Krankenhauszukunftsgesetz Krankenhäuser müssen IT-Sicherheit priorisieren

In Krankenhäusern hängt das Leben der Patienten nicht selten gewissermaßen am digitalen Kabel. Moderne Sicherheitsmaßnahmen sind daher unentbehrlich, haben aber in vielen Einrichtungen nicht die notwendige Priorität. Das Krankenhauszukunftsgesetz soll das Thema IT-Security angehen.

Wenn Cyberangriffe auf Krankenhäuser in die Schlagzeilen geraten, ist die öffentliche Bestürzung groß. Ein Virusbefall an der Uniklinik Düsseldorf hatte im September 2020 zum Beispiel tödliche Konsequenzen, weil eine Patientin erst mit Verspätung behandelt werden konnte. Im Jahr zuvor sorgte ein Computerwurm dafür, dass am Klinikum Fürth die IT-Systeme tagelang ausfielen und keine neuen Patienten mehr aufgenommen werden konnten.

Immer häufiger geraten Krankenhäuser und andere Einrichtungen des Gesundheitswesens ins Visier von Kriminellen. Gleichzeitig sind die medizinischen Fachkräfte in der angespannten Situation durch Covid-19 an ihre Belastungsgrenzen gekommen – Hacker allerdings nutzen jede noch so kleine Unvorsichtigkeit für sich aus.

Erpressungen nehmen zu

Besonders Ransomware-Erpresser stellen derzeit eine extrem hohe Gefahr dar, wie der jüngste Lagebericht zur IT-Sicherheit in Deutschland, den das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) im Oktober 2020 herausgebracht hat, zeigt. Die schiere Anzahl der Schadprogramme übersteigt mittlerweile die Milliardengrenze: Allein im Berichtszeitraum zwischen Juni 2019 und Mai 2020 sind 117,4 Millionen neue Varianten bekannter Malware hinzugekommen, wobei die Kombination aus Emotet, Trickbot und der Ransomware Ryuk besonders aktiv war.

Patientendaten wie etwa die Versicherungs- und Personalausweisnummer sind für Hacker ein lohnendes Geschäft: Sie haben typischerweise kein Verfallsdatum, lassen sich nicht einfach sperren und bieten gute Chancen, langfristig für Erpressung, Identitätsdiebstahl oder gefälschte Rechnungen nutzbar zu sein. Gleichzeitig ist – da wichtige, wenn nicht sogar lebenserhaltende Systeme im Falle eines Ransomware-Angriffs betroffen sind – die Zahlungsbereitschaft der Krankenhäuser in der Regel hoch.

Krankenhauszukunftsgesetz als Chance

Der Kampf zwischen Krankenhäusern und Cyberkriminellen ist sehr ungleich. Einerseits arbeiten die Kliniken immer vernetzter: Geräte wie zum Beispiel Insulinpumpen kommunizieren drahtlos, MRT-Röhren sind über Computer ans Internet angeschlossen, Herzschrittmacher sind mit der Cloud verbunden. All diese Schnittstellen können, wenn sie nicht entsprechend gesichert sind, zum Einfallstor für Angreifer werden. Hochsensible Patientendaten können dann in unbefugte Hände geraten und Medizingeräte gekapert werden.

Andererseits sind Einrichtungen im Gesundheitswesen vergleichsweise schlecht geschützt – eine mangelnde IT-Sicherheit macht es ungleich schwerer, die Einhaltung der strengen DSGVO-Regeln und zahlreicher spezieller Richtlinien zu gewährleisten. Bislang haben oftmals die finanziellen Mittel für mehr IT-Sicherheit, die Durchführung von Schulungen und das Personal zur Dokumentation, Überprüfung, Auditierung und kontinuierlichen Weiterentwicklung der Compliance-Regelungen gefehlt. In nur wenigen Branchen hierzulande wird so wenig Geld in die IT investiert wie in Gesundheitseinrichtungen.

Ein großer Schwachpunkt ist dabei auch eine bislang vorherrschende Management-Philosophie. So legen viele Betreiber ihren Fokus primär auf die Umsetzung von technischen Maßnahmen zur Verbesserung des Behandlungsprozesses und weniger auf strenge Sicherheitsregularien für IT-Systeme, Endgeräte und den Informationsaustausch.

Finanzierungshilfen

Die Politik hat das Dilemma erkannt und grünes Licht für das Krankenhauszukunftsgesetz gegeben. Der Bund stellt seit dem 1. Januar 2021 drei Milliarden Euro bereit, damit Krankenhäuser in moderne Notfallkapazitäten, eine bessere digitale Infrastruktur – etwa Patientenportale, die elektronische Dokumentation von Pflege- und Behandlungsleistungen oder digitales Medikationsmanagement – und eben Maßnahmen zur IT-Sicherheit investieren können.

Weitere Mittel in Höhe von 1,3 Milliarden Euro werden die Länder einbringen. Die Verteilung der Gelder im Rahmen des KHZG wird sogar explizit von Investitionen in die IT-Sicherheit abhängig gemacht, und 15 Prozent der abgerufenen Summe müssen dafür ausgegeben werden. So soll das Thema IT-Security gerade auch in der Stress-Situation Covid-19 die nötige Priorität erhalten.

Maßnahmen gegen digitale Eindringlinge

Fakt ist, angegriffen wird früher oder später so gut wie jedes Unternehmen, und einen hundertprozentigen Schutz gegen Hacker gibt es nicht. Die Frage ist allerdings, wie hoch die Hürden sind. Einbrecher gehen zuerst dorthin, wo es ihnen besonders leicht gemacht wird. Deshalb müssen sich Krankenhäuser bestmöglich vor Cyberangriffen schützen – und das fängt bei grundlegenden Maßnahmen und einfachen Sicherheitsregeln an.

Dazu zählen zunächst einmal Systeme für die Endgerätesicherheit, die Desktops, Laptops, Mobilgeräte und andere Devices vor kriminellen Akteuren und Kampagnen schützen. Solche Systeme gehen weit über den herkömmlichen Virenschutz hinaus – sie sind so konzipiert, dass sie Angriffe schnell erkennen, analysieren, blockieren und eindämmen. Über eine zentrale Konsole können Systemadministratoren die Sicherheitsfunktionen für jedes Gerät per Fernzugriff steuern. Das umfasst unter anderem die Erteilung von Zugriffsrechten inklusive Multifaktor-Authentifizierung, ein koordiniertes Patch-Management, aber auch das Blockieren von unsicheren oder nicht autorisierten Anwendungen.

Zu den Mindestmaßnahmen in puncto IT-Security gehört darüber hinaus ein Ramsomware-sicheres Backup. Ein reines Offline-Medium reicht längst nicht mehr aus. Denn immer öfter korrumpieren komplexe Ransomware-Varianten Sicherungen oder löschen sie. Andere verschlüsseln Backups 30 Tage vor dem Fordern des Lösegeldes. Krankenhäuser, die ihre Sicherungen nur für diesen Zeitraum vorhalten, verfügen dann über kein verwertbares Backup mehr. Zudem können Sicherungen ein Versteck für Malware sein, die irgendwann einmal als Verschlüsselungssoftware zuschlägt. Liegt dann das Recovery Point Objective (RPO) – also der Zeitraum, der zwischen zwei Backups liegen darf, um den Normalbetrieb nach dem Absturz eines IT-Systems oder Netzwerks sicherzustellen – zu lange zurück, sind die Daten verloren.

Im nächsten Schritt sollten Krankenhäuser über eine Unterteilung des Netzwerks in unterschiedliche Schutzklassen nachdenken. Für besonders schützenswerte Daten, wie sie etwa von medizinischen IT-Geräten erfasst werden, gibt es dabei einen speziellen, von außen nicht zugänglichen Bereich. Verwaltungsdaten oder Abrechnungen fallen in die Klasse mit mittlerem Schutzbedarf, Entertainment-Systeme in Patientenzimmern schließlich in die „unterste“ Kategorie. Durch diese Segmentierung, also die Unterteilung des Netzwerks in Sicherheitszonen, wird gewährleistet, dass ein infizierter Bereich nicht ohne Weiteres auf einen anderen übergreifen kann. Selbst wenn der äußere Schutzring durchbrochen wird, kann der Schaden trotzdem in Grenzen gehalten werden, und die IT-Sicherheitsexperten haben zudem eine längere Reaktionszeit, um gegen den Angriff vorzugehen.

Die Kür in einer umfangreichen IT-Sicherheitsstrategie ist schließlich die Netzwerk-Überwachung: Kommuniziert beispielsweise die Infusionspumpe mit einem Server irgendwo auf der Welt, wird ein Alarm ausgelöst.

Kosten nicht nur am Patientennutzen bemessen

Der Kampf gegen Ransomware & Co. erfordert eine umfassende Verteidigungsstrategie. Viele Maßnahmen, für die bislang das Geld gefehlt hat, können jetzt im Rahmen des Förderprogramms durch das Krankenhauszukunftsgesetz auf den Weg gebracht werden. Während in großen Häusern in der Regel für die Umsetzung einer sicheren IT-Infrastruktur genügend Ressourcen zur Verfügung stehen und die Anforderungen der KRITIS-Verordnung entsprechend gut umgesetzt wurden, fehlte gerade kleineren Krankenhäusern bislang das nötige Kleingeld. Gute Lösungen müssen aber nicht unbedingt teuer sein. Mit dem jetzt zur Verfügung stehenden Geld lässt sich bereits ein hohes Sicherheitsniveau erreichen.

IT-Modernisierung und Security

Krankenhauszukunftsgesetz soll Digitalisierung vorantreiben

IT-Sicherheit 2020

Professionalität der Cyberattacken steigt

(ID:47114589)