IT-Sicherheit im Krankenhaus...
Nur ein starkes IT-Sicherheitssystem bietet Schutz vor Malware-Infektionen
„Hundertprozentige Sicherheit gibt es nicht. Man kann nicht alle Risiken bei der IT ausschalten – aber man kann die Sicherheit immens erhöhen, indem man einige Grundregeln beachtet“, so Torbjörn Kronander, Board Member, CEO und Präsident von Sectra AB.
Report: Marcel Rasch
Ein Krankenhaus, in dem Hunderte, sogar Tausende von Geräten und Computern miteinander verbunden sind und mehrere Betriebssysteme neben einem PACS existieren, hat ein echtes IT-Sicherheitsproblem. Was die Sache noch komplizierter macht: Ein bildgebendes System ist heute keine einfache Maschine mehr, sondern ein hoch komplexer Computer, der auch empfänglich für Viren ist. Torbjörn Kronander und Dr. Stefan Bücken, IT-Sicherheitsbeauftragter am Medizinische Zentrum für Informations- und Kommunikationstechnik (MIK) der Universität Erlangen, sprachen mit European Hospital über die IT-Sicherheitsherausforderungen, denen sich ein Krankenhaus heute gegenüber sieht, und die Optionen, die ihm offenstehen.
IT-Sicherheit kann so einfach sein
Ein sicheres System ist idealerweise komplett isoliert und abgeschottet. Angesichts der Tatsache jedoch, dass Internetzugang erforderlich ist und Daten ausgetauscht werden müssen, ist ein solch geblocktes Szenario völlig unrealistisch. „Wir sollten IT-Sicherheit nicht als eine Plage wahrnehmen, sondern es mit unserem Immunsystem vergleichen“, schlägt Kronander vor. „Wenn wir auf die Welt kommen, wissen wir auch nicht, welche Viren und Bakterien uns im Laufe unseres Lebens angreifen werden, aber unser Immunsystem verfügt über einen Mechanismus, der Infektionen erkennt und sie ausschaltet. Und das ist genau das, was ein gutes IT-Sicherheitssystem tut: Es beobachtet die Umwelt, entdeckt Infektionen oder potenzielle Schädiger und setzt einen Mechanismus in Gang, der sie entfernt.“
Leider handhaben die meisten Krankenhäuser ihre IT-Systeme noch nicht optimal. Sie verbinden unbedacht alle Workstations und Computer miteinander und machen sich über die potenziellen Risiken keine Gedanken. „Die Krankenhäuser müssen die Gefährlichkeit dieser Situation verstehen und Zeit in die Umstrukturierung ihrer Systeme investieren. Für PACS-Workstations zum Beispiel gilt: Es dürfen grundsätzlich keine privaten Dinge, Webseiten, E-Mails oder Dokumente mit Anhängen geöffnet werden. Anhänge können immer aktive Schadelemente enthalten“, betont der IT-Experte. Auch wenn zip-Dateien Risikoträger Nr. 1 sind, weil die Antiviren-Software die potenziell gefährlichen Elemente in ihnen häufig nicht erkennt, so sind auch Word-Dokumente, Excel-Tabellen und sogar pdf-Dateien potenziell ‚ansteckend‘. „Wenn Sie wirklich auf Nummer Sicher gehen wollen, öffnen und speichern Sie Dateien nur in einem reinen Textformat, etwa rtf,“ empfiehlt er und fügt hinzu, „klicken Sie niemals auf ‚Ja‘, um ein aktives Element in einem Dateianhang zu starten.“
Viel mehr vorbeugende Sicherheit
„Sucht das Krankenhaus einen IT-Berater, sollte es darauf achten, dass er das komplette System evaluieren und alle potenziellen Risiken erkennen kann. Ist er kompetent, wird er Ihnen raten, dass kein Nutzer Administratorenrechte haben sollte. Auf jedem Computer muss es irgendeine Form der Nutzer-Identifizierung und -Autorisierung geben, die den Zugriff regelt, das heißt, es muss immer ein Login- und Logout-Verfahren bestehen“, unterstreicht Kronander. Was jeder weiß, der sich auch nur ansatzweise mit IT-Sicherheitsfragen beschäftigt hat, ist unter Umständen für manchen Krankenhausmitarbeiter völlig neu. „Sie glauben nicht, was wir alles erleben“, berichtet er, „in manchen Krankenhäusern bringen Eltern ihre Kinder mit zur Arbeit und lassen sie auf ihren Bürocomputern spielen.“
Phishing
Die am weitesten verbreiteten Sicherheitsrisiken, so Kronander, sind heute entweder USB-Sticks, die Codes in das System einschleusen (an einem sicheren Computer sollten alle USB-Ports mit Epoxid zugeklebt sein) oder Phishing-Angriffe, bei denen Nutzer durch täuschend echt aussehende E-Mails, oft scheinbar von ihrem Vorgesetzten oder einem anderen vertrauenswürdigen Absender, veranlasst werden, eine Fake-Website anzuklicken, über die Schadsoftware in das System fließt. Die sorgfältige Einrichtung der IT trägt dazu bei, Risiken zu mindern. „Viele Krankenhäuser installieren ihr Betriebssystem jede Nacht neu, um potenzielle Gefahren von ihren Computern fernzuhalten. Das bedeutet im Allgemeinen, dass Dokumente nicht lokal gespeichert werden dürfen. Durch diesen allnächtlichen komplett neuen System-Setup vermeiden diese Häuser jedes potenzielle Risiko eines Virusangriffs, der im Laufe des Arbeitstags auf einen lokalen Computer erfolgt sein könnte.“
Die Risiken der Medizintechnologie liegen tiefer
Die größte Herausforderung stellt im Augenblick jedoch die Medizintechnik dar, also MRT- und CT-Scanner, denn sie sind keine einfachen Maschinen, sondern komplexe Computer. „Das Problem ist, dass die Hersteller, um eine FDA-Zulassung zu erhalten, die Version des Betriebssystems, das sie verwenden, praktisch einfrieren müssen. Microsoft veröffentlicht jede Woche einen Windows-Upgrade, um neu aufgetretene Gefahren zu bekämpfen. Die Version eines MRT- oder CT-Scanners dagegen kann nicht regelmäßig aktualisiert werden. Das würde gegen FDA-Vorschriften verstoßen“, erklärt Kronander. „Das ist ein großes Problem, das die Branche angehen muss. Leider ist dafür noch keine geeignete Lösung in Sicht.“
„Leider sind Krankenhäuser auch ein beliebtes Ziel für Ransomware, Erpressungssoftware, bei der die Festplatten aller Computer, auf die zugegriffen werden kann, verschlüsselt wird, und der Entschlüsselungscode nur nach Zahlung einer nicht unerheblichen Summe auf ein Bankkonto zur Verfügung gestellt wird. In einem normalen Unternehmen wird bei einem solchen Angriff meist einfach ein Backup installiert. Dadurch geht vielleicht die Arbeit einer Woche verloren. Das ist nicht so dramatisch. Sind in einem Krankenhaus aber medizinische Geräte infiziert, können Menschen sterben. Daher haben bereits mehrere Krankenhäuser Lösegeld gezahlt mit der Folge, dass es immer mehr Angriffe gibt, weil es ja offenbar funktioniert. Diese Angriffe sind nicht mehr die Arbeit von irgendeinem 14-jährigen Hacker irgendwo auf der Welt, sondern das ist organisiertes Verbrechen, die IT-Mafia.“
PROFIL
Torbjörn Kronander, PhD, der einen Doktor der Technologie und einen Master in Business Administration hat, wurde zunächst Executive Vice President von Sectra AB und Präsident der Sparte Medical Systems, die fast 88 Prozent des Umsatzes von Sectra erwirtschaftet. 2012 wurde Kronander CEO und Präsident des Unternehmens.
21.04.2017