Artikel • Schutz vor Cyberattacken
IT-Sicherheit in Kliniken: In Zeiten von Covid-19 und Homeoffice wichtiger denn je
Digitale Technik hat annähernd jeden Lebensbereich durchdrungen, IT-Sicherheit zur Notwendigkeit geworden. Das gilt besonders für Kliniken, denn an ihren Daten und ihrer digitalen Infrastruktur hängen oft Gesundheit oder sogar Menschenleben. Cyberkriminelle effektiv abzuwehren, ist angesichts immer neuer Technik eine enorme Herausforderung.
Bericht: Wolfgang Behrends
Bildquelle: Michael Schwarzenberger auf Pixabay (Bearbeitung: HiE)
Mit einer unabhängigen Prüfung und Zertifizierung bestehender IT-Sicherheitskonzepte will der TÜV Süd zur Stärkung dieser kritischen Infrastruktur beitragen. Jens Linstädt, Product Compliance Manager Gesundheitswesen, und Alexander Häußler, Product Compliance Manager ISO/IEC 27001 bei TÜV Süd, sprechen über den Umgang mit Sicherheitslücken und die möglichen Folgen eines Hackerangriffs für Kliniken.
Der geschulte Blick von außen ist ein wirksames Mittel, die IT-Sicherheit zu erhöhen. Die Auditoren des TÜV – die ihrerseits von der Deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditiert werden – greifen durch die Arbeit mit vielen Kliniken auf einen großen Erfahrungsschatz zurück. Getestete Häuser können somit von den Fehlern anderer profitieren, erklärt Linstädt: „Wir bringen Expertise von außen ein und sehen die Schwachstellen, die ein interner IT-Beauftragter vielleicht nicht wahrnimmt.“
Schäden in Millionenhöhe und Schlimmeres möglich
Welchen Schaden Cyberkriminelle anrichten können, bekam etwa im Jahr 2016 eine Einrichtung in Neuss zu spüren: „Seinerzeit erpresste ein Hacker das Klinikum, indem er dessen IT-Systeme lahmlegte“, erinnert Linstädt. „Wie die Presse berichtete, erlitt das Klinikum durch diesen Angriff einen Schaden von rund einer Million Euro.“ Neben dem wirtschaftlichen Schaden leidet bei Bekanntwerden solcher Vorfälle auch die Reputation der betroffenen Häuser. Auch die Gesundheit von Patienten kann durch Cyberangriffe gefährdet sein, wie ein weiteres Beispiel in Düsseldorf zeigt: „Dort konnte im vergangenen Jahr eine Patientin nicht aufgenommen werden, weil Schadsoftware die Systeme beeinträchtigte. Die Patientin musste in ein anderes Krankenhaus gebracht werden, der Transport verlängerte sich dadurch um eine Stunde und die Patientin starb. Natürlich ist es schwer zu beweisen, dass die Patientin noch am Leben wäre, wenn die IT-Sicherheit den Angriff abgewehrt hätte – aber der Vorfall macht deutlich, welche Auswirkungen ein nicht ausreichend gesichertes System haben kann.“ Wenn sich darüber hinaus zeigt, dass die IT-Sicherheit fahrlässig vernachlässigt wurde, können ernsthafte rechtliche Konsequenzen hinzukommen. „IT-Sicherheit ist Patientensicherheit, das sollten Klinikbetreiber nie aus den Augen verlieren“, fasst Linstädt zusammen.
Im Zuge von Coronapandemie und Homeoffice sind Remote-Funktionen – also die Steuerung hausinterner IT-Systeme von externen Standorten aus – in den Blick der Öffentlichkeit geraten. Doch schon lange vor Covid-19 hat die Zahl solcher Schnittstellen drastisch zugenommen. Da jeder Remote-Zugang auch ein mögliches Einfallstor für Cyberkriminelle sein kann, sollte die IT-Sicherheit sogenannter kritischer Infrastruktur, zu der neben Kliniken auch Kraft- und Wasserwerke sowie Verkehrs- und Verwaltungseinrichtungen zählen, ernst genommen werden, mahnt der Experte: „Es hätte potentiell schlimme Auswirkungen, wenn etwa ein Angreifer von außerhalb Zugriff auf Systeme erhielte, die die Dosierung von Medikamenten regeln und plötzlich nicht mehr 2 Milligramm pro Stunde verabreicht werden, sondern 20.“
Erfahrungsgemäß seien die meisten Angreifer, die in geschützte Computersysteme eindringen und sie manipulieren, auf Geld aus, berichtet Häußler. „Neben finanziellen Beweggründen kann das Ziel auch sein, bestimmten Gruppen oder sogar Einzelpersonen zu schaden.“ Ein wirksames Schutzkonzept sei auch deshalb so wichtig, weil sich gezielte IT-Manipulationen leicht als zufällige Fehlfunktionen maskieren ließen.
Nach Erfahrung der beiden Experten wird IT-Sicherheit in deutschen Kliniken durchaus ernst genommen, doch ein umfassendes und tragfähiges Sicherheitskonzept ist nicht nur aufwändig, sondern auch kostspielig. Gerade kleinere Kliniken stoßen bei der Umsetzung rasch an ihre Grenzen. „Mit dem Krankenhauszukunftsgesetz und der Krankenhausstrukturverordnung wurde daher ein gesetzlicher Rahmen zur Beantragung von Fördermitteln geschaffen“, berichtet Linstädt. Er rät Klinikbetreibern, sich den möglichen Schaden vor Augen zu führen, den ein IT-Angriff verursachen kann, und die Umsetzung eines Sicherheitskonzepts entsprechend engagiert anzugehen.
Nach Update sicher – aber nicht mehr zugelassen
Es ist niemandem damit geholfen, wenn ein Mitarbeiter in der Notaufnahme erst ein 20-stelliges Passwort eingeben muss, um einen kritischen Patienten behandeln zu können
Alexander Häußler
Um auf die immer neuen Sicherheitsrisiken vorbereitet zu sein, können viele medizintechnische Geräte mithilfe von Software-Updates nachgerüstet werden – in der praktischen Umsetzung funktioniere das jedoch nur bedingt, gibt Häußler zu bedenken: „Wenn ein Hersteller mit einem solchen Patch die Software seines Gerätes verändert, kann er Gefahr laufen, die zuvor erteilte Zulassung als Medizinprodukt zu verlieren. Zumindest aber ist er verpflichtet umfangreiche Tests und Analysen durchzuführen.“ Der Mechanismus, der eigentlich für größere Sicherheit sorgen soll, verhindere so eventuell, dass Systeme auf dem aktuellen Stand gehalten werden.
Ein wesentlicher Faktor jedes IT-Sicherheitskonzepts ist das Personal, das die Systeme bedient. „Deshalb ist es wichtig, die Klinikmitarbeiter einzubeziehen – dazu gehören Schulungen und Einweisungen“, so Linstädt. „Darüber hinaus sollten Kliniken Netzwerke bilden, um sich gegenseitig zu unterstützen und sich über neue IT-Erkenntnisse auf dem Laufenden zu halten.“
Wichtig sei auch, die Datensicherheit und -verfügbarkeit je nach Einsatzfeld sorgsam abzuwägen, gibt Häußler zu bedenken: „Es ist niemandem damit geholfen, wenn ein Mitarbeiter in der Notaufnahme erst ein 20-stelliges Passwort eingeben muss, um einen kritischen Patienten behandeln zu können.“
Cyberkriminelle können emotionales Potential von Covid-19 ausnutzen
Die Covid-19-Pandemie dominiert viele Aspekte des Klinikalltags – da besteht die Gefahr, die IT-Sicherheit schleifen zu lassen, warnt Häußler: „Es handelt sich um ein hoch emotionales Thema – das können sich Cyberkriminelle zu Nutze machen und beispielsweise Phishing-Mails im Gewand vertrauenswürdiger Einrichtungen wie dem RKI versenden.“ Ein hohes Maß an Wachsamkeit sei trotz der aktuellen Mehrbelastung alternativlos, bekräftigt Linstädt.
Zu guter Letzt raten die Experten, sich nicht blind auf die Technik zu verlassen, denn diese ist – ob durch Einwirkung von Cyberkriminellen oder aus anderen Gründen – nicht unfehlbar. „Besonnenes und umsichtiges Handeln von Ärzten, Pflegern und allen anderen Mitarbeitern kann von keinem IT-System ersetzt werden“, so Linstädt abschließend.
11.03.2021