Hackerangriffe auf Krankenhäuser

Frederik Humpert-Vrielink

Quelle: Humpert-Vrielink

Kein Horrorszenario, sondern Realität?
Vrielink zufolge sind die oben genannten Szenarien keine bloße Fiktion, sondern durchaus denkbar oder in anderen Ländern bereits vorgekommen . Viele Krankenhäuser bieten mit ihren unzureichenden Firewalls in der Medizintechnik denkbar leichte Ziele für Hackerangriffe. In den USA hat man festgestellt, dass theoretisch sogar chirurgische Instrumente aus dem Internet heraus gesteuert werden könnten, fallen sie einem gezielten Hackerangriff zum Opfer.

„Das Risikomanagement von Krankenhäusern ist nicht zuletzt durch knappe Kassen ein wunder Punkt. Aber auch das Bewusstsein über solche Gefahren via Internet muss wachsen. Viele Geschäftsführer in Krankenhäusern beschäftigen sich schlicht nicht mit dem Gedanken, dass ein Hackerangriff auch ein Krankenhaus treffen könnte, sondern sind froh, dass die komplexe vernetzte IT überhaupt funktioniert“ mahnt der Experte. Umso schlimmer, wenn man bedenkt, dass das Gesundheitswesen in Deutschland im Bereich der Digitalisierung knapp 10 Jahre hinter der Industrie herhinkt.

Dabei hat das oben beschriebene Chaos durchaus auch technische Ursachen,  weil ein Computer nicht mehr korrekt funktioniert oder ein Teil des IT-Netzwerkes eine Fehlfunktion erleidet.  Besonders die dann erfolgende Fehlersuche erweist sich durch die konvergenten Netze zwischen der Medizintechnik und der IT als besonders schwierig. Aus diesem Grund lohnt sich ein effizientes Risikomanagement für Krankenhäuser schon deshalb, weil es Fehler zu vermeiden hilft und damit auch Kosten senkt. „Hier sprechen wir von  einem umfassenden Konzept und das lässt sich nicht schnell nebenher umsetzen“ erklärt der Experte. „Im Bereich des Risikomanagements ermitteln wir Risiken für medizinische IT-Netze und damit automatisch  auch Risiken, die den Patienten beeinflussen können. Wir kümmern uns um  Schutz des Patienten vor dem Medizinischen Netzwerk und vor Risiken durch nicht korrekte Bereitstellung von Daten durch die Medizingeräte“ führt Humpert-Vrielink aus.

Sind unsere Patientendaten also nicht sicher?
Nicht erst Edward Snowden hat das Bewusstsein in der Bevölkerung um die Sicherheit von Daten geweckt. Spätestens seit Snowden aber ist dieses Bewusstsein erhöht und sichtlich mehr Menschen fragen sich, wie sicher ihre Daten eigentlich sind und was für diese Sicherheit getan wird, besonders dann, wenn es um sensible Gesundheitsdaten geht.

„Was die Informationssicherheit betrifft gibt es bei Patientendaten kaum  Probleme, auch wenn immer Verbesserungen und Anpassungen vorgenommen werden müssen“ beruhigt Vrielink. So werden Patientendaten nicht nur während der Speicherung und auf dem Transportweg von Arzt zu Krankenhaus, sondern auch über entsprechende Zugriffsberechtigungen gesichert.  

Freiwillige Norm
Die Fragen werden drängender, wenn man darüber nachdenkt, dass es bisher keinerlei gesetzliche Regelung für den Bereich Risikomanagement und Informationssicherheit gibt. So existiert zwar seit Anfang April 2014  ein Beschluss des gemeinsamen Bundesausschusses der Krankenhäuser, Risikomanagement einzufordern, dies aber nur mit klarem Bezug zum Qualitätsmanagement. Lediglich eine freiwillige Norm, die DIN80001, zur „Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten“, sorgt seit März 2011 für ein gewisses Nachdenken über Risikomanagement in Krankenhäusern. Leider bedeutet Freiwilligkeit im Verständnis der meisten, dass man etwas nicht unbedingt umsetzen muss, solange es nicht ausdrücklich gefordert oder vorgeschrieben wird. So auch im Bereich der Krankenhäuser. „Es gibt einige Krankenhäuser, die sich nach der DIN 80001 oder der ISO 27001 ausrichten, aber eher wenige. Die meisten warten auf den Gesetzgeber“ weiß Humpert-Vrielink zu berichten.

Ein Vertrauensproblem?
Bedeutet dies, dass wir unseren Krankenhäusern nicht mehr vertrauen können, weil sie die freiwillige Norm nicht umsetzen und sich selbst unnötigen Gefahren aussetzen? Frederik Humpert-Vrielink beruhigt auch hier: „Vertrauen speist sich letztlich aus medizinischer Kompetenz und nicht aus Normen, die auf Papier zertifiziert sind. Wichtig ist eine lernende Organisation, die eine Norm nicht als Selbstzweck sondern als Hilfsmittel zur eigenen Lernkurve begreift“ betont der Berater und ergänzt „In der Medizintechnik wird schon immer die Arbeit nach den ‚Regeln der Technik‘ verlangt und Normen sind letztlich nichts anderes.“

Chaos durch das IT-Sicherheitsgesetz?
Im Dezember 2014 legte die Bundesregierung einen Gesetzentwurf zur Erhöhung der Sicherheit von IT-Systemen vor. Damit sollte auf die zunehmende IT-Kriminalität durch Hackerangriffe reagiert und die deutschen IT-Infrastrukturen zu den sichersten weltweit ausgebaut werden.

Wird das zu Chaos führen, weil die Krankenhäuser sich plötzlich vor dem Problem sehen, einem solchen Gesetz gar nicht gerecht werden zu können? „Nein, denn das Gesetz gilt nur für Krankenhäuser, die zu den kritischen Infrastrukturen zählen. Zudem wird es  eine Übergangsfrist geben. Unabhängig davon greifen die Normen ja nicht in die Fähigkeit ein, Patienten zu behandeln“, so der IT-Sicherheitsexperte.

Durchaus ist es für Krankenhäuser hingegen sinnvoll, sich ein gutes Risikomanagementkonzept zuzulegen. Spätestens seit bei dem französischen Fernsehsender TV5 Monde die Bildschirme schwarz wurden, sollte die Problematik von Hackerangriffen bei jedem angekommen sein. Denn der Angriff zeigt: selbst ausgefeilte Sicherheitssysteme lassen sich mit Geduld und Geld umgehen. Wie schnell machen sich da die Krankenhäuser mit ihren einfachen Firewalls zum Ziel solcher potentieller Angriffe?

PROFIL:
Frederik Humpert-Vrielink leitet gemeinsam mit seiner Ehefrau das Beratungsunternehmen CETUS Consulting. Er ist im Bereich Informationssicherheit und Risikomanagement spezialisiert und verfügt über umfangreiche Erfahrungen in der Umsetzung der DIN 80001 – Risikomanagement für medizinische IT-Netzwerke sowie weiterer Normen für Datenschutz und Datensicherheit. In seiner mehr als 10-jährigen Berufserfahrung hat er verschiedene Krankenhauskonzerne darin beraten, Managementsysteme für Informationssicherheit zu entwickeln und in eine betriebsfähige Organisation zu überführen.

27.04.2015

• Big Data (85)
• Datenmanagement (329)
• Gesundheitspolitik (307)
• IT (709)
• Krankenhaus (371)
• Sicherheit (229)