ArchivDeutsches Ärzteblatt42/2017IT-Sicherheit im Krankenhaus: Cyberrisiken als Herausforderung

THEMEN DER ZEIT

IT-Sicherheit im Krankenhaus: Cyberrisiken als Herausforderung

Dtsch Arztebl 2017; 114(42): A-1910 / B-1620 / C-1586

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Viele Krankenhäuser sind immer noch unzureichend auf Angriffe aus dem Netz vorbereitet. Mit der BSI-Kritis-Verordnung könnten die Anforderungen an Schutzvorkehrungen und Sicherheitsstandards generell steigen.

theaphotography stock.adobe.com
theaphotography stock.adobe.com

Als im Februar 2016 ein Mitarbeiter im Lukas-Krankenhaus in Neuss den Anhang einer E-Mail mit dem Betreff „Rechnung“ öffnete, legte ein Virus mit einer Verschlüsselungssoftware (Ransomware) die IT-Systeme der Klinik tagelang lahm. In der Folge mussten sämtliche digitalen Prozesse komplett auf Handbetrieb umgestellt werden, 15 Prozent der Operationen konnten nicht stattfinden. Durch die Betriebsunterbrechung und die Kosten für Forensik, Wiederherstellung der Dateien und das Krisenmanagement entstand ein Gesamtschaden von circa einer Million Euro.

Anzeige

Nicht immer dringen Berichte über einen solchen Vorfall an die Öffentlichkeit, weil betroffene Kliniken befürchten, dass die Reputation der Einrichtung Schaden nehmen könnte. Nach einer Umfrage der Unternehmensberatung Roland Berger vom Mai 2017 waren jedoch bereits zwei Drittel der deutschen Krankenhäuser schon einmal Opfer eines Cyberangriffs, berichtete das Handelsblatt.

Erst kürzlich sorgte auch die Schadsoftware „WannaCry“ weltweit für Aufregung und zog zahlreiche Krankenhäuser des National Health Service in Großbritannien in Mitleidenschaft. Mehr als 26 Millionen Datensätze mit sensiblen Krankheitsdaten wurden bei der großangelegten Computerattacke gefährdet. Dennoch: Im Unterschied zu dem eher zentral organisierten Gesundheitssystem in Großbritannien sei die Gefahr eines flächendeckenden Ausfalls in den deutschen Krankenhäusern deutlich geringer, so der Bundesverband Gesundheits-IT in einer Presseerklärung. Durch die dezentralen Organisationsstrukturen hierzulande bedürfe es schon gezielter Angriffe auf jede einzelne Einrichtung. Umliegende, mit eigenen IT-Systemen ausgestattete Krankenhäuser seien in der Regel nicht betroffen.

Grund zur Panikmache sieht auch Jan Neuhaus, für IT zuständiger Geschäftsführer der Deutschen Krankenhausgesellschaft (DKG), nicht. Dennoch wird Datensicherheit aus seiner Sicht immer wichtiger: „Die Gefahren sind real. Selbst zufällige Angriffe, wie der in Neuss, können Schäden verursachen“, meinte Neuhaus bei einem Expertenforum in Berlin*. Zudem führe die Digitalisierung zu mehr Vernetzung zwischen dem ambulanten und dem stationären Sektor sowie innerhalb der stationären Versorgung. „Bestehende Abschottungsmechanismen funktionieren nicht mehr, wenn man eine moderne Versorgung erbringen will“, so der IT-Experte. Zunehmend mehr Geräte setzen zudem eine Onlineanbindung voraus, und die Anforderungen steigen nochmals dadurch, dass sich die Lebenszyklen von Geräten extrem verkürzt haben.

Vernachlässigtes Thema

Auch wenn das Bewusstsein für das Thema IT-Sicherheit inzwischen wächst, wird die Krankenhaus-IT vielerorts noch immer stiefmütterlich behandelt. Viele Häuser geben aufgrund der angespannten finanziellen Situation in der Regel nur zwei Prozent ihres Umsatzes für IT aus. Zum Vergleich: In den USA investieren Krankenhäuser hierfür immerhin bis zu zehn Prozent ihres Umsatzes. Hinzu kommt: „Viele Krankenhäuser haben die Problematik verschlafen, denn in 90 Prozent der Einrichtungen sind weder Fachpersonal noch Komponenten und definierte Arbeitsstrukturen für IT-Sicherheit vorhanden“, bemängelte Prof. Dr. Kurt Marquardt, Bereichsleiter Konzern-IT der Rhön-Klinikum AG.

Verordnung als Weckruf

Vor dem Hintergrund der wachsenden Bedrohung durch Cyberangriffe aus dem Netz ist das 2015 in Kraft getretene IT-Sicherheitsgesetz aus Sicht von IT-Experten daher ein Schritt in die richtige Richtung. Das Gesetz, das die Bevölkerung vor IT-Gefahren schützen soll, legt fest, was kritische Infrastrukturen (KRITIS) sind und wer zu den Betreibern zählt. Mit der am 30. Juni 2017 in Kraft getretenen „Änderungsverordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritis-Verordnung) gehört auch der Bereich Gesundheit zu den lebensnotwendigen kritischen Infrastrukturen.

Der Gesetzgeber sieht dabei eine Selbstidentifizierungspflicht vor: „Die Betreiber müssen selbst entscheiden, ob sie von dem Gesetz betroffen sind“, erläuterte Matthias Fischer, zuständiger Referent für Cybersicherheit und kritische Infrastrukturen im Bundesinnenministerium (BMI). Als Schwellenwert für versorgungskritische Infrastrukturen wurden 30 000 vollstationäre Behandlungsfälle jährlich für Krankenhäuser festgelegt. In Deutschland sind das circa 110 Krankenhäuser.

Der Schwellenwert sei am Ende eine politische Entscheidung, meinte Fischer mit Blick auf kritische Einwände gegen diese rein quantitative Festlegung. So könne ein Kreiskrankenhaus mit 5 000 Fällen pro Jahr für den Landkreis zwar ebenso eine erhebliche Bedeutung für die Versorgung haben. Ein Ausfall könne jedoch durch ein kommunales Krankenhaus im Nachbarkreis eventuell kompensiert werden.

Der versorgungsgradorientierte Ansatz schließt zudem derzeit auch den ambulanten Sektor aus. Im Hinblick auf die zunehmende Vernetzung in der Medizin könnte sich das als unzureichend herausstellen. „Die Verordnung sehen wir als lebende dynamische Regelung“, meinte Fischer jedoch. Bis Ende 2019 solle die Verordnung daher evaluiert werden, um gegebenenfalls nachzujustieren.

Zu den Pflichten der Betreiber kritischer Infrastrukturen gehört, dass sie gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Kontaktstelle benennen müssen, die rund um die Uhr erreichbar ist. Für den Gesundheitsbereich soll dies bis zum 30. Dezember 2017 geschehen. Die Betreiber sind auch verpflichtet, dem BSI „erhebliche Störungen“, die die Versorgung beeinträchtigen, zu melden. Im Gegenzug erhalten sie Unterstützung und Beratung vom BSI. Über einen spezifischen Kanal will das BSI außerdem bei einer Störung andere Betreiber zeitnah darüber informieren, damit diese rechtzeitig Gegenmaßnahmen ergreifen können.

Darüber hinaus müssen die Betreiber Maßnahmen zur IT-Sicherheit „nach dem Stand der Technik“ ergreifen. Dies sei ein unbestimmter Rechtsbegriff, den das BSI noch auslegen müsse, so Fischer. Die Behörde habe hierzu bereits Hinweise auf ihrer Website veröffentlicht. Den Nachweis der Umsetzung müssen die Einrichtungen erstmals innerhalb von zwei Jahren bis Ende Juni 2019 in einem Audit erbringen und alle zwei Jahre erneuern. Grundlage hierfür sind branchenspezifische Sicherheitsstandards (B3S), die das BSI anerkennt.

Branchenstandard Sicherheit

Krankenhäuser, die von der Rechtsverordnung nicht betroffen sind, weil sie unterhalb der Schwelle liegen, können sich gleichwohl nicht einfach zurücklehnen. Aus zivilrechtlicher Sicht müssten sie den Stand der Technik auch heute schon einhalten, denn „wenn etwas passiert, sind die Einrichtungen in der Haftung“, betonte Fischer. „Ich erwarte daher, dass der branchenspezifische Standard künftig auch von den übrigen Krankenhäusern umgesetzt werden wird“, so der BMI-Experte.

Ähnlich sieht das Marquardt: „Die Verordnung ist ein Weckruf gerade für Krankenhäuser, die an IT-Sicherheit sparen“, erklärte er. „Es müssen vor allem auch kleinere und mittlere Häuser sensibilisiert werden. Die Krankenhäuser, die unterhalb der Schwelle liegen und ihre Köpfe in den Sand stecken, sind die Verlierer von morgen.“

DKG-Experte Neuhaus hofft, dass der Sicherheitsstandard, der noch in diesem Jahr von einem Branchenarbeitskreis Gesundheit erarbeitet werden soll, als Blaupause für alle Krankenhäuser dienen kann. „Dies sichert die Übertragbarkeit und Vereinfachung der Regulierung und ermöglicht einen kontinuierlichen Verbesserungsprozess, wenn er pragmatisch und anwendungsorientiert ist“, meinte er. So müsse der Standard modular sein und für alle Größen passen sowie den Grad der jeweiligen IT-Durchdringung berücksichtigen. Denkbar ist laut Neuhaus zudem eine Art „Ring-Auditierung“ der Krankenhäuser untereinander. Dadurch könnten die Einrichtungen sukzessive auch eine sektorbezogene IT-Sicherheitsexpertise aufbauen. Für die mit der Umsetzung des Standards einhergehenden Kosteneffekte, etwa im Hinblick auf Personal- und Investitionsveränderungen, ist die DKG im Gespräch mit dem Bun­des­ge­sund­heits­mi­nis­ter­ium. Wenn der B3S umgesetzt wird, erwirbt sich der Betreiber laut Neuhaus auch einen Anspruch auf Refinanzierung. Dies erfordere jedoch zunächst eine Kostenschätzung und konkrete Zahlen.

Durch den branchenspezifischen Sicherheitsstandard werde ein Leitfaden für eine gewisse Grundsicherheit entstehen, ist auch der IT-Experte Marquardt überzeugt. Zusätzlich sind ihm zufolge jedoch auch Organisationslösungen notwendig, „für den Fall, dass es mal kracht“. Viele Häuser müssten hier „organisatorisch kräftig nachlegen“.

„IT-Sicherheit ist Chefsache und braucht eine Strategie“, erklärte Prof. Dr. Thomas Friedl vom Fachbereich Gesundheit an der Technischen Hochschule Mittelhessen, Gießen. Zu fragen sei beispielsweise, wo die IT im Organigramm eines Unternehmens angesiedelt sei. „In Krankenhäusern gibt es nur in den seltensten Fällen einen IT-Vorstand“, sagte Friedl. Stellung und Bedeutung der IT in der Organisationshierarchie werden künftig noch wichtiger. Auch bei der Anpassung von Personal und Budget sei noch zu wenig passiert. Bisherige Angriffe beruhten eher auf Zufall. „Was ist, wenn ein Krankenhaus zielgerichtet angegriffen wird?“

IT-Sicherheit ist Chefsache

In jedem Krankenhaus müsse zudem ein Handbuch mit einem Notfallplan für den Desasterfall vorliegen. Im Ernstfall könne das bedeuten, den Stecker zu ziehen und den Krankenhausbetrieb auch ohne IT zu führen. „Es muss Konzepte für den Fall geben, dass ein Haus erfolgreich angegriffen worden ist. Datenschutz und Datensicherheit leben analog zur Hygiene nur von konsequentem Handeln“, betonte Friedl. Aufgrund der vielen Einfallstore im Gesundheitswesen sei die Schulung von Mitarbeitern hinsichtlich Datenschutz und Datensicherheit essenziell. Wichtig sind laut Friedl zudem Rollen- und Rechtekonzepte für die Zugriffe auf Daten.

Bei den Rhön-Kliniken zählen auf technischer Ebene etwa Netzwerksegmentierung und unterschiedliche Security-Level je Mandanten (wie WLAN, Krankenhausinformationssystem, Medizintechnik oder Dienstleister) zu den elementaren Sicherheitskomponenten, berichtete Thorsten Meier, Netzwerkspezialist bei der privaten Klinikkette. Der Zugriff aufs Netzwerk ist dynamisch per Policy geregelt. Sämtliche Systeme sind redundant eingerichtet, sodass ein Störfall kein „Disconnect“ bedeutet.

Häufig sind es aus Sicht von Meier „banale Dinge, die nicht gemacht werden“, die zu Störungen führen. Ausfallsicherere E-Mail-Gateways und ein mehrstufiges Virenscanner-Konzept zur Erkennung von Schadsoftware erhöhen ihm zufolge die Sicherheit. Die Internetnutzung per Web-Gateway ist ebenfalls redundant aufgebaut. „Jeder Zugriff nach draußen wird über das Web-Gateway gefiltert“, erläuterte er. Das geschieht zum Beispiel über die Prüfung von Personenberechtigungen, durch Inhaltsfilter und durch Löschen oder Verschieben in ein lokales Quarantäneverzeichnis.

Problematisch ist insbesondere das mobile Device-Management: „Es gibt nichts Schlimmeres als iPhones, iPads etc. Das sind alles Black-box-Geräte, für die wir das eigene Netzwerk zur Kommunikation öffnen müssen“, so Meier. Bei Röhn gebe es daher kein „Bring your own Device“. Auf den mobilen Geräten werden primär E-Mail und Apps für klinische Anwendungen betrieben. „Die Einrichtung ist nicht trivial und erfordert Fachpersonal.“ Daher sind qualifiziertes Personal für IT-Sicherheit und ein Budget dafür erforderlich. Für ebenso notwendig hält er die Weiterbildung und Schulung der Awareness der Anwender von IT und Medizintechnik. Zudem sollten die wichtigsten Sicherheitszertifizierungen wie etwa die internationale Norm ISO 27001 durchlaufen werden.

Versicherungsschutz prüfen

Cyberangriffe als relativ „neue“ Risiken stellen für Krankenhäuser nicht zuletzt im Hinblick auf die Absicherung über Versicherungspolicen eine besondere Herausforderung dar. So kann es gegebenenfalls vorteilhaft sein, Finanzrisiken auf Versicherer auszulagern und externe Unterstützung einzuholen. Für Gesundheitseinrichtungen ist es dabei wichtig, vorab zu klären, was für Kosten durch einen Betriebsausfall oder einen Datenverlust entstehen können. Experten empfehlen, den eigenen Versicherungsschutz daraufhin unter die Lupe zu nehmen, denn traditionelle Versicherungspolicen stammen aus einer „vordigitalen“ Zeit und decken die Cyberrisiken nur unzureichend ab. Erst seit etwa drei Jahren gibt es spezielle Cyberversicherungen, die allerdings nur wenige Unternehmen am Markt überhaupt anbieten.

Das Fazit der Experten: IT-Sicherheit ist keine Frage der Technologie, sondern letztlich ein Compliance- und Risikomanagementthema. Erforderlich ist ein Bewusstseinswandel, der nicht allein durch Gesetze und Verordnungen zu erreichen ist, sondern vor allem auch durch Schulungen, Fortbildungen und Aufklärung aller Beteiligten.

Heike E. Krüger-Brand

*„3. Expertenforum: IT-Sicherheit und Risikomanagement in Krankenhäusern/Kliniken“, veranstaltet von der RS Medical Consult GmbH

Empfehlungen zur IT-Sicherheit

Organisatorische Empfehlungen:

  • IT-Sicherheit ist Chefsache: Wo ist die IT im Organigramm eines Unternehmens angesiedelt? Der Verantwortliche für IT und Organisation sollte oben im Board sitzen.
  • Anpassung von Personal und/oder Budget: Die Schulung und kontinuierliche Sensiblilsierung von Mitarbeitern hinsichtlich Datenschutz und Datensicherheit ist essenziell. Datensicherheit funktioniert analog zum Bereich Hygiene nur mit der notwendigen Konsequenz. Wichtig sind Rollen- und Rechtekonzepte für die Zugriffe auf Daten (siehe „Orientierungshilfe für Krankenhausinformationssysteme – OH-KIS“).
  • Im Ernstfall: In jedem Krankenhaus muss ein Handbuch für den Desasterfall vorliegen. Bei Bedarf sollte die Einrichtung qualifizierte externe Unterstützung einholen. Bei einem erfolgreichen Angriff sollte das Produktivnetz komplett vom Internet entkoppelt und ausschließlich Internet on demand genutzt werden. Einfallstore für Cyberattacken sollten minimiert werden.

Technische Empfehlungen zur Minimierung der IT-Sicherheitsrisiken:

  • Der erste Kontakt ins Internet muss abgeschirmt sein.
  • Überwachung des E-Mail-Systems
  • Überwachung der Remote-Fernwartung, etwa über 2-Faktor-Authenitifizierung und über die Firewall, Zugriff über eigenes Log-in, Videomitschnitt, Logfiles, Online-Monitoring
  • Schutz aller Dateneingangswege in IT-Systeme
  • Überwachung des internen Datenverkehrs
  • Schutz des Webauftritts

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema

Anzeige