POLITIK

Medizinische IT-Netzwerke: Cybersicherheit als Herausforderung

Dtsch Arztebl 2016; 113(9): A-364 / B-309 / C-309

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Mit der zunehmenden Vernetzung im Gesundheitswesen steigt für Krankenhäuser das Risiko, Opfer von Viren, Trojanern und anderen Angriffen aus dem Netz zu werden. Das IT-Risikomanagement gewinnt daher weiter an Bedeutung.

Fotos: mauritius images
Fotos: mauritius images

Im Frühjahr 2014 berichtete das Online-Magazin Wired über eine Studie des IT-Sicherheitsexperten Scott Erven in US-amerikanischen Krankenhäusern. Erven hatte über einen Zeitraum von zwei Jahren medizinische Netzwerke geprüft und war auf schwerwiegende Sicherheitslücken gestoßen (1). Er fand zahlreiche medizinische Geräte, die über unzureichend geschützte Schnittstellen von außen erreichbar und in zentralen Funktionen manipulierbar waren, wie etwa Röntgengeräte oder Infusionspumpen, deren Dosierung sich per Fernsteuerung verändern ließ. Ebenso war es beispielsweise möglich, das Kühlsystem für Blutkonserven mitsamt Alarmsystem abzuschalten.

Anzeige

Wie groß die Gefahren aus dem Netz für Einrichtungen im Gesundheitswesen inzwischen sind (Kasten), verdeutlichten zuletzt Medienberichte über die Ausbreitung eines Computervirus, von dem fünf Krankenhäuser in Nordrhein-Westfalen Anfang Februar teilweise erheblich betroffen waren.

Virusalarm im Krankenhaus

Der Auslöser war ein unbedacht geöffneter E-Mail-Anhang, über den sich der Schädling verbreiten, alle erreichbaren Daten verschlüsseln und damit unbrauchbar machen konnte. Das Lukaskrankenhaus in Neuss, eines der betroffenen Häuser, das normalerweise komplett papierfrei arbeitet, musste in der Folge Hunderte Rechner herunterfahren und auf Papierbetrieb umstellen. Elektive Eingriffe mussten verschoben und schwere Fälle an andere Kliniken delegiert werden.

Der IT-Sicherheitsforscher Florian Grunow, Mitarbeiter beim IT-Security-Dienstleister ERNW in Heidelberg und Mitglied im Chaos Computer Club, kennt sich mit Sicherheitslücken in der IT-Infrastruktur von Gesundheitseinrichtungen aus. Aus Sicht des Experten, der auch von Krankenhäusern damit beauftragt wird, durch Penetrationstests Schwachstellen in der IT-Infrastruktur herauszufinden, gibt es vor allem zwei Gefahrenquellen: „Krankenhäuser haben immer noch Probleme mit älteren Viren und Trojanern, die zum Angreifen benutzt werden können, weil dort noch viele relativ alte Systeme herumstehen. Die andere Bedrohung stellen die medizinischen Geräte selbst dar, die ein großes Angriffspotenzial bieten, weil bei ihrer Entwicklung nie der Fokus auf IT-Sicherheit gesetzt worden ist.“

Hinzu kommt, dass neue Medizintechnik immer mehr mit Netzwerkfunktionalität verbunden ist. „Der Netzwerksicherheitsstandard im Krankenhaus liegt aber oft beim Niveau der 90er Jahre“, meint Grunow. Gründe dafür seien fehlende Ressourcen für Security, ein fehlendes Bewusstsein für die Bedrohungen und die zunehmende Komplexität der Lösungen.

Paradigmenwechsel

„Durch die Vernetzung in den Krankenhäusern findet gerade ein Paradigmenwechsel statt“, meint Christoph Nahrstedt, Mednovo Medical Solutions GmbH und stellvertretender Leiter der AG Medizinprodukte beim Bundesverband Gesundheits-IT (bvitg). „Medizinprodukte waren früher eher darauf ausgelegt, in geschlossenen Systemen oder in eigenständigen Subsystemen zu arbeiten. Dadurch, dass moderne IT und Medizintechnik immer weiter zusammenwachsen und die künstlichen Systemgrenzen nicht mehr funktionieren, wird eine Durchgängigkeit beider Bereiche erforderlich. Die Zusammenführung in den Krankenhäusern hat aber erst begonnen.“

Verständlicherweise, denn beide Abteilungen haben zuvor recht unterschiedlich gearbeitet: „Der IT-Bereich war nicht so normen- und spezifikationsorientiert wie die Medizintechnik, sondern häufig mit dem heterogenen Betrieb vielfältiger technischer Lösungen konfrontiert“, erläutert Nahrstedt. Anders als in der IT hätten die Medizintechnikhersteller immer schon ein Risikomanagement betrieben, weil dies im Medizinprodukterecht (MPG) so vorgeschrieben sei. Zunehmend stünden sie aber vor einem Dilemma: „Sie stellen Geräte her, die sie für spezifische Einsatzzwecke konzipieren. Das Risikomanagement von Medizinprodukten orientiert sich immer am bestimmungsgemäßen Gebrauch des Gerätes. Wenn dieses aber Teil eines vernetzten Systemverbundes wird, dann ist Sicherheit nicht mehr so einfach zu gewährleisten.“

Die Hersteller stehen somit vor der Herausforderung, die Integration und Vernetzung von Medizinprodukten untereinander sowie mit angrenzenden IT-Systemen zu berücksichtigen. „Themen wie Datenaustausch, Interoperabilität und Big-Data führen dazu, dass sich die Hersteller öffnen müssen“, meint Nahrstedt. Allerdings tun sie dies eher zögerlich und mit „verständlicher Zurückhaltung“, denn letztlich fehle derzeit auch die Rechtssicherheit im Hinblick auf haftungsrechtliche Fragen. „Eine Firma weiß nicht genau: Wann habe ich einer Verpflichtung wirklich hundertprozentig Genüge getan? Vertragliche Regelungen hierzu sind schwierig“, so Nahrstedt.

Ein gutes Beispiel dafür ist die Fernwartung. „Dabei müssen die Krankenhäuser im Hinblick auf den Datenschutz eine Vielzahl gesetzlicher Auflagen, wie Landesgesetze, das Bundesdatenschutzgesetz und kirchliche Datenschutzgesetze, beachten“, betont Nahrstedt. Eine verbandsübergreifende Arbeitsgruppe unter Beteiligung des bvitg hat daher ein eigenes Vertragswerk für das Gesundheitswesen erarbeitet (2).

Risiko Fernwartung

Danach ist beispielsweise unbedingt sicherzustellen, dass Fernwartungszugänge nur temporär und nach Freischaltung bestehen. Ein Dauerzugang sei nicht erlaubt, so Nahrstedt. Die Möglichkeit zur Überwachung muss gegeben sein, weil der Auftraggeber gewisse hoheitliche Aufgaben nicht delegieren darf. Daher hat er nach Ankündigung immer ein Zugangsrecht zu den Datenverarbeitungsanlagen des Auftragnehmers, um sich über die ordnungsgemäße Einhaltung der Datenschutzrichtlinien und -gesetze zu informieren und diese zu überprüfen. Ferner sollte die Übertragung verschlüsselt sein. Der Auftragnehmer muss sich zudem vertraglich dazu verpflichten, einen wirksamen Zugangsschutz zu realisieren. Die Mitarbeiter müssen auf das Datenschutzgesetz verpflichtet und belehrt worden sein.

In vielen Fällen verlassen sich die Hersteller darauf, dass die Klinik als Betreiber das Medizingerät in den Griff bekommt. Medizinprodukte dürfen jedoch nicht einfach durch Updates, Upgrades oder zum Beispiel einen Virenscanner verändert und in der Zweckbestimmung erweitert werden, da dadurch die Zulassung der Geräte nach dem MPG infrage gestellt wird. Dies trägt zur Verschärfung des Sicherheitsproblems in den Krankenhäusern bei. „Medizingeräte erfüllen kaum die Sicherheitskriterien, die wir an IT-Komponenten im Hinblick auf den Betrieb in Netzwerken heute stellen“, sagt Prof. Dr. med. Björn Bergh, Direktor des Zentrums für Informations- und Medizintechnik am Universitätsklinikum Heidelberg. „Sie sind in der Regel nicht aktuell, was die Betriebssystem-Updates angeht und haben entweder gar keine Malware-Schutzfunktion oder wenn, dann ist immer das Update problematisch.“

Hinzu kommt: „Ein Beatmungsgerät kann nicht einfach ausgeschaltet werden, selbst wenn darauf ein Virus festgestellt wird. Wenn auf einer Station von zwanzig Geräten zehn befallen sind, wie soll das Krankenhaus den Ausfall überbrücken?“, so Bergh.

Kühlsysteme von Blutkonserven erwiesen sich in Sicherheitstests als von außen erreichbar und steuerbar. Auch die Alarmsysteme konnten abgeschaltet werden. Foto: your Photo today
Kühlsysteme von Blutkonserven erwiesen sich in Sicherheitstests als von außen erreichbar und steuerbar. Auch die Alarmsysteme konnten abgeschaltet werden. Foto: your Photo today

Ansatz bei Netzwerksicherheit

Weil auf absehbare Zeit nicht davon auszugehen ist, dass die vernetzten Medizinprodukte durchgängig sicher sind, bleibt Bergh zufolge für die Krankenhäuser als Lösung letztlich nur die netzwerktechnische Absicherung. „Hier sind Häuser im Vorteil, die über ein spezialisiertes Netzwerk- beziehungsweise Sicherheitspersonal verfügen, das entsprechende Lösungen aufsetzen und betreuen kann“, erläutert er.

Ein gängiges Verfahren, die Sicherheit zu erhöhen, ist dabei, die Geräte in separaten Netzwerken zu betreiben. Allerdings müssen auch die verschiedenen Subnetze wieder verbunden werden. So werden etwa die Monitoringdaten aus der Intensivstation im Patientendatenmanagementsystem, im OP-System oder im Anästhesiesystem benötigt. Dafür werden Gateways zwischen die Subnetze und das herkömmliche Kliniknetzwerk, in dem die PCs integriert sind, geschaltet. „Dadurch werden die Gateways dann die sicherheitskritischen Punkte. Wenn sie sich Malware einfangen, hat man das Problem auf beiden Seiten“, erläutert Bergh. Gateways sind ihm zufolge häufig nicht oder nur teilweise Medizinprodukte. Bei einigen Herstellern sind sie besonders geschützt. Das gelte aber nicht durchgängig. Hinzu kommt: „Nahezu jede Medizinproduktgruppe hat herstellerseitig ein eigenes oder sogar mehrere Gateways, die alle gemanagt werden müssen.“

Infusionspumpen, über die Medikamente auf Intensivstationen verabreicht werden, konnten in Sicherheitstests gehackt und anschließend in ihren Dosierungen verändert werden.
Infusionspumpen, über die Medikamente auf Intensivstationen verabreicht werden, konnten in Sicherheitstests gehackt und anschließend in ihren Dosierungen verändert werden.

Einfache Basisprophylaxe

Zusätzlich gibt es auch relativ viele Geräte, die nicht in Subnetze integriert werden, aber trotzdem Daten austauschen müssen, wie etwa Röntgengeräte. Diese befinden sich im herkömmlichen Netzwerk und stellen damit auch ein Sicherheitsproblem dar.

Was können die Krankenhäuser tun, um Cyberangriffe abzuwehren und ihre medizinischen Netzwerke zu schützen? Sie sollten über eine Gesamtstrategie aus technischen und organisatorischen Sicherheitsmaßnahmen verfügen, meint Bergh. Dazu zählen zunächst die „klassischen“ technischen Maßnahmen, wie Updates und Sicherheits-Patches einspielen, Zugangswege, Endgeräte und Server absichern, Firewalls einrichten und sicher betreiben sowie die Netzwerke und die Fernwartung kontrollieren. Hinzu kommen organisatorische Aspekte wie die Schulung des Personals, damit dieses etwa keine USB-Sticks verwendet und mit E-Mail-Anhängen grundsätzlich vorsichtig umgeht.

Ähnlich sieht das der Sicherheitsexperte Grunow. Oft gehe es nicht darum, schwierige Hacker-Angriffe zu verhindern, sondern viele Risiken ließen sich mit relativ einfachen Sicherheitsmaßnahmen abstellen. „Die Angriffe, die wir hauptsächlich bei Medizingeräten finden, sind etwa für jedermann zugängliche ungeschützte administrative Schnittstellen, Passwörter für Geräte, die man im Internet nachsehen kann, mit denen man sich komplett einloggen kann.“ Das Zweite sei, beim Hersteller Security als Feature einzufordern. Damit lasse sich mittelfristig der Druck auf den Markt erhöhen. „Das IT-Know-how ist da, es muss nur ins Haus geholt werden.“

Einige Medizinproduktehersteller haben vor diesem Hintergrund damit begonnen, die Sicherheit auf ihre Agenda zu setzen. „Jeder Punkt, an dem Daten in ein Gerät gelangen können, ist ein möglicher Angriffspunkt“, erläutert Hannes Molsen, zuständig für die Informationssicherheit von Produkten bei dem Medizintechnikhersteller Dräger. Hierzu zählen zum Beispiel die Schnittstellen, über die ein Angreifer das Gerät manipulieren könnte, wie etwa die Benutzeroberfläche, die Netzwerkintegration oder USB-Anschlüsse. Zum Sicherheitskonzept für ein Gerät gehört laut Molsen auch die Umgebung, in der es betrieben wird. „Im Krankenhaus selbst kommt nicht jeder unbemerkt im OP-Trakt oder auf der Intensivstation an ein Gerät.“

Patientendatenmonitore konnten teilweise so manipuliert werden, dass die Vitaldaten falsch angezeigt, Alarme unterdrückt und falsche Daten an die Überwachungszentrale übermittelt wurden.
Patientendatenmonitore konnten teilweise so manipuliert werden, dass die Vitaldaten falsch angezeigt, Alarme unterdrückt und falsche Daten an die Überwachungszentrale übermittelt wurden.

Gefahr aus der Ferne

Kritischer sind ihm zufolge solche Angriffe, bei denen jemand aus weiter Entfernung versucht, ein Gerät, beispielsweise über das Netzwerk, zu manipulieren. Neben der Geräte- und Netzwerksicherheit komme es immer auch auf die technische Expertise des Angreifers an. Klar sei: „Hundertprozentige Sicherheit wird es kaum geben. Die Frage ist eher, wie klein der Kreis der potenziellen Angreifer gehalten werden kann dadurch, dass das technische Know-how, über das sie verfügen müssten, so hoch wie möglich angesetzt ist.“

Für den Medizintechnikhersteller sind dabei unterschiedliche Wirkungsbereiche in die Sicherheitsbetrachtung einzubeziehen, wie zum Beispiel der Datenverlust und das Geschäftsrisiko. An erster Stelle stehe aber immer die Patientensicherheit, bei der keinerlei Abstriche zu machen seien, erläuterte Molsen. Wichtig sei dazu unter anderem eine Segmentierung der Geräte, so dass kritische Funktionen zum Beispiel bei einem Netzwerkausfall autark weiter funktionieren. „Wenn etwa ein Anästhesiegerät, das am Netzwerk hängt, von einem Angriff oder Fehlverhalten im Netzwerk bedroht ist und überlastet werden könnte, würde sich die Netzwerkschnittstelle abschalten, die essenzielle klinische Performance bleibt jedoch erhalten“, erläutert Molsen.

Die Wahrscheinlichkeit, dass jemand zielgerichtet versucht, auf ein Medizingerät zuzugreifen, stuft er aber als eher gering ein. „Ein höheres Risiko besteht dagegen für einen Kollateralschaden durch Viren und Malware.“ Um davor zu schützen, sind Betriebssysteme in medizinischen Geräten in der Regel gehärtet, das heißt, sie bestehen unter anderem nur aus Komponenten, die speziell für den Betrieb des jeweiligen Gerätes erforderlich sind und bieten so weniger Angriffsfläche für Viren.

Das Bundesamt für Sicherheit in der Informationstechnik fungiert für Betreiber kritischer Infrastrukturen künftig als Meldestelle bei erheblichen IT-Sicherheitsvorfällen.
Das Bundesamt für Sicherheit in der Informationstechnik fungiert für Betreiber kritischer Infrastrukturen künftig als Meldestelle bei erheblichen IT-Sicherheitsvorfällen.

Meldekette des Herstellers

Ein wichtiger Baustein der Sicherheitsstrategie bei Dräger ist darüber hinaus die „Coordinated Vulnerability Disclosure Policy“, eine Art direkter Draht zu den Sicherheitsexperten des Herstellers, über den Externe die Möglichkeit haben, entdeckte potenzielle Schwachstellen mitzuteilen. „Man kann niemals ausschließen, dass eine vorher unbekannte Schwachstelle gefunden wird, und nicht zuletzt zum Schutz der Patienten ist es in unserem Inter-esse, dass wir so früh wie möglich davon erfahren“, betont Molsen.

Vor diesem Hintergrund dürfte sich die Zusammenarbeit in puncto Sicherheit zwischen Medizintechnik und IT in den nächsten Jahren weiter vertiefen. Die internationale Norm IEC 80001 zum Risikomanagement für medizinische IT-Netzwerke und die darauf beruhende DIN EN 80000-1, die sich vor allem an die Betreiber und Anwender wendet, fokussieren darauf, dass diese mit den Herstellern partnerschaftlich zusammenarbeiten (3).

„Zur Erfüllung der Norm benötigen die Betreiber für das Risikomanagement die Informationen der Industrie, etwa in Form einer erweiterten Produktdokumentation“, erklärt Nahrstedt. Dabei gebe es zwei Möglichkeiten: Entweder sei der Hersteller sehr restriktiv in den Vorgaben zum Gerät. „Damit nimmt er gegebenenfalls dem Betreiber jegliche Möglichkeit einer dynamischen Vernetzung mit anderen oder einer kreativen Nutzung für neue Prozesse.“ Oder der Hersteller beschreibe das offener und grundsätzlicher, aber dann müsse auch der Anwender mit Augenmaß agieren und sein Risikomanagement pflegen. „Diesen Prozess können Betreiber und Hersteller ja durchaus als gemeinsamen Weg gestalten“, meint Nahrstedt.

Auch Bergh plädiert dafür, einerseits auf der Geräteseite anzusetzen, andererseits aber, solange es keine generischen Lösungen gibt, den Hersteller mit ins Boot zu holen und gegebenenfalls in einer Entwicklungspartnerschaft eine Roadmap für ein höheres Sicherheitslevel zu erstellen. Gleichzeitig wäre es ihm zufolge erforderlich, mehr in die Forschung zu investieren. „Dabei geht es einerseits darum: Wie kann man die Netzwerksicherheit und die Schnittstellen standardisieren, welche Verfahren sind da etabliert? Und andererseits ist zu fragen: Wie kann man über bestimmte Hardwarekomponenten die Medizinprodukte sicherer machen?“, so Bergh.

Anforderungen steigen

Einen weiteren Hinweis darauf, dass sich die Sicherheitsanforderungen erhöhen werden, gibt ein Mitte Januar veröffentlichter Richtlinienentwurf der US-amerikanischen Food and Drug Administration, die die Medizintechnikhersteller auch nach dem Inverkehrbringen der Geräte zu mehr Engagement verpflichten will. Sie verweist auf die Richtlinien der Standardisierungsbehörde NIST zur Absicherung kritischer Infrastrukturen vor Cyberangriffen (4). In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im Jahr 2013 den Leitfaden „Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT“ veröffentlicht (5).

Das im Juli 2015 verabschiedete IT-Sicherheitsgesetz könnte einen weiteren Schub bringen. Das Gesetz verpflichtet die wichtigen Betreiber kritischer Infrastrukturen dazu, IT-Sicherheitsvorfälle dem BSI zu melden. Wer aus dem Gesundheitsbereich zu diesen Einrichtungen zählt, soll bis Ende 2016 ermittelt werden.

Heike E. Krüger-Brand

Sicherheitsrisiken

Definitionen

Medizinische IT-Netzwerke sind Netzwerke, in denen mindestens ein Medizinprodukt eingebunden ist (siehe DIN EN 80001-1 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten).

Cyberattacken sind Angriffe auf Computernetzwerke von außen. Sie umfassen beispielsweise:

    IT-Risiken im Gesundheitswesen sind das Thema dieser vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen Broschüre.
    IT-Risiken im Gesundheitswesen sind das Thema dieser vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen Broschüre.
  • Viren, Trojaner, Würmer, Spyware, Spam
  • Advanced Persistent Threats: komplexe, zielgerichtete Angriffe auf kritische IT-Infrastrukturen wie medizinische Netzwerke. Nach dem ersten Eindringen in einen Rechner dringt der Angreifer weiter in die lokale IT-Infrastruktur des Opfers vor. Dabei will er möglichst lange unentdeckt bleiben, um über einen längeren Zeitraum sensible Informationen auszuspähen oder anderen Schaden anzurichten
  • Botnets: Dabei schleusen Angreifer Trojaner auf Computer ein, übernehmen die Kontrolle über sie und schließen die infizierten Systeme zu einem Netzwerk zusammen, das dann per Fernzugriff gesteuert wird.
  • DDoS-Angriffe (Distributed Denial of Service) zielen darauf ab, die Ressourcen eines Servers durch eine Vielzahl gleichzeitiger Anfragen von verschiedenen Punkten im Internet aus so zu überlasten, dass der Server im schlimmsten Fall nicht mehr erreichbar ist.
  • Zero-Day-Exploits: Angriffe, die am selben Tag, an dem eine Schwachstelle in einer Software entdeckt wird, erfolgen, also noch bevor dafür ein Patch des Softwareherstellers verfügbar ist.

Mögliche Risiken für Gesundheitseinrichtungen

  • Zugriff auf vertrauliche Daten, etwa aus einer psychiatrischen Klinik
  • Manipulation oder Löschen von Daten
  • Gefährdung von Patienten (Ausfall, Manipulation von Geräten beziehungsweise Daten)
  • Sabotage oder Erpressung von Krankenhäusern, James-Bond-Szenario (VIP-Patient wird gezielt physisch angegriffen)
  • Störungen der Betriebsabläufe

IT-Sicherheit im Fokus

Foto: BDPK
Foto: BDPK

Seit einiger Zeit gelingt es Hackern offenbar, mit Cyberangriffen bis in sensible Bereiche einiger Krankenhäuser vorzudringen. Wir nehmen das Problem sehr ernst und verfolgen aufmerksam die Vorgänge. Innerhalb des Verbandes haben wir bislang keine Informationen, dass unsere Mitglieder betroffen sind und dass es sich um eine Schwerpunktattacke gegen Krankenhäuser handelt. Im Interesse aller muss aufgeklärt werden, was genau vorgefallen ist, damit andere Krankenhäuser daraus lernen und gegebenenfalls Nachbesserungen an ihrer IT-Sicherheit vornehmen können. Es muss unter allen Umständen sichergestellt werden, dass jeder Patient im Krankenhaus sicher behandelt wird und dass seine Daten geschützt sind.

Wir sollten vorsichtig sein mit Ruf nach gesetzgeberischen Maßnahmen. Neue Gesetze gewährleisten nicht zwangsläufig größere Sicherheit, wie das IT-Sicherheitsgesetz aktuell zeigt. Erforderlich sind konkrete Maßnahmenpakete, die die IT-Infrastruktur in einem Krankenhaus sicherer machen. Dazu gehört auch deren Finanzierung.

Thomas Bublitz, Hauptgeschäftsführer Bundesverband Deutscher Privatkliniken e.V.

Foto: DKG
Foto: DKG

Die IT-Sicherheit ist für Krankenhäuser von zentraler Bedeutung, insbesondere für die Patientensicherheit. Nicht erst seit den Hackerangriffen auf einzelne Krankenhäuser haben die Krankenhäuser und die DKG dieses Thema als Schwerpunkt gesetzt.

Die Krankenhäuser wissen, dass sie zu den kritischen Infrastrukturen zählen. IT-Sicherheit hat in den Leitungen der Krankenhäuser einen entsprechend hohen Stellenwert. Die DKG setzt sich seit vielen Jahren für den Schutz und die Sicherheit der Daten und IT-Systeme ein. Dies findet durch Abklärungen mit den Datenschutzbeauftragten, durch Hinweise zum technischen Datenschutz und durch die Mitarbeit an Normen zum Schutz medizinischer IT-Netzwerke statt. Ein weiterer Schwerpunkt ist die Umsetzung des IT-Sicherheitsgesetzes für die Krankenhäuser. Die DKG erarbeitet mit weiteren Teilnehmern des Arbeitskreises „Gesundheitsversorgung“ und dem Bundesamt für Sicherheit in der Informationstechnik Vorgaben zu branchenspezifischen Sicherheitsstandards.

Klar muss aber auch sein, dass IT-Sicherheit immer mehr finanzielle Mittel beansprucht. Um mit den wachsenden Bedrohungen technisch Schritt halten zu können, sind noch mehr Investitionen in IT erforderlich. Für die Bereitstellung der Investitionsmittel der Krankenhäuser sind die Bundesländer zuständig. Sie müssen auch angesichts der Cyberbedrohung mehr Mittel bereitstellen. Ebenfalls hilfreich wäre es, über ein nationales Förderprogramm für die IT-Sicherheit im Gesundheitssektor nachzudenken.

Georg Baum, Hauptgeschäftsführer der Deutschen Krankenhausgesellschaft (DKG)

Foto: VUD
Foto: VUD

Das Gefährdungspotenzial von Schadsoftware ist auch für Uniklinika sehr hoch. Sie müssen ebenso viele Anstrengungen zur Sicherung von Patientendaten und Krankenversorgung unternehmen wie andere Krankenhäuser. Hinzu kommt: Uniklinika müssen auch die Datensicherung von wertvollen Forschungs- und Studienergebnissen gewährleisten. Ständige hohe Investitionen in die IT-Sicherheit sind daher unverzichtbar. Nur so können Angriffe wirksam abgewehrt werden. Eine leistungsfähige Netz- und Berechtigungsstruktur und die Vorhaltung von umfangreichen Backups kann die Gefahren gering halten. Dies alles erfordert Investitionen und einen hohen Personalaufwand – leider oftmals ohne eine ausreichende Gegenfinanzierung.

Dr. Christoph Hoppenheit, Vorstandsmitglied des Verbands der Universitätsklinika Deutschlands e.V.

1.
www.wired.com/2014/04/hospital-equipment-vulnerable
2.
Muster für einen ADV(Auftragsdatenverarbeitungs)-Vertrag, herausgegeben vom Bundesverband Gesundheits-IT: www.bvitg.de/ADV-Mustervertrag.html
3.
siehe Positionspapier der Deutschen Gesellschaft für Biomedizinische Technik im VDE und der Deutschen Interdisziplinären Vereinigung für Intensiv- und Notfallmedizin zum Risikomanagement von vernetzten Medizinprodukten in der Intensiv- und Notfallmedizin: www.vde.com
4.
FDA outlines cybersecurity recommendations for medical device manufacturers, www.fda.gov/NewsEvents/Newsroom/PressAnnouncements/ucm481968.htm
1. www.wired.com/2014/04/hospital-equipment-vulnerable
2.Muster für einen ADV(Auftragsdatenverarbeitungs)-Vertrag, herausgegeben vom Bundesverband Gesundheits-IT: www.bvitg.de/ADV-Mustervertrag.html
3.siehe Positionspapier der Deutschen Gesellschaft für Biomedizinische Technik im VDE und der Deutschen Interdisziplinären Vereinigung für Intensiv- und Notfallmedizin zum Risikomanagement von vernetzten Medizinprodukten in der Intensiv- und Notfallmedizin: www.vde.com
4. FDA outlines cybersecurity recommendations for medical device manufacturers, www.fda.gov/NewsEvents/Newsroom/PressAnnouncements/ucm481968.htm
5. www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/RisikoanalyseKrankenhausIT_Leitfaden_pdf.pdf?_blob=publicationFile

    Leserkommentare

    E-Mail
    Passwort

    Registrieren

    Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

    Fachgebiet

    Zum Artikel

    Alle Leserbriefe zum Thema

    Login

    Loggen Sie sich auf Mein DÄ ein

    E-Mail

    Passwort

    Anzeige