewerbe, in denen sich junge IT-Interessierte im Rahmen einer Challenge als sogenannte White-Hat-Hacker versuchen dürfen, also als Hacker, die im Auftrag und im Interesse des Angegriffenen handeln. Das Ziel dieses „ethical hacking“ ist es, junge Menschen für das Thema Cybersicherheit zu begeistern – nicht zuletzt in Hinblick auf den Fachkräftemangel auf diesem Gebiet. In erster Linie aber geht es der CSA nicht nur um technische Abwehrmaßnahmen gegen Cyberangriffe. Der Verein will vielmehr Bewusstsein schaffen für die Bedeutung organisatorischer Maßnahmen und Krisenmanagement in Zusammenhang mit Cybersecurity.
Franz Hoheiser-Pförtner ist Vorstandsmitglied von Cyber Security Austria und ehemaliger IT-Security-Chef des heutigen Wiener Gesundheitsverbundes. Er ist davon überzeugt, dass nicht die Cyberangriffe selbst, sondern das mangelnde Bewusstsein für die damit verbundenen Risiken die größte Gefahr für die Cybersicherheit in Österreich darstellt. „Wir sind in ein Abhängigkeitsverhältnis zu den digitalen Prozessen geraten und sind uns viel zu wenig bewusst, wie verwundbar diese Versorgungsadern sind“, bekräftigt Hoheiser-Pförtner. So wie es Pläne für den Fall von Naturkatastrophen wie Hochwasser oder Murenabgängen gibt, so müsse es auch Pläne geben, falls das IT-System eines Krankenhauses infolge eines Cyberangriffes, aber auch infolge eines technischen Gebrechens, ausfällt. In diesem Sinn begrüßt der Experte die NIS-2-Richtlinie, die derzeit in Österreichs Krankenhäusern implementiert wird. Diese verpflichtet die Betreiber kritischer Infrastruktur unter anderem zu entsprechenden Risikoanalysen und Notfallplänen. Daher hält es Hoheiser-Pförtner für unabdingbar, dass digitale Prozesse stets so aufgesetzt werden, dass auch eine analoge Alternative für Notfälle machbar ist. Das Projektteam muss sich also bereits vorab gut überlegen, wie der entsprechende analoge Prozess aussieht. Das ist keine einfache Aufgabe: „So wie man einen analogen Prozess nicht eins zu eins in einen digitalen überführen kann, ist ein digitaler Prozess nicht eins zu eins ins Analoge rückführbar“, unterstreicht er.
Ein ganz grundsätzliches Problem ist das, was Hoheiser-Pförtner „digitale Demenz“ nennt. Er verdeutlicht dieses Phänomen mit Beispielen aus dem Alltag. Kaum jemand kennt noch die Telefonnummern seiner Familienangehörigen, weil diese am Handy gespeichert sind, Autofahrer und Wanderer verlassen sich auf Google Maps. Aber was, wenn das Handy ausfällt oder die Verbindung unterbrochen ist? Wer hat noch irgendwo eine handschriftliche Liste seiner wichtigsten Telefonnummern, eine Straßenkarte im Handschuhfach oder eine Wanderkarte im Rucksack? Übertragen aufs Krankenhaus müsste es für die digitalen Prozesse analoge Notfall-Alternativen geben, die auch ohne IT-Unterstützung funktionieren. Ein weiteres Beispiel: Autofahrer, die jahrelang die Einparkhilfe nutzen, laufen Gefahr, irgendwann das Einparken zu verlernen. Übertragen auf das Krankenhaus bedeutet das: Auch die alten analogen Prozesse müssen weiterhin geübt werden, damit sie nicht in Vergessenheit geraten.
Hoheiser-Pförtner ist sich dessen bewusst, dass all die von ihm in den Raum gestellten Maßnahmen mit hohem organisatorischem, personellem und auch finanziellem Aufwand verbunden sind. „Aus Kosten-Nutzen-Überlegungen werden wir uns wohl nicht gegen alle Risiken absichern können“, räumt der Experte ein: „Aber wir müssen uns dieser Risiken zumindest bewusst sein. Denn wer glaubt, sicher zu sein, ist selbst Teil des Problems.“