conhIT 2016
Cybersecurity wohin das Auge blickt
Der Besuch auf der conhIT 2016 machte eines schnell klar: Das Thema IT-Sicherheit oder auch Cybersecurity stand im Fokus der Messe. Zusätzlich zu Veranstaltungen zum Thema gab es außerdem erstmals eine Präsentationsfläche: Auf der sogenannten „Health Security Area“ hatten Besucher die Gelegenheit, die wichtigsten Sicherheitsthemen intensiv zu diskutieren.
Report: Melanie Günther
Diskussionen fanden aber auch in Sessions wie „IT-Sicherheit im Fokus – Zwischen Anspruch und gesetzlicher Pflicht“ statt. Insbesondere das Interesse seitens der Krankenhausbetreiber war hier groß. Nach einer kurzen Umfrage wurde deutlich, dass 65 der anwesenden Entscheider selbst schon einmal Opfer einer IT-Störung wurden. Erstaunlicherweise fielen davon lediglich sechs einer Schadsoftware zum Opfer. Stattdessen waren Software- und Hardwarefehler die häufigsten Ursachen.
„IT ist das wesentliche Rückgrat des Krankenhauses“, betont Dr. Armin Will vom Universitätsklinikum Schleswig-Holstein. Allerdings stürze diese Krankenhaus- und Klinikbetreiber in eine IT-Abhängigkeit. Die Implementierung von IT-Lösungen und die Digitalisierung von Daten seien der eigentliche Grund für Bedrohungen. Das heißt, neben den Basisrisiken, wie beispielsweise einem Stromausfall, kommen vermehrt solche hinzu, die sich aus der Vernetzung ergeben. „Im Vergleich zum Vorjahr sind die Angriffe durch Cyberattacken 2015 erheblich angestiegen. 19 Prozent der Angriffe erfolgten dabei auf das Gesundheitswesen“, gibt Will zu bedenken. Der Cybercrime-Markt orientiere sich um. Patientendaten kämen das Gesundheitssystem mittlerweile teurer zu stehen als Kreditkartendaten. Denn mit den Daten könnten ganze Operationen oder umfangreiche Behandlungen in falschem Namen abgerechnet werden. Auch eine Krankenversicherung ließe sich abschließen. Der Schwarzmarktwert solcher Datensätze ist entsprechend hoch.
Eigentlich ist Deutschland gut aufgestellt
Zahlreiche Gegenmaßnahmen, die Hilfe bei einer IT-Störung bieten, gibt es bereits. Allerdings scheinen sie bei Entscheidern noch nicht hundertprozentig verankert zu sein: Da wären beispielsweise das BSI-Grundgesetz nach ISO 2700x, allgemeine Notfallpläne, das BDSG, das LDSG S-H, der Katastrophenschutz, Risikomanagement, der Leitfaden Risikoanalyse Krankenhaus-IT, CH-KIS, Branchenstandards, die Schweigepflicht, DIN EN 80001-1, und natürlich das eHealth-Gesetz.
Hinzu kommt seit Mitte des letzten Jahres das IT-Sicherheitsgesetz (IT-SiG). „Das IT-SiG enthält Wirkmechanismen, also Maßnahmen, um IT zu sichern, zu prüfen und sich ein Bild über den IST-Zustand des Gesundheitswesens zu machen“, sagt René Salamon vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
„Krankenhäuser sind nicht Starbucks“
„Sie müssen Patienten nicht glücklich machen, sondern gesund. Sie sind nicht Starbucks“, ermahnt Salamon weiter. Maßnahmen für eine sichere IT beginnen bei der Prävention. „Up-to-date“-Sein sei beispielsweise ein wichtiger Faktor. Ebenso wichtig sei die Einführung von Restriktionen. „Ärzte dürfen Siri nicht als Spracherkennungssoftware nutzen, weil es so schön einfach ist. Genauso wenig sind WhatsApp-Gruppen mit Ärzten und Patienten angebracht.“ Dabei sei Risikomanagement das A und O, weiß auch Prof. Christian Johner vom Johner Institut: „Eine präzise Definition des Risikos beinhaltet die Kombination aus der Einschätzung von Schweregraden und der Wahrscheinlichkeit des Eintritts. Gefährdungen müssen definiert werden.“
Denn Attacken mit Ransomware werden zunehmen. Sollte der Fall eintreten, gilt: Don’t panic! In einem zweiten Schritt muss die IT-Forensik auf den Plan treten, um die Ursache beziehungsweise den Fehler ausfindig zu machen. Dafür liefert das IT-SiG die Grundlagen. „Decken Sie den Vorfall auf. Machen Sie ihn publik, aber beherrschen Sie die Situation. Wichtig ist vor allem Ehrlichkeit. Haben Sie Vertrauen zum BSI und melden Sie die Störung“, fordert Salamon das Publikum auf. Und außerdem: „Seien Sie kritikfähig! Das IT-SiG sieht vor, dass alle zwei Jahre ein Nachweis der IT-Sicherheitsmaßnahmen erfolgt. Nobody's perfect. Wir können alle aus Fehlern lernen. Wir müssen nur Kritik annehmen können.“
Noch ist nicht aller Tage Abend
Es fehlt an Kriterien für die Berechnung des Versorgungsgrades eines Krankenhauses und damit zur Einstufung als kritische Infrastruktur, die dann unter das IT-SiG fällt. Ab dem zweiten Quartal 2017 müssen Krankenhaus- und Klinikentscheider sich als kritische Infrastruktur einordnen und dem BSI melden. Erst ab Ende 2018 müssen Maßnahmen nachgewiesen werden. Ein Zeitraum, in dem noch Einiges passieren kann.
Bis dahin gibt es Branchenarbeitskreise wie der UP KRITIS: „Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Ziel der Kooperation UP KRITIS ist es, die Versorgung mit kritischen Infrastrukturdienstleistungen in Deutschland aufrechtzuerhalten“, so Rüdiger Gruetz, Leiter des Rechenzentrums am Klinikum Braunschweig. Auch an die Allianz für Cybersicherheit könne man sich wenden. Als Zusammenschluss aller wichtigen Akteure im Bereich der Cybersecurity in Deutschland stellt die Allianz aktuelle und valide Informationen zu Gefährdungen im Cyber-Raum bereit.
Mitglieder können sich nicht nur in Fragen der Sicherheit an solche Gremien wenden. Darüber hinaus erhalten sie Informationen zur aktuellen Gefährdungslage, beispielsweise beim Verschlüsselungstrojaner Locky. Fraglich bleibt jedoch, warum nur den Mitgliedern solcher Arbeitskreise derart relevante Informationen zur Verfügung gestellt werden. Hier besteht eindeutig Nachholbedarf in der Bereitstellung von Informationen für alle kritischen Infrastrukturen, egal ob Mitglied oder nicht.
29.04.2016