IT-Sicherheit Gesundheitswesen

Alarm in der urologischen Klinik in Planegg bei München: Im Januar 2021 verschafften sich Cyberkriminelle Zugang zur Krankenhaus-IT, verschlüsselten die Daten und verlangten Lösegeld für die Freigabe. Das Spezialkrankenhaus zahlte – auch zum Schutz seiner Patientinnen und Patienten. Denn die könnten zu Schaden kommen, weil dringende Behandlungen verschoben werden müssten oder wichtige Informationen – etwa Daten über Allergien, andere Medikamente oder Vorerkrankungen, die in früheren Gesprächen oder Behandlungen gesammelt wurden – nicht verfügbar wären.

Unter Cybererpressern hat sich inzwischen herumgesprochen, dass Krankenhäuser bereit sind, Lösegelder für die Freigabe verschlüsselter Daten und Systeme zu zahlen. Weil die Cyberattacke direkt das Leben von Kranken bedroht, kommen sie den Forderungen eher nach als Industrie oder Dienstleister. So nehmen die Angriffe auf Gesundheitseinrichtungen stetig zu: Im vergangenen Jahr stieg die Zahl der Cyber-Security-Vorfälle weltweit um 38 Prozent – im Gesundheitssektor gar um 74 Prozent, ergab der Security Report 2023 von Check Point Software Technologies. Derzeit sind es vor allem die oben beschriebenen Ransomware-Angriffe, die den Krankenhäusern das Leben schwer machen. Insbesondere Unternehmen der kritischen Infrastruktur (Kritis), zu denen Krankenhäuser mit mehr als 30.000 vollstationären Patientinnen und Patienten pro Jahr zählen, seien nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) gefährdet.

Absolute Sicherheit gibt es nicht

Gesundheitseinrichtungen, weiß auch Norbert Butz, Leiter des Dezernats Digitalisierung in der Gesundheitsversorgung bei der Bundesärztekammer, geraten „immer mehr in den Fokus, Ziel einer Cyberattacke zu werden“. Grund sei die fortschreitende digitale Vernetzung zwischen Kliniken, Arztpraxen, Versicherungen und anderen Gesundheitseinrichtungen – damit stiegen auch die Risiken. Zwar gelte: Absolute Sicherheit vor Cyberattacken gibt es nicht, und „es gehört zur Redlichkeit, das nicht zu versprechen“. Gleichzeitig ermahnt Butz alle Beteiligten, die Cybersicherheit ernst zu nehmen.

Das Problem: Deutsche Kliniken müssen ihre IT-Sicherheit selbst finanzieren. Angesichts der knappen Budgets, mit denen sich gerade der Tagesbetrieb aufrechterhalten lässt, ist das eine kaum zu bewältigende Herausforderung. Zwischen fünf und sieben Prozent des IT-Budgets sollten gängigen Best Practices zufolge in die Cybersicherheit fließen. In Deutschland investieren Krankenhäuser aber nur einen Bruchteil davon tatsächlich in entsprechende Strukturen. 

Das bleibt auch in den Einrichtungen nicht unbemerkt. So gaben bei einer Studie des Digitalverbands Bitkom aus dem Jahr 2022 74 Prozent der befragten Ärztinnen und Ärzte an, dass Krankenhäuser ihrer Meinung nach häufig nicht genügend vor Cyberattacken geschützt seien. 66 Prozent sorgen sich konkret bezüglich Cyberangriffen. Unter den niedergelassenen und angestellten Ärztinnen und Ärzten in Praxen und Versorgungszentren ist die Angst vor Cyberangriffen mit 83 Prozent sogar noch größer. 82 Prozent sagen zudem, Praxen seien häufig nicht ausreichend geschützt. 

IT-Sicherheit IM Gesundheitswesen: Schutz weiter ausbauen

„IT-Sicherheitsstandards sind gesetzlich sowohl für Krankenhäuser als auch für Arztpraxen jeglicher Größe geregelt“, betont Bitkom-Hauptgeschäftsführer Bernhard Rohleder. „Die Umsetzung dieser Vorgaben wird offenkundig sehr ernst genommen.“ Wichtig sei es, Geräte- und Betriebsausfälle zu vermeiden und sensible Patientendaten zu schützen. Um das Risiko gefährlicher, IT-bedingter Betriebsunterbrechungen weiter zu minimieren und die Versorgungssicherheit zu gewährleisten, gibt die EU eine Reihe von Mindeststandards für die IT-Sicherheit vor. So muss die Aktualisierung der Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS 2) – die Grundlage, um Cybersicherheit und Resilienz von Unternehmen und kritischen Infrastrukturen gegen Hackerattacken zu steigern – bis Oktober 2024 umgesetzt werden.