KRITIS

IT-Sicherheit kann Leben retten

Von Jens Bartels · 2022

Die Zahl der Cyberangriffe steigt weiter an. Davon sind auch Einrichtungen der kritischen Infrastruktur wie etwa Krankenhäuser betroffen. Die Folgen ausgefallener IT-Systeme können im Ernstfall Menschenleben gefährden. Gefragt sind deswegen eine Verbesserung sicherheitsrelevanter Konzepte und eine stärkere Sensibilisierung der Mitarbeitenden in Gesundheitseinrichtungen.

Eine Hand bedient ein futuristisches Displays, das ein Schloss zeigt.
IT-Systeme müssen immer ausgeklügelteren Angriffen standhalten. Foto: iStock / metamorworks

Qualität und Anzahl von Hackerangriffen nehmen laut des Lageberichts des Bundeskriminalamtes stark zu. Zu den bevorzugten Zielen im Bereich der medizinischen Infrastruktur gehören Krankenhäuser. Aktuelle Beispiele dafür liefern die nur einige Monate zurückliegenden Cyberangriffe auf den Klinikverbund Medizin Campus Bodensee oder das Klinikum Braunschweig. Durch den Hackerangriff auf den Klinikverbund fiel für einige Tage die komplette Computer- und Informationstechnik aus; im Braunschweiger Klinikum legte ein Computervirus für mehrere Stunden die Kommunikation lahm. Unter anderem konnten in diesem Fall keine E-Mails mehr gelesen werden. 

Solche Cyberattacken sind besonders problematisch, da der Sektor Gesundheit zum Bereich der Kritischen Infrastrukturen (KRITIS) zählt, also die Grundlage für das Funktionieren unserer Gesellschaft bildet. Klar muss in diesem Zusammenhang sein: Hackerangriffe auf Infrastrukturen der medizinischen Versorgung gefährden Menschenleben und schaden dem Patientenwohl. Entsprechend ist es von zentraler Bedeutung, etwa Krankenhäuser als eine der tragenden Säulen der Gesundheitsversorgung bestmöglich vor Cyberangriffen zu schützen.

Schwachstellen identifizieren

Als ersten Schritt zu mehr Sicherheit gilt es, mögliche Schwachstellen über eine Bestandsaufnahme des aktuellen IT-Systems ausfindig zu machen. Oft lässt sich beobachten, dass die IT-Infrastruktur in Krankenhäusern nur selten systematisch und gleichmäßig mit den technischen Anforderungen und den mit ihr verbundenen IT-Sicherheitsaspekten gewachsen ist. Deswegen sollten Krankenhäuser bei einem sogenannten Cybersicherheits-Check ihre gesamte IT-Infrastruktur einschließlich ihrer Netzwerkverbindungen zu Partnern, Dienstleistern und Kunden analysieren, fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI). 

Dabei stehen Krankenhäuser nach Überzeugung des BSI im Hinblick auf die Umsetzung von organisatorischen und technischen IT-Sicherheitsanforderungen besonderen Herausforderungen gegenüber. Sie müssen auf der einen Seite die Anforderungen an die IT-Sicherheit umsetzen, ohne dass es auf der anderen Seite zu spürbaren Beeinträchtigungen des medizinischen Betriebs kommt. Eine weitere zentrale Schwachstelle der IT-Systeme in Krankenhäusern ist der Faktor Mensch. Darauf weist eine Studie von Kaspersky Europe aus dem vergangenen Jahr hin. Demnach sehen 30 Prozent der im Rahmen der Studie befragten IT-Entscheidungsträger im deutschen Gesundheitswesen insbesondere ihre Mitarbeitenden und deren fehlendes Cybersicherheitsbewusstsein als größtes IT-Sicherheitsrisiko.
 

Eine Assistenzärztin bedient im OP einen Monitor.
Krankenhäuser brauchen besonderen Schutz. Foto: iStock / gpointstudio

Sicherheitsniveau bei der KRITIS im Sektor Gesundheit erhöhen

Um diese Schwachstellen zu beseitigen und das IT-Sicherheitsniveau in Krankenhäusern langfristig erfolgreich anheben zu können, bedarf es einer ganzheitlichen Betrachtung mit einem etablierten und systematischen Vorgehen bei modernen IT-Sicherheitsvorhaben. Dazu gehören unter anderem der Aufbau und Betrieb eines Informationssicherheitsmanagementsystems sowie dessen kontinuierliche Weiterentwicklung, die Erweiterung des vorhandenen IT-Notfallmanagements und die Berücksichtigung der IT-Anforderungen bei bereichsübergreifenden Prozessen. Darüber hinaus sollten alle Mitarbeitenden durch entsprechende Weiterbildungen und Kurse oder auch durch externe IT-Sicherheitsexperten individuell über den richtigen Umgang mit potenziellen digitalen Gefahren in ihrem jeweiligen Zuständigkeitsbereich umfassend geschult werden. Nicht zuletzt geht es bei der Etablierung eines besseren Sicherheitsniveaus um die Frage, welche Person über welchen Zugang auf welches System zugreifen kann, oder um die regelmäßige Erstellung von Sicherheitskopien der vorhandenen Daten. Hier gilt der Grundsatz: Je besser die Daten gesichert sind und je öfter sie erstellt werden, desto mehr schützen sie davor, auf Forderungen von kriminellen Hackern eingehen zu müssen.


IT-Sicherheit und Datenschutz im Blick

Die digitale Transformation des Gesundheitssektors wird die Anforderungen an die IT-Sicherheit noch einmal erhöhen. Gleichzeitig gilt es aber, die Regelungen zu Datenschutz und Datenweitergabe im Gesundheitssektor so zu gestalten, dass die hochsensiblen Daten sicher sind, gleichzeitig aber Forschung und Wissenschaft zur Verfügung gestellt werden können. „Bei Gesundheitsdaten besteht, mehr als in anderen Bereichen, ein Spannungsverhältnis zwischen IT-Sicherheit und Datenschutz auf der einen und den Potenzialen der Datennutzung auf der anderen Seite“, erläutert Uwe Cantner, Vorsitzender der Expertenkommission Forschung und Innovation (EFI). Verbesserungen bei der Gesundheitsversorgung und Neuerungen der personalisierten Medizin würden somit ausgebremst. Vor dem Hintergrund der bestehenden Hemmnisse bei der Weitergabe und Nutzung von Gesundheitsdaten und zur besseren wissenschaftlichen Nutzung von Gesundheitsdaten befürwortet die Expertenkommission ausdrücklich das im Koalitionsvertrag angekündigte Gesundheitsdatennutzungsgesetz. Dabei müsse aber der administrative Aufwand für die DSGVO-konforme Nutzung von Gesundheitsdaten möglichst gering gehalten werden. „Um die mit den Daten aus der elektronischen Patientenakte verbundenen Potenziale – wie zum Beispiel passgenaue Diagnosen – ausschöpfen zu können, sollte die Möglichkeit der Freigabe der Daten, insbesondere für Forschungszwecke, möglichst niederschwellig ausgestaltet werden“, fordert Cantner. 

Wussten Sie schon, dass ...

... zu den KRITIS, also den Kritischen Infrastrukturen, insgesamt neun Sektoren gehören? Neben dem Gesundheitssystem sind das die Bereiche Energie, IT und Telekommunikation, Transport und Verkehr, Medien und Kultur, Wasserversorgung, Finanzen und Versicherungen, Ernährung sowie Staat und Verwaltung. Diese Sektoren gilt es besonders zu schützen, bilden sie doch das Rückgrat unserer Gesellschaft.

Array
(
    [micrositeID] => 59
    [micro_portalID] => 26
    [micro_name] => Smart Health
    [micro_image] => 6362
    [micro_user] => 1
    [micro_created] => 1623241005
    [micro_last_edit_user] => 0
    [micro_last_edit_date] => 0
    [micro_cID] => 3610
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)