Search Menu

Artikel • Schutz vor Cyberattacken

IT-Sicherheit in Kliniken: In Zeiten von Covid-19 und Homeoffice wichtiger denn je

Digitale Technik hat annähernd jeden Lebensbereich durchdrungen, IT-Sicherheit zur Notwendigkeit geworden. Das gilt besonders für Kliniken, denn an ihren Daten und ihrer digitalen Infrastruktur hängen oft Gesundheit oder sogar Menschenleben. Cyberkriminelle effektiv abzuwehren, ist angesichts immer neuer Technik eine enorme Herausforderung.

Bericht: Wolfgang Behrends

Bildquelle: Michael Schwarzenberger auf Pixabay (Bearbeitung: HiE)

Mit einer unabhängigen Prüfung und Zertifizierung bestehender IT-Sicherheitskonzepte will der TÜV Süd zur Stärkung dieser kritischen Infrastruktur beitragen. Jens Linstädt, Product Compliance Manager Gesundheitswesen, und Alexander Häußler, Product Compliance Manager ISO/IEC 27001 bei TÜV Süd, sprechen über den Umgang mit Sicherheitslücken und die möglichen Folgen eines Hackerangriffs für Kliniken.

Der geschulte Blick von außen ist ein wirksames Mittel, die IT-Sicherheit zu erhöhen. Die Auditoren des TÜV – die ihrerseits von der Deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditiert werden – greifen durch die Arbeit mit vielen Kliniken auf einen großen Erfahrungsschatz zurück. Getestete Häuser können somit von den Fehlern anderer profitieren, erklärt Linstädt: „Wir bringen Expertise von außen ein und sehen die Schwachstellen, die ein interner IT-Beauftragter vielleicht nicht wahrnimmt.“

Schäden in Millionenhöhe und Schlimmeres möglich

portrait of Jens Linstädt
Jens Linstädt
Quelle: TÜV Süd

Welchen Schaden Cyberkriminelle anrichten können, bekam etwa im Jahr 2016 eine Einrichtung in Neuss zu spüren: „Seinerzeit erpresste ein Hacker das Klinikum, indem er dessen IT-Systeme lahmlegte“, erinnert Linstädt. „Wie die Presse berichtete, erlitt das Klinikum durch diesen Angriff einen Schaden von rund einer Million Euro.“ Neben dem wirtschaftlichen Schaden leidet bei Bekanntwerden solcher Vorfälle auch die Reputation der betroffenen Häuser. Auch die Gesundheit von Patienten kann durch Cyberangriffe gefährdet sein, wie ein weiteres Beispiel in Düsseldorf zeigt: „Dort konnte im vergangenen Jahr eine Patientin nicht aufgenommen werden, weil Schadsoftware die Systeme beeinträchtigte. Die Patientin musste in ein anderes Krankenhaus gebracht werden, der Transport verlängerte sich dadurch um eine Stunde und die Patientin starb. Natürlich ist es schwer zu beweisen, dass die Patientin noch am Leben wäre, wenn die IT-Sicherheit den Angriff abgewehrt hätte – aber der Vorfall macht deutlich, welche Auswirkungen ein nicht ausreichend gesichertes System haben kann.“ Wenn sich darüber hinaus zeigt, dass die IT-Sicherheit fahrlässig vernachlässigt wurde, können ernsthafte rechtliche Konsequenzen hinzukommen. „IT-Sicherheit ist Patientensicherheit, das sollten Klinikbetreiber nie aus den Augen verlieren“, fasst Linstädt zusammen.

Im Zuge von Coronapandemie und Homeoffice sind Remote-Funktionen – also die Steuerung hausinterner IT-Systeme von externen Standorten aus – in den Blick der Öffentlichkeit geraten. Doch schon lange vor Covid-19 hat die Zahl solcher Schnittstellen drastisch zugenommen. Da jeder Remote-Zugang auch ein mögliches Einfallstor für Cyberkriminelle sein kann, sollte die IT-Sicherheit sogenannter kritischer Infrastruktur, zu der neben Kliniken auch Kraft- und Wasserwerke sowie Verkehrs- und Verwaltungseinrichtungen zählen, ernst genommen werden, mahnt der Experte: „Es hätte potentiell schlimme Auswirkungen, wenn etwa ein Angreifer von außerhalb Zugriff auf Systeme erhielte, die die Dosierung von Medikamenten regeln und plötzlich nicht mehr 2 Milligramm pro Stunde verabreicht werden, sondern 20.“

portrait of Alexander Häußler
Alexander Häußler
Quelle: TÜV Süd

Erfahrungsgemäß seien die meisten Angreifer, die in geschützte Computersysteme eindringen und sie manipulieren, auf Geld aus, berichtet Häußler. „Neben finanziellen Beweggründen kann das Ziel auch sein, bestimmten Gruppen oder sogar Einzelpersonen zu schaden.“ Ein wirksames Schutzkonzept sei auch deshalb so wichtig, weil sich gezielte IT-Manipulationen leicht als zufällige Fehlfunktionen maskieren ließen.

Nach Erfahrung der beiden Experten wird IT-Sicherheit in deutschen Kliniken durchaus ernst genommen, doch ein umfassendes und tragfähiges Sicherheitskonzept ist nicht nur aufwändig, sondern auch kostspielig. Gerade kleinere Kliniken stoßen bei der Umsetzung rasch an ihre Grenzen. „Mit dem Krankenhauszukunftsgesetz und der Krankenhausstrukturverordnung wurde daher ein gesetzlicher Rahmen zur Beantragung von Fördermitteln geschaffen“, berichtet Linstädt. Er rät Klinikbetreibern, sich den möglichen Schaden vor Augen zu führen, den ein IT-Angriff verursachen kann, und die Umsetzung eines Sicherheitskonzepts entsprechend engagiert anzugehen.

Nach Update sicher – aber nicht mehr zugelassen

Es ist niemandem damit geholfen, wenn ein Mitarbeiter in der Notaufnahme erst ein 20-stelliges Passwort eingeben muss, um einen kritischen Patienten behandeln zu können

Alexander Häußler

Um auf die immer neuen Sicherheitsrisiken vorbereitet zu sein, können viele medizintechnische Geräte mithilfe von Software-Updates nachgerüstet werden – in der praktischen Umsetzung funktioniere das jedoch nur bedingt, gibt Häußler zu bedenken: „Wenn ein Hersteller mit einem solchen Patch die Software seines Gerätes verändert, kann er Gefahr laufen, die zuvor erteilte Zulassung als Medizinprodukt zu verlieren. Zumindest aber ist er verpflichtet umfangreiche Tests und Analysen durchzuführen.“ Der Mechanismus, der eigentlich für größere Sicherheit sorgen soll, verhindere so eventuell, dass Systeme auf dem aktuellen Stand gehalten werden.

Ein wesentlicher Faktor jedes IT-Sicherheitskonzepts ist das Personal, das die Systeme bedient. „Deshalb ist es wichtig, die Klinikmitarbeiter einzubeziehen – dazu gehören Schulungen und Einweisungen“, so Linstädt. „Darüber hinaus sollten Kliniken Netzwerke bilden, um sich gegenseitig zu unterstützen und sich über neue IT-Erkenntnisse auf dem Laufenden zu halten.“

Wichtig sei auch, die Datensicherheit und -verfügbarkeit je nach Einsatzfeld sorgsam abzuwägen, gibt Häußler zu bedenken: „Es ist niemandem damit geholfen, wenn ein Mitarbeiter in der Notaufnahme erst ein 20-stelliges Passwort eingeben muss, um einen kritischen Patienten behandeln zu können.“

Cyberkriminelle können emotionales Potential von Covid-19 ausnutzen

Die Covid-19-Pandemie dominiert viele Aspekte des Klinikalltags – da besteht die Gefahr, die IT-Sicherheit schleifen zu lassen, warnt Häußler: „Es handelt sich um ein hoch emotionales Thema – das können sich Cyberkriminelle zu Nutze machen und beispielsweise Phishing-Mails im Gewand vertrauenswürdiger Einrichtungen wie dem RKI versenden.“ Ein hohes Maß an Wachsamkeit sei trotz der aktuellen Mehrbelastung alternativlos, bekräftigt Linstädt.

Zu guter Letzt raten die Experten, sich nicht blind auf die Technik zu verlassen, denn diese ist – ob durch Einwirkung von Cyberkriminellen oder aus anderen Gründen – nicht unfehlbar. „Besonnenes und umsichtiges Handeln von Ärzten, Pflegern und allen anderen Mitarbeitern kann von keinem IT-System ersetzt werden“, so Linstädt abschließend.

11.03.2021

Mehr zu den Themen:
Mehr aktuelle Beiträge lesen

Verwandte Artikel

Photo

Sponsored • Mehr als ein Patientenportal

Effektive Patientenflusssteuerung: ambulant und stationär!

Doctolib Hospital bietet Ihnen eine Komplettlösung, die den komplexen Anforderungen moderner Gesundheitseinrichtungen gerecht wird und alle Akteure im Gesundheitswesen miteinander vernetzt.

Photo

News • Umfrage auf der DMEA 2023

Cybersecurity: Gesundheitsbranche zeigt sich selbstbewusst

Die meisten Akteure im Gesundheitswesen sehen sich im Bereich Cybersicherheit gut gegen Attacken gewappnet. Das zeigt eine Umfrage von Imprivata auf der DMEA.

Photo

Artikel • Kollateralschäden von Cyberangriffen

Ukraine-Krieg bringt auch IT deutscher Kliniken in Gefahr

Der Krieg Russlands gegen die Ukraine spielt sich auch im Cyberspace ab. Dabei könnten auch Kliniken in Deutschland ins digitale Kreuzfeuer geraten, warnen IT-Experten.

Verwandte Produkte

Cortex Protection Software

Utilities / Add-ons

Swissray · Cortex Protection Software

Swissray Technologies AG
Dose&Care

Dose Management Systems

Guerbet · Dose&Care

Guerbet
DxONE Command Central Workstation

LIS, Middleware, POCT

Beckman Coulter · DxONE Command Central Workstation

Beckman Coulter Diagnostics
GLIMS

LIS, Middleware, POCT

CliniSys · GLIMS

Clinisys Deutschland GmbH
GLIMS genetics

LIS, Middleware, POCT

CliniSys · GLIMS genetics

Clinisys Deutschland GmbH
MIPS – CyberLab

LIS, Middleware, POCT

CliniSys · MIPS – CyberLab

Clinisys Deutschland GmbH
Newsletter abonnieren