Jeden Monat kommt es im Universitätsspital Zürich (USZ) wie bei anderen Unternehmen zu zehntausenden Angriffsversuchen von Cyberkriminellen aus dem Internet. Damit diese Angriffe erfolglos bleiben, setzt das USZ auf eine Vielzahl Vorkehrungen – neuerdings auch auf die Zusammenarbeit mit den «ethischen Hackern» von Bug Bounty Switzerland.
Berichterstattung in SRF 10vor10
Es hört sich etwas seltsam an: Um sich vor Hackerangriffen zu schützen, arbeitet das USZ seit 2021 als erstes Schweizer Spital mit Hackern zusammen. Selbstverständlich handelt es sich dabei nicht um kriminelle Hacker. Die Partner des USZ sind «ethische Hacker», Spezialistinnen und Spezialisten also, die ihre Kompetenzen für mehr IT-Sicherheit einsetzen. Dabei ist ihre Arbeit mit denen eines kriminellen Hackers durchaus vergleichbar: Beim Bug Bounty suchen ethische Hacker wie ihre kriminellen Pendants nach Lücken, um in das IT-System einzudringen.
Mit Hackern gegen Hacker
«Der grosse Vorteil von Bug Bounty ist, dass es eine reale Situation simuliert» beschreibt Erik Dinkel, Chief Information Security Officer des USZ, das Vorgehen. «Technische Überprüfungen von potentiellen Schwachstellen mit Sicherheitssoftware sind richtig und wichtig. Doch nur echte Menschen denken wie Hacker. Bug Bounty ist damit eine optimale Ergänzung zu den technischen Tests». In einem Pilotprojekt überprüfte das USZ gemeinsam mit den Hackern Systeme des USZ und fand tatsächlich potentielle Schwachstellen, die durch die vorhergehenden Tests nicht gefunden worden waren. Diese Schwachstellen konnten dank der Hacker schnell geschlossen werden. Und Zeit ist ein zentraler Faktor in der schnelllebigen Welt der Cyberkriminalität.
«Weil die Erfahrungen so positiv waren und wir einen erheblichen Gewinn für die Cyber-Sicherheit des USZ sehen, führen wir Bug Bounty als kontinuierlichen Prozess der Informationssicherheits-Strategie am USZ ein. Das ist auch bezüglich der Kosten sinnvoll. Denn einen potentiell grossen Schaden durch einen Cyber-Angriff zu beheben, ist um ein Vielfaches teurer als präventive Massnahmen»
Erik Dinkel, Chief Information Security Officer des USZ
Spitäler unter Beschuss
Damit spricht Erik Dinkel nicht ein fernes, unrealistisches Szenario an, sondern ein akutes Problem im Gesundheitswesen. Spitäler sind für Cyber-Kriminelle dankbare Ziele, da der Zugriff auf ihre Daten essentiell für die Patientensicherheit ist. Gleichzeitig steigt durch die fortschreitende Digitalisierung die IT-technische Abhängigkeit der Spitäler und damit die Verletzlichkeit gegenüber einem Cyber-Angriff. So versprechen sich die Betrüger bei einem Angriff schnelle Lösegeldzahlungen von Gesundheitsinstitutionen.
Auch das USZ steht dauerhaft unter Beschuss und muss sich entsprechend wappnen. «Wir haben in den letzten Jahren unsere technische IT-Sicherheits-Infrastruktur stetig erweitert und ein Security Operation Center aufgebaut», erzählt Erik Dinkel, Chief Information Security Officer des USZ. Zudem passt das Team gemeinsam mit den Fachspezialist*innen kontinuierlich die Sicherheitsmassnahmen gegen einen potentiellen erfolgreichen Cyber-Angriff an. «Auch der beste Schutz kann durchbrochen werden. Es ist entscheidend, wie schnell wir auf einen Cyber-Angriff reagieren können, um weitreichende Folgen zu vermeiden. Technologien und Bedrohungen entwickeln sich ständig weiter. Darauf müssen wir vorbereitet sein, sowohl präventiv wie auch reaktiv», präzisiert Erik Dinkel.
«Bug Bounty ist eine der effizientesten Arten, um sich vor Cyberattacken zu schützen. Denn es die beste Methode für einen Stresstest unter realen Bedingungen. Zudem ist es kosteneffizient, da erst gezahlt wird, wenn man etwas findet, im Vergleich zu traditionellen Penetrationstests.»
Erik Dinkel, Chief Information Security Officer (CISO) vom Universitätsspital Zürich (USZ)
