DigitalisierungTäglich greifen Cyberkriminelle die Informationssysteme des Universitätsspitals Zürich (USZ) an. Deshalb setzt das Spital auf «ethische Hacker»: Sicherheitsforschende, die auf legale Weise Sicherheitslücken im IT-System aufdecken.
Erik Dinkel, Sie leiten die Abteilung Informations-sicherheit am Universitätsspital Zürich. Wie viele Cyberangriffe müssen Sie im Schnitt abwehren?
Wir erhalten am USZ täglich Tausende missbräuchlicher E-Mails mit Phishing- und/oder Schadprogrammen. Monatlich verzeichnen wir Zehntausende automatisierte Angriffsversuche aus dem Internet. Bisher war keiner dieser Versuche bei uns erfolgreich.
Weshalb haben Sie ein Bug-Bounty-Programm initiiert, was bringt so ein Belohnungssystem für das Aufdecken von Sicherheitslücken?
Wir haben gemeinsam mit einem externen Partner ein Security Operations Center aufgebaut. Daneben haben wir ein System für die zentrale und systematische Erfassung von Schwachstellen und Cybervorfällen. Unser Bug-Bounty-Programm ist keine isolierte Massnahme, sondern im Zusammenhang mit diesem Gesamtdispositiv zu sehen, das damit optimal ergänzt wird. Ziel des Bug-Bounty ist es, Cyberkriminellen einen Schritt voraus zu sein. Wir lassen die extern exponierten Systeme testen, die möglichen Cyberangriffen ausgesetzt sind. Diese werden durch den Einsatz von «ethischen Hackern» oder eben Sicherheitsforschenden einem Stresstest unter realen Bedingungen ausgesetzt, wodurch deren Sicherheit kontinuierlich gesteigert wird. Kosten entstehen nur, wenn auch effektiv eine Lücke entdeckt wird.
Wie funktioniert das Programm konkret?
Wir arbeiten mit einem Serviceprovider, der eine Plattform betreibt, auf der sich zertifizierte Hacker registrieren können. Wir definieren, was durch wen getestet werden soll. Die Anzahl Systeme, die wir testen wollen, haben wir sehr weit gefasst, aber nur wenige ethische Hacker einbezogen. Deren Anzahl kann den Bedürfnissen jeweils angepasst werden.
Wie lautet Ihr Zwischenfazit?
Wir sind sehr zufrieden! Wir lassen unsere extern exponierten Systeme nun permanent und kontinuierlich durch ethische Hacker prüfen und es zeigt sich, dass unsere Systeme sehr sicher sind. Die wenigen Schwachstellen konnten unmittelbar behoben werden.
Wie viele Sicherheitslücken konnten Sie inzwischen schliessen, hatten Sie mit so vielen gerechnet?
Jede Software und jedes System weist leider Schwachstellen auf. Sinn eines Bug-Bounty-Programms ist es, Lücken zu schliessen, bevor sie ausgenutzt werden können. Dabei tauchten bei uns weniger Sicherheitslücken auf als befürchtet. Bewährt hat sich insbesondere, dass wir neue, gegenüber dem Internet exponierte Systeme methodisch testen lassen. So können allfällige Lücken geschlossen werden, bevor das System effektiv operativ genutzt wird.
Im Fokus von Spitälern steht die Versorgung von Patientinnen und Patienten, IT ist Mittel zum Zweck. Wie schaffen Sie es, die Kolleginnen und Kollegen für Cybersicherheit zu sensibilisieren?
Neben regelmässigen Sensibilisierungskampagnen – zum Beispiel mit simulierten Phishing-Angriffen – beziehe ich die Kolleginnen und Kollegen konsequent mit ein. Wir suchen pragmatische Lösungen, die den Bedürfnissen des Spitals gerecht werden und die die Informationssicherheit ausreichend erfüllen. Ich bin nicht Polizist, sondern Partner und handle partnerschaftlich im Sinne des Unternehmens. Neue Vorgaben und Prozesse, in- und externe Vorkommnisse sowie neu eingeführte Systeme werden regelmässig gemeinsam in einem interdisziplinären Gremium besprochen und die Feedbacks in die Ausarbeitung aufgenommen.
Was würden Sie anderen Spitälern empfehlen, die über ein Bug-Bounty-Programm nachdenken?
Informationssicherheit ist kein Zustand, der erreicht wird, sondern ein Prozess. Wichtig ist es, ein Informationssicherheits-Management-System (ISMS) aufzubauen. Es braucht klare Vorgaben, Schulungen zur Sensibilisierung der Mitarbeitenden und einen Prozess zur Überprüfung und steten Optimierung der bestehenden Massnahmen. Ich bin überzeugt, dass jedes Spital in ein ISMS investieren sollte. Bei der Umsetzung haben die Spitäler individuelle Freiheiten und müssen risikobasiert vorgehen. Ein Bug-Bounty-Programm kann eine Massnahme sein. Meiner Ansicht nach kann unsere Gesellschaft der Cyberbedrohung nur durch Kooperation begegnen. Hier müssen Spitäler untereinander, aber auch mit Bund und Kantonen noch enger zusammenarbeiten und die vorhandenen Mittel optimal nutzen.
Veröffentlicht unter der Copyright-Lizenz.
"Attribution - Non-Commercial - NoDerivatives 4.0"
Keine kommerzielle Weiterverwendung ohne Genehmigung.
See: emh.ch/en/emh/rights-and-licences/
