IT-Sicherheit im Gesundheitswesen

Cyber-Angriffe mit tragischen Folgen

Von Hartmut Schumacher · 2020

Die Digitalisierung des Gesundheitswesens bringt enorme Vorteile: präzisere Diagnosen, individuellere Behandlungen, niedrigere Kosten und weniger Personalaufwand. Allerdings gehen mit der digitalen Transformation auch Risiken einher – vor allem beim Datenschutz und bei der Datensicherheit.

Mensch, der symbolhaft ein Schutzschild in den Händen hält
Der Schutz vor Hackern ist essenziell für die Akzeptanz der digitalen Medizin. Foto: iStock / Natali_Mis

Eine große Herausforderung ist die IT-Sicherheit in allen Branchen. Die Daten, die in Krankenhäusern und Arztpraxen anfallen, sind jedoch höchst privater Natur und besonders vertraulich. Außerdem können Sicherheitsprobleme tragischere Folgen haben als in anderen Sektoren. Das zeigte sich im September dieses Jahres: Hacker legten die IT-Systeme des Universitätsklinikums Düsseldorf lahm. Das führte nicht nur dazu, dass Operationen verschoben wurden. Eine Patientin, die dringend ärztliche Hilfe benötigte, musste an ein anderes Krankenhaus verwiesen werden und verstarb während des Transports.

Angriffsszenarien

Es gibt eine ganze Reihe von konkreten IT-Sicherheitsrisiken im Gesundheitswesen. Laut der Studie „Smart Hospitals“ der European Union Agency for Network and Information Security sind dies die fünf relevantesten Angriffsszenarien für digitalisierte Krankenhäuser:
1. Ransomware, also Schad-Software, die Daten der Krankenhaus-IT-Systeme verschlüsselt und
erst gegen Zahlung eines „Lösegelds“ wieder freigibt, ist derzeit eine der größten Bedrohungen. Derartige Software findet oft über E-Mail-Dateianhänge den Weg in die Computer des Krankenhauses.
2. Durch die Manipulation von medizinischen Geräten wie CT-Scannern, Infusionspumpen, Dialysegeräten und Chirurgierobotern versuchen Hacker, Hintertüren in die IT-Systeme des Krankenhauses zu finden. Die Ziele dabei: Patientendaten auszulesen, den Krankenhausbetrieb zu stören und unter Umständen einen Ransomware-Angriff zu starten.
3. Social Engineering – also das Ausnutzen der Gutgläubigkeit von Krankenhausangestellten – ist ein weiterer Risikofaktor. Derartige Angriffe haben in der Regel das Ziel, entweder direkt Betrug zu begehen oder aber Informationen zu sammeln und Zugang zu den IT-Systemen zu erhalten, um Ransomware-Angriffe durchführen zu können.
4. Bei Denial-of-Service-Angriffen wird die IT-Infrastruktur des Krankenhauses durch eine Unmenge von Zugriffen lahmgelegt – mit dem Ziel, den Betrieb des Krankenhauses zu stören, zum Zwecke des Vandalismus oder der Erpressung.
5. Der Diebstahl von medizinischen Geräten stellt nicht nur einen finanziellen Verlust dar, sondern birgt auch die Gefahr, dass sich den gestohlenen Geräten kritische Informationen entlocken lassen, die dann weitere IT-Angriffe ermöglichen.

IT-Sicherheit im Gesundheitswesen

Eine praktische Übersicht über notwendige Schutzmaßnahmen liefert der „Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ der Deutschen Krankenhausgesellschaft (DKG). Dazu gehören Schutz vor Schadsoftware, ein Identitäts- und Rechte-Management, das Verschlüsseln von Daten, Richtlinien für das Verwenden von mobilen Geräten sowie das regelmäßige Anfertigen von Sicherheitskopien. Auch Schulungen für die Mitarbeiter und ihre Sensibilisierung für Sicherheitsprobleme spielen eine wichtige Rolle. Allerdings: „Hundertprozentige Sicherheit gegen Cyberangriffe wird es nicht geben“, erklärt Markus Holzbrecher-Morys, DKG-Geschäftsführer für IT, Datenaustausch und eHealth. „Ziel muss es sein, mögliche Angriffsvektoren zu vermeiden oder zumindest zu verringern und die Auswirkungen eines Angriffs so gering wie möglich zu halten.“

Verbesserungspotenziale

Etwa zehn Prozent der deutschen Krankenhäuser gelten aufgrund ihrer hohen Zahl vollstationärer Fälle als Betreiber kritischer Infrastrukturen. Daher sind sie laut dem BSI-Gesetz dazu verpflichtet, IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ umzusetzen. Wie aber steht es um die übrigen 1.800 Krankenhäuser in Deutschland? Das Bundesamt für Sicherheit in der Informationstechnik hat dies in der Studie „KRITIS-Sektor Gesundheit“ untersucht. Die Studie bescheinigt den Krankenhäusern, dass die relevanten IT-Systeme und Komponenten zur Erbringung der kritischen Dienstleistungen in der Regel mehrfach vorhanden und durch klassische Abwehrmaßnahmen wie Firewalls, Virtual Private Networks und Malware-Scanner geschützt sind. Allerdings bestehe bei der Umsetzung von organisatorischen Maßnahmen, aber auch bei einzelnen technischen IT-Sicherheitsmaßnahmen, noch „Verbesserungspotenzial“. Beispielsweise fänden Schulungen nicht im erforderlichen Umfang statt. Schutzmaßnahmen wie das Verschlüsseln von Speichermedien und von E-Mail-Nachrichten träfen auf Akzeptanzprobleme bei den Mitarbeitern. Zudem sei die Trennung der Medizintechnik-, Verwaltungs- und Patienten-Netze oft nicht vollständig vollzogen.

Hohe Kosten

Einer der Gründe für die verbesserungswürdige IT-Sicherheit in Krankenhäusern sind die Kosten. Den Kliniken „fehlen häufig finanzielle Mittel, um die notwendigen strukturellen Grundlagen für IT-Sicherheit zu schaffen“. Dies betreffe sowohl Investitionen in Hard- und Software als auch in Schulungen und in die Weiterentwicklung der Verhaltensregeln für Mitarbeiter. Hoffnungen ruhen nun auf dem Krankenhauszukunftsgesetz (KHZG), das ausdrücklich auch Investitionen für IT-Sicherheit vorsieht. „Dort, wo Investitionen in IT-Sicherheit notwendig werden, kann das KHZG Impulse setzen, wenngleich keine vollständige Refinanzierung mit diesen Mitteln möglich sein dürfte“, erläutert Markus Holzbrecher-Morys. „Noch wichtiger sind jedoch kluge Konzepte, um nach den Investitionen auch den dauerhaften Betrieb zu sichern sowie die allgemein schwierige Personalsituation im Bereich der IT-Sicherheit für die Krankenhäuser beherrschbar zu machen, beispielsweise durch Kooperationen zwischen Krankenhäusern oder auch die Einbeziehung externer Expertise.“

Array
(
    [micrositeID] => 59
    [micro_portalID] => 26
    [micro_name] => Smart Health
    [micro_image] => 6362
    [micro_user] => 1
    [micro_created] => 1623241005
    [micro_last_edit_user] => 0
    [micro_last_edit_date] => 0
    [micro_cID] => 3610
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)