Cybersecurity IT-Sicherheit der Kliniken an Bedrohungen anpassen

Cyberattacken auf Krankenhäuser sind immer wieder in den Schlagzeilen: Erst im November wurde das Klinikum Lippe angegriffen. Unser Gastautor verdeutlicht, wie wichtig ISMS, Schwachstellenmanagement und Penetrationstests für die Klinik-IT sind.

Die digitale Transformation bietet für das Gesundheitssystem zwar enorme Chancen, jedoch öffnen sich hierdurch ebenso große Angriffsflächen für Cyberkriminelle, wenn nicht die richtigen Sicherheitsvorkehrungen getroffen werden. Das zeigen immer wieder neue Vorfälle: So ereignete sich im November 2022 ein massiver Cyberangriff auf das Klinikum Lippe an allen drei Standorten in Detmold, Lemgo und Bad Salzuflen. In Folge des Angriffs fielen die IT-Systeme teilweise aus. Zur weiteren Sicherung und Wiederherstellung des Netzwerkes wurde die gesamte IT-Infrastruktur heruntergefahren. Die Versorgung der Patienten konnte weiter gewährleistet werden, doch von außerhalb waren die Kliniken nur noch per Telefon und Fax zu erreichen. Dieser Vorfall zeigt, welche gravierenden Folgen solche Angriffe nach sich ziehen können.

Als Teil der Kritischen Infrastruktur (KRITIS) sind medizinische Einrichtungen aufgrund der hohen Bedeutung für die Versorgung und die Sicherheit der Gesellschaft ein attraktives Ziel für Cyberkriminelle. Oftmals versuchen diese, mittels Ransomware-Attacken Lösegelder zu erpressen. Die Tendenz zeigt in Richtung einer verstärkten Bedrohung aus dem Cyberraum. Deshalb ist es umso wichtiger, die IT-Netzwerke zu stärken und die dafür nötigen Maßnahmen konsequent umzusetzen.

Informationssicherheitssystem als Basis

Grundlage ist die Einhaltung der gesetzlichen Vorgaben. Der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus fungiert dabei als Referenz dafür, dass die notwendigen organisatorischen und technischen Maßnahmen umgesetzt werden, um die kritischen Dienstleistungen im Krankenhaus jederzeit zu gewährleisten. Zu diesen Maßnahmen zählt vor allem die Einführung eines Informationssicherheitssystems (ISMS). Mithilfe dieses Managementsystems können Informationssicherheitsmaßnahmen installiert und überwacht werden. Darüber hinaus umfasst es Richtlinien und Tools zur Einhaltung der IT-Security.

Die Benennung eines Informationssicherheitsbeauftragten ist ebenfalls notwendig, da dieser bei der Einführung neuer IT-Systeme oder -Anwendungen beteiligt ist. Er fungiert als Ansprechpartner für jegliche Fragen zur Informationssicherheit und ist zusammen mit den IT-Verantwortlichen in die ISMS-Prozesse involviert. Bei der Einführung des ISMS wird bestimmt, welche Risiken hinsichtlich der Vertraulichkeit oder Verfügbarkeit von Daten und Systemen vertretbar sind und welche ausgeschlossen werden müssen. Anschließend können Maßnahmen zur Risikovermeidung getroffen werden.

ISO/IEC 27001 Zertifizierung – die internationale Norm

Die Umsetzung der geforderten Maßnahmen ist keine leichte Aufgabe. Die implementierten Management- und Sicherheitssysteme müssen im klinischen Alltag und in der Technik Anwendung finden und der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus dementsprechend reibungslos funktionieren.

Auf der nächsten Seite geht es weiter.

(ID:48848520)