01

Feb

2020

Sicher Krank – IT Sicherheit im Gesundheitsweisen

Geschlossene Notaufnahmen, gelöschte Patientenakten und Operationen im Kerzenschein: Hacker können mit wenigen Handgriffen ganze Krankenhäuser lahmlegen. Was wie ein Cyberkrimi klingt, ist bereits Realität: Kliniken geraten zunehmend in das Visier von Hackern. Auf ein wirksames IT-Sicherheitskonzept kann daher kein Krankenhaus mehr verzichten.

Im November 2018 legte ein Mail-Trojaner das Klinikum Fürstenfeldbruck für elf Tage lahm. Im Frühjahr 2016 wurde ein Klinikum in Neuss von einem Hacker erpresst und das Franziskus-Hospital in Ahlen war laut Medienberichten allein im Jahr 2017 unzähligen Cyberattacken ausgesetzt. Dass dies keine Einzelfälle sind, belegt eine Studie der Roland Berger Stiftung. Demnach waren 2017 bereits 64 Prozent aller Kliniken in Deutschland Opfer eines Cyberangriffs.

Ausgespähte Patientendaten und damit einhergehende Erpressungen sind dabei nur eine Gefahr. Im Extremfall können auch der Gesamtbetrieb gefährdet oder sogar Patientenleben unmittelbar bedroht werden. Denn: Damit Ärzte jederzeit auf relevante Patientendaten zugreifen können, haben die meisten medizinischen Geräte eine Schnittstelle zum Netzwerk der Klinik. Sogar Medizingeräte im OP sind immer häufiger digital vernetzt. Sind diese Schnittstellen aber vor unerlaubten Zugriffen nicht ausreichend abgesichert, kann ein Hacker auf Daten und Geräte nicht nur zugreifen, sondern sie im Extremfall auch manipulieren – etwa um Lösegeld zu erpressen oder die befallenen Maschinen für andere Angriffe zu verwenden. Selbst Herzschrittmacher oder Medikamentenpumpen bieten Schnittstellen und somit Angriffspunkte.

Sicherheitslücken sind der Regelfall

Trotz dieser Bedrohungslage sind Krankenhäuser oft nicht ausreichend geschützt. Der Grund: Kliniken müssen nicht nur ihre IT absichern, sondern viele weitere strenge Anforderungen erfüllen, beispielsweise an die Hygiene oder die Gebäudesicherheit. Gleichzeitig leiden viele Kliniken unter erheblichem Finanzdruck. Diese Gemengelage erfordert eine Priorisierung der Maßnahmen. Dies hat oft zur Folge, dass die IT-Sicherheit vernachlässigt wird. Im Durchschnitt geben Krankenhäuser aufgrund der angespannten finanziellen Situation nur zwei Prozent ihres Umsatzes für IT-Sicherheit aus.

Dabei gibt es mittlerweile eine Vielzahl an verbindlichen Sicherheitsvorgaben für Krankenhäuser, beispielsweise bezüglich des Risikomanagements für medizinische IT-Netzwerke (IEC 80001) oder für Medizinprodukte (ISO 13485). Auch die im vergangenen Jahr eingeführte EU-DSGVO hat den Druck noch einmal erhöht. Zudem müssen einige Kliniken die speziellen Auflagen der „Verordnung zur Bestimmung kritischer Infrastrukturen (KRITIS)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfüllen. Das betrifft allerdings nur sehr große Häuser. Der Schwellenwert für versorgungskritische Infrastrukturen sind 30.000 vollstationäre Behandlungsfälle pro Jahr. 2017 betraf das lediglich 110 von insgesamt rund 2.000 Krankenhäusern in Deutschland. Für Cyber-Kriminelle ist jedoch nicht die Größe eines Krankenhauses, sondern die Ausnutzbarkeit des Einfallstores entscheidend. Zwar verfügen größere Kliniken über komplexere Systeme und bieten mit einer höheren Anzahl an Anwendungen und Schnittstellen auch ein erhöhtes Angriffspotenzial. Ungeschützt sind aber auch kleinere Krankenhäuser attraktive und vor allem leichte Ziele.

Aufgrund der vielen Sicherheitsvorfälle in der Vergangenheit haben viele Krankenhausbetreiber die Bedeutung von IT-Sicherheit mittlerweile erkannt. Die Herangehensweise erfolgt aber aufgrund von mangelndem Fachpersonal oft unsystematisch. Die Folge sind unzureichend geschützte IT-Infrastrukturen und undefinierte organisatorische Prozesse, die weiterhin Sicherheitslücken offen lassen. Das ist nicht nur ineffizient, sondern kann im Falle eines erfolgreichen Angriffs auch sehr teuer werden. Entscheidend für einen wirksamen Schutz ist daher eine gezielte, ganzheitliche Herangehensweise. Denn IT-Sicherheit kostet nicht Unmengen von Geld, sondern Engagement und vorausschauendes Denken.

Überblick verschaffen

Ein IT-Sicherheitskonzept durch externe Beratungsdienstleister dämmt Sicherheitsprobleme ein. Einen schnellen Einstieg und eine gute Entscheidungsgrundlage bietet eine sogenannte Lücken-Analyse (Gap-Analyse): Zunächst wird die konkrete Anforderungslage an die IT-Sicherheit für das jeweilige Krankenhaus ermittelt. Dabei wird identifiziert, welchen gesetzlichen Bestimmungen die Klinik unterliegt und inwieweit diese bereits umgesetzt werden. Eine Ist-Analyse verschafft dabei einen Überblick über die Verarbeitungsprozesse sowie die dafür eingesetzten Applikationen und IT-Systeme und bewertet die technischen und organisatorischen Sicherheitsmaßnahmen sowie ihre konkrete Umsetzung. Im Ergebnis der Gap-Analyse entsteht eine Planungsgrundlage, wie ein angemessenes Informationssicherheitsmanagementsystem (ISMS) inklusive IT-Sicherheitskonzept vollständig etabliert werden kann. Dadurch können erkannte Lücken geschlossen und verbleibende Risiken behandelt werden.

Bei solchen Analysen wird auch die Hardware berücksichtigt. Denn Medizingeräte und -produkte müssen ebenfalls vor dem Zugriff durch Hacker geschützt werden. Zwar sind die Geräte-Hersteller hier federführend in der Pflicht, ihre Produkte sicher zu entwickeln. Krankenhäuser sind jedoch verpflichtet ihre medizinischen Geräte in einer sicheren Umgebung zu betreiben.

Bewährter Leitfaden

Sobald die IT-Infrastruktur analysiert ist und deren Schwachstellen sowie die Sicherheitsanforderungen ausfindig gemacht sind, wird ein IT-Sicherheitskonzept erstellt. Als Basis dafür hat sich die Grundschutzmethodik des BSI bewährt. Der detaillierte Leitfaden berücksichtigt alle für die IT-Sicherheit relevanten Bereiche wie Organisation, Personal, Technik und Infrastruktur und sichert diese im Hinblick auf die Vertraulichkeit, Integrität und Verfügbarkeit ab. Dazu zählt auch ein geeignetes Notfallmanagement. Bei diesem wird unter anderem berücksichtigt, wie lange im Ernstfall kritische Geschäftsprozesse ausfallen dürfen und entsprechende Notfallmaßnahmen formuliert. Erst im Februar machte der durch Bauarbeiten verursachte Blackout eines ganzen Berliner Stadtteils deutlich, wie wichtig ein gutes Notfallmanagement ist: Ein vom Stromausfall betroffenes Krankenhaus musste seine Patienten in umliegende Krankenhäuser verlegen.

Das Rückgrat der IT-Grundschutz-Methode ist der Aufbau eines so genannten Informationssicherheitsmanagementsystems (ISMS). Dabei werden Verfahren und Regeln festgelegt, die dafür sorgen, dass ein angemessenes Informationssicherheitsniveau für das Unternehmen definiert, umgesetzt und kontinuierlich verbessert wird. Ein entscheidender Vorteil der IT-Grundschutz-Methode: Krankenhäuser können ihr Sicherheitsniveau mit dem „ISO 27001-Zertfikat auf Basis von IT-Grundschutz“ nachweisen. Mit einer solchen Zertifizierung steigern Krankenhäuser das Vertrauen bei Patienten und Stakeholdern. Ein als KRITIS eingestuftes Krankenhaus ist nämlich verpflichtet, einen regelmäßigen Nachweis über die Sicherheit seiner Informationstechnik zu erbringen.

 IT-Sicherheit ist mehr als Technik

Die IT-Grundschutz-Methode sieht nicht nur eine technische Absicherung vor, sondern nimmt auch die Anwender selbst ins Visier. Das ist entscheidend, denn immer häufiger ist das Krankenhauspersonal Opfer gezielter Angriffsmethoden. Ein häufiges Einfallstor sind E-Mail-Anhänge. Über sie dringt Schadsoftware in die Systeme ein. Im bereits erwähnten Fall einer Neusser Klinik war es ein Mitarbeiter des Krankenhauses, der eine als Rechnung getarnte E-Mail öffnete und damit unabsichtlich einem Virus mit Verschlüsselungs-Software Zugang zu den IT-Systemen verschaffte. Der finanzielle Schaden: rund eine Million Euro. Um solche Vorfälle zu vermeiden, müssen alle Klinikmitarbeiter über IT-Sicherheitsrisiken wie Malware oder Social Engineering Bescheid wissen.

Ein weiteres vermeidbares Problem sind unachtsame Mitarbeiter. Denn im hektischen Klinikalltag werden mobile Geräte noch ohne Passwortschutz genutzt, fremde USB-Sticks mit Röntgenaufnahmen von Patienten ausgelesen und Passwörter mit Post-its an den Monitor geheftet. Hinzu kommen physische Gefahren wie Feuer, Wasser oder Staub, die ernste Schäden verursachen können. Klinikmitarbeiter müssen deshalb über die IT-Sicherheitsgefahren informiert und sensibilisiert werden, um vom Sicherheitsrisiko zu einem Sicherheitsfaktor zu werden. Auch diese Gefahren deckt der IT-Grundschutz ab.

Fazit

Hackerangriffe sind ein zentrales Geschäftsrisiko in der Gesundheitsbranche. Krankenhäuser und Kliniken sind daher in Zugzwang: Die sichere Speicherung und Übermittlung von sensiblen Patientendaten muss zum Standard werden. Externe Beratungsdienstleister können passgenau ein wirksames IT-Sicherheitskonzept erstellen, das alle notwendigen Maßnahmen festhält. Auch bei den konkreten Umsetzungen unterstützen die Experten.

Über die Autor:innen
Daniel Jütten

IT-Sicherheitsberater, Infodas