Quelle: shutterstock/Andrey_Popov
Artikel • IT-Sicherheit im Krankenhaus
Cybersecurity: Die Einschläge kommen näher
Die Absicherung der Krankenhaus-IT gegen die zunehmenden Cyber-Angriffe ist ziemlich kostspielig. Es empfiehlt sich eine wohlüberlegte Strategie, denn das derzeitige Investitionsprogramm im Zuge des Krankenhauszukunftsgesetzes (KHZG) ist letztlich nur eine Anschubfinanzierung.
Report: Michael Krassnitzer
„Cyber-Angriffe auf den Gesundheitssektor sind auf dem Vormarsch und werden zunehmend professioneller“, warnt Chris Lichtenthäler, auf IT-Sicherheit spezialisierter Senior Manager bei der Wirtschaftsprüfungsgesellschaft Warth & Klein Grant Thornton: „Die finanziellen und juristischen Folgen können verheerend sein.“ Neben dem Verlust und der Manipulation von Gesundheitsdaten ist eine Attacke mittels Ransomware der größte Alptraum jedes Krankenhausbetreibers. Dabei verschlüsseln Kriminelle heimlich alle im Krankenhaus gespeicherten Daten, verlangen anschließend Lösegeld für die Entschlüsselung und drohen obendrein mit der Veröffentlichung der gestohlenen Daten. Das kann nicht nur zu einer Betriebsunterbrechung, zu einem Reputationsschaden und zu berufsrechtlichen Konsequenzen führen, sondern die Gesundheit von Patienten gefährden. Im Vorjahr starb eine Patientin nach einem derartigen Erpresserangriff auf die Uniklinik Düsseldorf.
Cyberkriminalität generiert Milliarden
„Die Cyberkriminalität ist im Prinzip schon ein eigener Industriezweig, auf dem weltweit Milliarden generiert werden“, erklärte Lichtenthäler auf einer Session der DMEA 2021 in Berlin. Mittlerweile gibt es eigene Entwicklungsplattformen, die von Kriminellen gemietet werden können, um von dort aus automatisierte Cyber-Angriffe zu fahren – „Ransomware as a service“ nennt sich das. Die Ziele werden von den „Businesspartnern“ ausgewählt, die Entwickler sind für die Durchführung des Angriffes zuständig. Das bezahlte Lösegeld wird in einem vertraglich festgehaltenen Verhältnis geteilt. Die Opfer solcher Attacken werden auf professionell gestaltete, „serviceorientierte“ Internet-Portale geleitet, auf denen ihnen die weitere Vorgehensweise erklärt wird. FAQs werden beantwortet, man kann den Erpressern sogar via Chatfenster Fragen stellen.
Die Experten für IT-Sicherheit waren sich einig, dass eine adäquate Cyber-Security angesichts der bestehenden Bedrohungen unabdingbar ist. „IT und IT-Sicherheit sind – ähnlich wie in der Luftfahrt – inhärente Bestandteile einer medizinischen Organisation“, unterstreicht Dr. Benedict Gross, Senior Manager bei der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (PwC). Das allerdings hat sich noch nicht bis in alle Krankenhäuser herumgesprochen: „Es hat sich der Konsens durchgesetzt, dass Unternehmen fünf bis sieben Prozent des IT-Budgets für Cybersecurity ausgeben sollten“, weiß Jörg Asma, Partner Cybersecurity & Privacy bei PcW: „Die europäischen Krankenhäuser jedoch geben im Durchschnitt nur ein Prozent ihres IT-Budgets für Sicherheit aus. Über diese Lücke müssen wir uns Gedanken machen.“
IT-Sicherheit ist gesetzliche Pflicht
„Die Absicherung nach dem Stand der Technik ist gesetzliche Pflicht“, stellt Gross zunächst einmal klar und verweist auf das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und auf die Passagen über IT-Sicherheit in Krankenhäusern im Sozialgesetzbuch (SGB V). In der Ferne sei bereits das Donnergrollen weiterer Gesetzesvorhaben zu hören, etwa des Patientendatenschutzgesetzes (PDGS) oder des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0): „Für jene, die es bisher versäumt haben, ihre Anlagen nach dem Stand der Technik abzusichern, kommen die Einschläge näher“, warnt Gross.
Doch die Absicherung kostet viel Geld. Wer etwa die Branchenspezifischen Sicherheitsstandards (B3S) implementieren will, muss sich auf initiale Mehrkosten in der Größenordnung von 1,5 bis 2 Millionen Euro gefasst machen, wie die Deutsche Krankenhausgesellschaft (DKG) errechnet hat. Dazu kommen Mehrkosten im laufenden Betrieb von 500.000 bis 600.000 Euro aufgrund des erhöhten Personalbedarfs.
Immerhin stehen in Deutschland seit Jahresbeginn dank des Investitionsprogrammes im Rahmen des KHZG Gelder zu diesem Zweck zur Verfügung. Der Bund stellt drei Milliarden Euro bereit, damit Krankenhäuser in moderne Notfallkapazitäten, die Digitalisierung und ihre IT-Sicherheit investieren können, die Länder sollen weitere Investitionsmittel von 1,3 Milliarden Euro aufbringen.
KHZG-Investitionen helfen nur mittelfristig
„Das Investitionsprogramm des KHZG und der bis 2024 verlängerte Krankenhausstrukturfonds sind aber letztendlich nicht mehr als eine Anschubfinanzierung“, warnt Gross: „Sie helfen den Krankenhäusern mittelfristig, ein paar Lücken zu schließen, die in der Vergangenheit entstanden sind.“ Langfristig jedoch müsse IT-Sicherheit Teil der regulären Finanzierung von Krankenhäusern werden. Der Berater kann sich vorstellen, dass IT-Sicherheit im Krankenhaus künftig über DRG-Pauschalen finanziert, also mit der Vergütung von Leistungen pro stationärem Behandlungsfall verknüpft werden könnte.
Eindringlich warnt Gross vor Abo-Modellen, die sich nach Ende des Förderzeitraumes als Kostenfalle herausstellen können. „Manche Häuser stürzen sich mehr aus Not denn aus Überlegung in Technologien, die sie selbst nicht beherrschen oder weiterbetreiben können“, mahnt der IT-Security-Experte und rät den Krankenhausbetreibern: „Zerbrechen Sie sich vorher den Kopf. Setzen Sie eine saubere Strategie auf. Alles, was Sie jetzt an Planung und Konzeption verpassen, müssen sie hinterher in Personal und in Euro schmerzhaft jeden Tag zurückzahlen.“
17.06.2021