IT-Sicherheit und Datenschutz in Krankenhäusern

Gefahr für Leib und Leben

Von Hartmut Schumacher · 2023

Krankenhäuser sind beliebte Angriffsziele von Hackern – und das kann fatale Folgen haben. Der Gesetzgeber verpflichtet die Betreiber daher zu organisatorischen und technischen Maßnahmen, die die Gesundheit und auch die Privatsphäre der Patientinnen und Patienten schützen sollen.

Darstellung eines Tablets, das
Krankenhäuser sind oft das Ziel von Hackern. Foto: iStock / AndreyPopov

Für Krankenhäuser gilt prinzipiell dasselbe wie für andere Organisationen und Unternehmen: Die Digitalisierung bringt viele Vorteile mit sich, unter anderem einen effizienteren Informationsaustausch und genauere Diagnosemöglichkeiten. Im Idealfall führt das zu einer Entlastung für das medizinische Personal und zu einer Steigerung der Behandlungsqualität. Gleichzeitig birgt die Digitalisierung aber auch Gefahren: Digital gespeicherte und übertragene Informationen sowie computergesteuerte Geräte sind anfälliger für Datenverluste, Sabotage, Diebstahl und Erpressung.

Die Besonderheit bei Krankenhäusern besteht darin, dass bei Störungen nicht „lediglich“ Unterbrechungen einer Produktion eintreten, sondern die Gesundheit oder sogar das Leben von Menschen auf dem Spiel stehen.

Angespannte Bedrohungslage

„Die Bedrohungslage im Cyberraum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie“, erläutert Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), anlässlich der Vorstellung des Berichts „Die Lage der IT-Sicherheit in Deutschland 2022“. Weltweit ist die Anzahl der Cyberangriffe laut dem Security-Unternehmen Check Point Software Technologies 2022 im Vergleich zu 2021 um 38 Prozent gestiegen. Dies betrifft insbesondere das Gesundheitswesen, das einen Anstieg um 74 Prozent zu verzeichnen hatte und nach Forschungs- und Regierungseinrichtungen das drittbeliebteste Angriffsziel ist.

Eine Studie des Ponemon Institute zeigt, wie dramatisch die Folgen davon sein können: Ransomware-Angriffe beispielsweise haben in den USA bei 48 Prozent der befragten Gesundheitseinrichtungen zu einer Zunahme der Komplikationen nach medizinischen Eingriffen geführt und bei 24 Prozent sogar zu einem Anstieg der Sterblichkeitsrate.

Verpflichtende Maßnahmen für IT-Sicherheit und Datenschutz in Krankenhäusern

Krankenhäuser sind durch das BSI-Gesetz bereits seit 2019 dazu verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zu ergreifen, um Störungen ihrer Funktionsfähigkeit zu vermeiden und die Vertraulichkeit der Patientendaten zu gewährleisten. Seit 2022 gelten ähnliche Vorgaben auch für kleinere Krankenhäuser. 

Wie sich dies in der Praxis umsetzen lässt, zeigen beispielsweise der branchenspezifische Sicherheitsstandard der Deutschen Krankenhausgesellschaft und der „Maßnahmenkatalog zur Verbesserung der IT-Sicherheit in bayerischen Krankenhäusern“ der Universität der Bundeswehr. Zu diesen Maßnahmen gehören einerseits technische Mittel wie ein zusätzliches virtuelles Netz mit Authentifizierung für besonders sensible Informationen sowie ein Network Intrusion Detection System, das auffälligen, beispielsweise durch Malware verursachten, Netzverkehr erkennt. Wichtig ist zudem die Sensibilisierung und Schulung der Mitarbeitenden. Und nicht zuletzt sind Notfallpläne unverzichtbar, die dabei helfen, den Krankenhausbetrieb so schnell wie möglich wieder aufnehmen beziehungsweise idealerweise trotz eines Systemausfalls weiterführen zu können.

Array
(
    [micrositeID] => 59
    [micro_portalID] => 26
    [micro_name] => Smart Health
    [micro_image] => 6362
    [micro_user] => 1
    [micro_created] => 1623241005
    [micro_last_edit_user] => 0
    [micro_last_edit_date] => 0
    [micro_cID] => 3610
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)