Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Marcelo Leal, Unsplash
Cyberangriffe auf Krankenhäuser: Steigende Zahlen mit potentiell fatalen Folgen
Krankenhäuser stehen momentan im Fokus der Aufmerksamkeit. Und das nicht nur durch Corona. Laut Bundesregierung steigt die Anzahl der Cyberangriffe auf Krankenhäuser. Mit 43 Angriffen bis Anfang November sind es sogar mehr als doppelt so viele wie im Vorjahr. Vom Verlust personenbezogener Daten bis zum Einstellen des Betriebs – Cyberangriffe auf Krankenhäuser können weitreichende Konsequenzen haben. Deshalb zählt das Gesundheitssystem auch zur kritischen Infrastruktur (KRITIS). Wir klären, warum Krankenhäuser anfällig für Cyberangriffe sind, welche möglichen Konsequenzen diese haben und wie sich Krankenhäuser besser schützen können.
Angriff auf Düsseldorfer Krankenhaus
Dass auch Krankenhäuser Opfer von Cyberangriffen werden können, hat das Universitätsklinikum Düsseldorf im September am eigenen Leib zu spüren bekommen. Die Folge: Die Notaufnahme konnte nicht mehr richtig arbeiten. Der Zugriff auf wichtige Daten war nicht mehr zuverlässig möglich, sodass Daten häufig handschriftlich oder per USB-Stick weitergegeben wurden. Es dauerte vier Wochen, bis das Krankenhaus wieder so viele Patient:innen wie zuvor versorgen konnte. Hier entsteht schnell Lebensgefahr. Nachdem die Polizei mit den Hackenden Kontakt aufgenommen hatte, entschlüsselten diese die Daten aber kostenlos.
Das Problem mit Cyberangriffen
Bei den Cyberangriffen auf Krankenhäuser kommt häufig sogenannte „Ransomware“ zum Einsatz. Die Software dient der Verschlüsselung der Daten, die dann nur nach Auszahlung eines Lösegeldes von den Hackenden wieder entschlüsselt werden. Das kann den Krankenhausbetrieb massiv einschränken. Vor allem, wenn keine entsprechende Datensicherung vorliegt. Der Angriff auf das Universitätsklinikum in Düsseldorf war genau so eine Attacke.
Im Unglücksfall verlaufen Cyberangriffe aber nicht so glimpflich wie in Düsseldorf. Werden die Daten nicht nur eingefroren, sondern auch gespeichert, könnten sensible Patient:innendaten veröffentlicht werden. Zusätzlich können Cyberangriffe die medizinische Versorgung einschränken. In Krankenhäusern wird immer häufiger modernste Computertechnologie eingesetzt. Diese können im Zuge eine Attacke lahmgelegt und Menschenleben gefährdet werden.
Warum Krankenhäuser anfällig sind
Nicht nur in der Industrie, sondern auch in Krankenhäusern schreitet die Digitalisierung voran. Das erhöht gleichzeitig aber die die Anzahl möglicher Angriffsziele für Cyberkriminelle. Häufig sind einzelne Geräte und Systeme untereinander vernetzt, sodass Schadsoftware sich besser verbreiten kann. Nicht selten werden modernste Systeme parallel zu veralteten und nicht mehr gepflegten Geräten verwendet. Hier kann schnell ein Sicherheitsrisiko entstehen. Zudem werden die verschiedenen Netze wie Gästenetz, Verwaltungsnetz oder Medizintechniknetz nicht immer ausreichend getrennt bzw. segmentiert.
In Krankenhäusern liegt der Fokus in der Regel nicht auf der IT-Sicherheit. Es geht ganz im Gegenteil um Menschen und wie ihnen geholfen werden kann. Und das möglichst schnell. IT-Sicherheit ist dabei zweitrangig und eine Anmeldung, um auf Daten zugreifen zu können, wird häufig als lästig und zeitintensiv empfunden. Doch gerade eine mangelnde IT-Infrastruktur kann dazu führen, dass Menschenleben gefährdet werden. Die erforderliche IT-Sicherheit umzusetzen, ohne die Abläufe in Krankenhäusern einzuschränken, ist ein Balanceakt, der nur schwer zu meistern ist.
Hinzu kommt, dass das Personal auf Grund von Schichtwechseln etc. regelmäßig wechselt und die gestiegenen Anforderungen an die IT-Sicherheit in Aus- und Weiterbildungen nicht ausreichend thematisiert werden. Außerdem sind viele Teile von Krankenhäusern öffentlich zugänglich. Nur in Bereichen wie der Intensivstation gibt es Zugangsbeschränkungen. Das kann Unbefugten den Zugriff auf Hard- und Software ermöglichen. Häufig fehlen zusätzlich finanzielle Mittel, um die IT-Infrastruktur an die tatsächlichen Bedürfnisse anzupassen.
Wie Krankenhäuser sich besser schützen können
Die möglichen Folgen eines Cyberangriffs zeigen, wie wichtig es ist, dass gerade Krankenhäuser sich angemessen schützen. Laut Bundesamt für Sicherheit in der Informationstechnik sind Krankenhäuser insgesamt gut geschützt, es bleiben aber offene Baustellen. So zum Beispiel organisatorische Sicherheitsmaßnahmen. Dafür ist es von zentraler Bedeutung, dass alle Prozesse analysiert, Risiken erkannt und durch IT-Sicherheitsmaßnahmen geschützt werden.
Da kein Krankenhaus dem anderen gleicht, muss ein individuelles Konzept inklusive Informationssicherheitsmanagementsystem (ISMS) auf Basis der jeweiligen Anforderungen erstellt, umgesetzt und stetig geprüft werden. Neben Richtlinien sollte ein ISMS zusätzlich Rahmenbedingungen zum IT-Risikomanagement für alle Systeme und Komponenten enthalten. Dies sollte auf Basis der prozessorientierten Risikobetrachtung geschehen. Zusätzlich ist es sinnvoll, das IT-Notfallmanagement zu erweitern.
Bei bereichsübergreifenden Prozessen sollte eine engere Abstimmung der einzelnen Bereiche erfolgen und die IT-Abteilung stärker einbezogen werden. Bei der Anschaffung neuer Hard- und Software sollte der IT-Abteilung eine entsprechende Vorlaufzeit eingeräumt werden, damit die Umsetzung reibungslos verlaufen kann. Wie bereits angesprochen, werden nicht in allen Krankenhäusern Netze sauber getrennt bzw. segmentiert. Dies sollte aber konsequent umgesetzt werden, um die Ausbreitung von Schadsoftware einzuschränken.
Um einen ausreichenden Schutz zu gewährleisten, sollte die IT-Sicherheitsarchitektur weiterentwickelt werden. Zentral sind hier Backup-Systeme sowie eine redundante Auslegung von IT-Systemen und Komponenten. Auch Firewalls und Anti-Viren-Schutzlösungen sollten zum Einsatz kommen. Ebenso sollten Patches regelmäßig eingespielt werden. Die Ansatzpunkte, um Krankenhäuser sicherer zu gestalten, sind also vielfältig und sollten auf die jeweilige Institution angepasst umgesetzt werden.
In Zukunft wird die medizinische Versorgung wohl weiter digitalisiert. Die Möglichkeiten sind weitreichend. Telemedizinische Diagnosen und volldigitalisierte Workflows beispielsweise stellen Krankenhäuser vor immer neue Herausforderungen. Dabei ist es essentiell, dass auch die IT-Sicherheit mitbedacht wird – und zwar nicht erst im Nachhinein.
Hier können Sie sich näher über die branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus für alle Krankenhäuser, die unter KRITIS fallen, informieren.
Quellen
Bernau, Patrick (2020): „Hacker greifen Kliniken an“, FAZ, 21. November 2020, https://www.faz.net/aktuell/wirtschaft/digitec/mehr-hacker-angriffe-auf-kliniken-und-kritische-infrastruktur-17062421.html, letzter Zugriff am 30. November 2020.
Bundesamt für Sicherheit in der Informationstechnik (2020): „IT-Sicherheit in Kritischen Infrastrukturen: Labore und Krankenhäuser gut geschützt.“, 30. Juni 2020, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/KRITIS_Studien_300620.html, letzter Zugriff am 30. November 2020.
Bundesamt für Sicherheit in der Informationstechnik (2020): „KRITIS-Sektor Gesundheit: Informationssicherheit in der stationären medizinischen Versorgung – Rahmenbedingungen, Status Quo, Handlungsfelder“, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/KRITIS/Studie_Informationssicherheit_stationaere_med_Versorgung.pdf?__blob=publicationFile&v=3, letzter Zugriff am 30. November 2020.