cybersecurity concept; metal padlock on digital circuitboard

Bildquelle: Shutterstock/wk1003mike

Datensicherheit im Krankenhaus

„IT-Schutz muss wie Desinfizieren zur Routine werden“

Cyber-Angriffe auf Krankenhäuser finden fast täglich statt. Funktioniert die IT-Sicherheit, bekommt davon im besten Fall niemand etwas mit. Reichen die getroffenen Maßnahmen zur Abwehr jedoch nicht aus, können die Auswirkungen enorm und der Aufschrei in der Bevölkerung groß sein.

Bericht: Sonja Buske

Der neue branchenspezifische Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft (DKG) zeigt Krankenhäusern einen Weg auf, wie sie ihre IT-Sicherheit verbessern können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diesen Standard im Oktober 2019 offiziell anerkannt. Wer ihn umsetzt, erfüllt die gesetzlichen Vorgaben.

portrait of markus holzbrecher-morys
Markus Holzbrecher-Morys ist Stellvertretender Geschäftsführer des Dezernats IT, Datenaustausch und eHealth der Deutschen Krankenhausgesellschaft

Krankenhäuser zählen zu den Betreibern kritischer Infrastrukturen (KRITIS) und müssen ab einem Schwellenwert von 30.000 Fällen pro Jahr alle zwei Jahre gegenüber dem BSI nachweisen, dass sie angemessene Maßnahmen zum Schutz ihrer IT-Systeme umsetzen. „Der B3S ist ein sehr anspruchsvoller Sicherheitsstandard“, erklärt Markus Holzbrecher-Morys, Stellvertretender Geschäftsführer des Dezernats IT, Datenaustausch und eHealth der DKG. Er hat maßgeblich an der Entwicklung mitgewirkt. „Als DKG ist uns das Thema IT-Sicherheit sehr wichtig. Der B3S listet 168 Anforderungen auf, die es umzusetzen gilt. Realistischerweise muss man aber sagen, dass nicht alle Punkte in einer Prüfung abgefragt werden können, dafür sind sicherlich mehrere Durchgänge nötig.“ Werden Mängel gefunden, müssen sie dem BSI zusammen mit einem Nachbesserungsplan übermittelt werden. Zur Überprüfung der Erfüllung der gesetzlichen Vorgaben hat das BSI weitreichende Auskunfts- und Begehungsrechte – so kann es unter anderem die Erbringung der Nachweise anordnen und bei fehlenden IT-Sicherheitsmaßnahmen auch Bußgelder verhängen. Schwierig wird es immer dann, wenn das Beheben eines Mangels an finanziellen Rahmenbedingungen scheitert. Eigentlich sind die Bundesländer dazu verpflichtet, diese Investitionskosten zu tragen. Jedoch: „Wir beobachten seit einigen Jahren den Fall eines Krankenhauses, das mit seinem Rechenzentrum in ein Gebäude mit Druckwasserleitungen unter der Decke umziehen musste“, berichtet Holzbrecher-Morys. „Das Land müsste die Kosten für die Verlegung der Leitungen, die ein eindeutiger Mangel sind, zahlen, kommt dieser Pflicht jedoch seit Jahren nicht nach. Dem Krankenhaus sind in dem Fall die Hände gebunden. Der Mangel bleibt bestehen, das BSI kann aber auch nichts dagegen tun.“

IT-Sicherheit ist auch Patientensicherheit. Alle Krankenhäuser haben eine Verantwortung für ihre Patienten, deshalb sollten sie dieses Thema auch in den Fokus nehmen

Markus Holzbrecher-Morys

Dass die Umsetzung der Maßnahmen aus dem B3S mit Kosten verbunden ist, will die DKG gar nicht leugnen. Im Durchschnitt fallen einmalig zwei Millionen Euro und in den Folgejahren 600.000 Euro an Betriebs-, Personal- und Investitionskosten an, so eine aktuelle Erhebung. „Für einige Krankenhäuser entspricht diese Summe dem gesamten IT-Etat eines Jahres“, weiß Holzbrecher-Morys. „Wir haben aber leider auch keine befriedigenden Antworten, wie das bezahlt werden soll. Ohne finanzielle Spielräume wird es für einige Krankenhäuser schwierig.“ Trotzdem hält er daran fest, dass die Verbesserung der IT-Sicherheit notwendig ist, und zwar grundsätzlich für alle Krankenhäuser, auch die mit weniger als 30.000 Fällen pro Jahr. „Aus einem IT-Sicherheitsverstoß kann schnell ein Datensicherheitsverstoß werden. Wichtiger noch: IT-Sicherheit ist auch Patientensicherheit. Alle Krankenhäuser haben eine Verantwortung für ihre Patienten, deshalb sollten sie dieses Thema auch in den Fokus nehmen.“ So sieht es auch das BSI. In einer Stellungnahme teilt es mit: „Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. IT-Sicherheit ist kein Kostenblock, sondern eine notwendige Investition in die Funktionsfähigkeit und Zukunft des Unternehmens. Sie muss wie Desinfizieren zur Routine werden.“

Dieser Artikel könnte Sie auch interessieren

Photo

...Die Anwender-Perspektive

Wie man das Immunsystem eines Krankenhauses gesund hält

„Medizin wird in Bezug auf die IT hochgradig vernetzt betrieben, egal in welche Abteilung man schaut“, so Stefan Bücken, IT-Sicherheitsbeauftragter des Universitätsklinikums Erlangen. Noch vor einigen Jahren konnte man medizintechnische Systeme isoliert betrachten, inzwischen ist diese Sichtweise nicht mehr möglich.

Damit es für kleinere Einrichtungen einfacher wird, arbeitet die DKG aktuell an einer „Light-Version“ des B3S, auf dessen Basis mit wenig Aufwand viel erreicht werden kann. Holzbrecher-Morys: „Die IT-Sicherheit muss als Gedanke im Krankenhaus verinnerlicht werden. Dazu gehört zuallererst die Benennung eines IT-Sicherheitsbeauftragten, zudem müssen alle Mitarbeiter regelmäßig zu dem Thema geschult werden. Das wären schonmal wesentliche Punkte.“

Was passieren kann, wenn ein Cyberangriff erfolgreich verläuft, zeigt der Fall im Juli 2019 sehr deutlich: Das komplette Netzwerk der DRK-Krankenhäuser in Rheinland-Pfalz und im Saarland wurde von Hackern übernommen. Dem BSI sind weitere Fälle aus Kliniken in Neuss, Gießen und Fürstenfeldbruck bekannt. „Die meisten Kliniken haben eine Vielzahl von IT-Anschlüssen, 30.000 Endgeräte sind keine Seltenheit. Hinzu kommen verschiedenste IT- und Geräte-Lieferanten und die Nutzung nicht mehr gepflegter Altsysteme, die sich nur schwer in moderne IT-Sicherheitsvorhaben integrieren lassen“, nennt das BSI auf Nachfrage Gründe, die Hackern den Zugriff erleichtern. Im schlimmsten Fall führt das unerlaubte Eindringen nicht nur zum Diebstahl sensibler Patientendaten, sondern es könnten auch Funktionen eines Produktes verändert oder sogar abgestellt werden. Ungeahnte Konsequenzen für die Gesundheit oder sogar der Tod eines Patienten könnten dann die Folge sein.

Die aktuelle Version des B3S ist derzeit weiter in Überarbeitung. „Es handelt sich um ein lebendes Dokument und nach der Prüfung ist vor der Prüfung. Wir sind zuversichtlich, im dritten oder vierten Quartal 2020 mit der Überarbeitung fertig und für die nächste Prüfung im Jahr 2021 gewappnet zu sein“, gibt Holzbrecher-Morys einen Ausblick auf die nächsten Schritte. „Es ist uns gelungen, mit sämtlichen Beteiligten ein gemeinsames Papier zu schreiben, das vom BSI genehmigt wurde. Das ist nicht selbstverständlich. Der Start ist geglückt, und darauf können wir nun aufbauen.“


Profil:

Markus Holzbrecher-Morys ist Stellvertretender Geschäftsführer des Dezernats IT, Datenaustausch und eHealth der Deutschen Krankenhausgesellschaft (DKG). Nach dem Studium der Informatik widmete er sich zunächst der Forschung im universitären Umfeld mit dem Schwerpunkt der Weiterentwicklung neuroinformatischer Verfahren zur Biosignalanalyse. Seit 2008 ist er bei der DKG unter anderem für elektronische Datenaustauschverfahren der Krankenhäuser und den Bereich Krankenhaus-Informationstechnik verantwortlich, hier insbesondere für den technischen Datenschutz, IT-Risikomanagement sowie Informationssicherheit.

20.03.2020

Mehr aktuelle Beiträge lesen

Verwandte Artikel

Photo

Nagelprobe für Klinik-IT

Datensicherheit – das sollten Sie wissen

Im Juni 2019 wurde bekannt, dass vier Kliniken in Rumänien einem Erpressungstrojaner zum Opfer gefallen sein sollen. Derlei Computerschädlinge verschlüsseln Patientendaten und verlangen die…

Photo

Kritische Infrastruktur

Empfehlung zur Cybersicherheit von Medizinprodukten

Die Gefährdungslage für die Gesundheitswirtschaft hat sich in Bezug auf Cyberattacken deutlich verändert: Deutsche Krankenhäuser sind mehrfach mit Ransomware angegriffen worden, es gab…

Photo

Tatort Notaufnahme

Sicherheitskonzepte schützen Klinik-Mitarbeiter vor Übergriffen

Sie beschimpfen, bespucken und schlagen jene, die ihnen eigentlich helfen wollen: Übergriffe durch Patienten, Bewohner und deren Angehörige gehören inzwischen zum Arbeitsalltag für viele…

Verwandte Produkte

Agfa HealthCare – Dose

Dose Management Systems

Agfa HealthCare – Dose

Agfa HealthCare
Agfa HealthCare – DR 14e detector

DR Retrofit

Agfa HealthCare – DR 14e detector

Agfa HealthCare
Agfa HealthCare – DR 17e detector

DR Retrofit

Agfa HealthCare – DR 17e detector

Agfa HealthCare
Agfa HealthCare – Enterprise Imaging

Mobile RIS/PACS Viewer

Agfa HealthCare – Enterprise Imaging

Agfa HealthCare