Blinde Flecken, Dienstleister und der Faktor Mensch Kritische Infrastrukturen und Cybersicherheit

Cyberangriffe auf kritische Infrastrukturen im Allgemeinen und Krankenhäuser im Speziellen nehmen zu. Doch wo liegen überhaupt die Herausforderungen und wie lassen sich diese angehen. Dieser Frage sind Experten im Bereich krankenhaus und Cybersicherheit nachgegangen.

Laut einer kürzlich von Cisco veröffentlichten Studie ist etwa die Hälfte der eingesetzten Sicherheitstechnologien in deutschen Unternehmen veraltet und diese daher schlecht auf Cybervorfälle vorbereitet. Wie sieht es aber mit den KRITIS-Einrichtungen, speziell den Krankenhäusern, aus? Die Deutsche Krankenhaus Gesellschaft hat bereits versucht, zusammen mit dem BSI, die Sicherheitslücken in den Krankenhäusern zu identifizieren.

Dabei rückten vor allem im Bereich Medizinprodukte Systeme in den Fokus, die vor zehn bis fünfzehn Jahre implementiert wurden, zu einem Zeitpunkt also als IT-Sicherheit noch nicht im Fokus stand, erklärt Markus Holzbrecher-Morys, Geschäftsführung IT, Datenaustausch & eHealth bei der Deutschen Krankenhaus Gesellschaft. „Eine weitere Herausforderung ergibt sich durch die verstärkte Öffnung der Systeme. Gerade bei medizinischen Großgeräten ähnelt die Situation großen Triebwerken in der Flugzeugindustrie, die man permanent live überwacht. Da geht es nicht mehr nur darum, alle zwei, drei Monate ein Firmware-Update aufzuspielen.“

Awareness bei Klinikleitung und Mitarbeitern

Zudem nehmen Phishing- und Spam-Versuche stetig zu. „Wenn wir auf die letzten Jahre zurückblicken, sind diese Wellen in immer kürzeren Abständen und immer größerer Gewalt gekommen. Es kann durchaus sein, dass das weiter zunimmt und danach nicht mehr abflacht“, so Holzbrecher-Morys. Daher sei es wichtig, die Mitarbeiter für das Thema zu sensibilisieren. „Wir haben das sowohl in unserem Branchensicherheitsstandard als auch in dem Themenkomplex, der bei uns unter dem Stichwort Paragraph 75c STGB 5 läuft, integriert. Das ist im Endeffekt ein ganz wichtiger Punkt, dass man alle Berufsgruppen in den Krankenhäusern mitnimmt und dafür wirbt sich im täglichen Umgang mit Digitalisierung immer bewusst zu machen, ob die eMail, die ich gerade bekommen habe, authentisch ist oder das zu hinterfragen.“

Sönke Pingel, Full Kritis Service bei der EnBW, schlägt zudem eLearning vor, bei denen das Thema Social Engineering aufgegriffen wird. „So kann der Mitarbeiter auch die Kommunikationswege üben, die im Ernstfall erforderlich sind, zum Beispiel wie man so etwas meldet.“

Überhaupt sollte das Bewusstsein für Cybersicherheit fest in den Köpfen alle Beteiligten verankert werden, auch bei den Klinikleitern: Die treibe aktuell jedoch eher die Sorge um, Strom und Gas nicht mehr bezahlen zu können, so Holzbrecher-Morys. „Die Frage ist, wie man es schafft, in den Krankenhäusern neben dem – ich sage es mal plakativ – Wahnsinn des Tagesgeschäfts, die Sensibilität und die Wahrnehmung der Informationssicherheit so hoch zu halten, dass es bei jedem Klinikgeschäftsführer, bei den Abteilungen präsent ist.“ Aktuell biete man daher Informationsveranstaltungen an– auch gezielt für Geschäftsführer –, „um das Thema vor dem Problem hochzuhalten, sodass man ausreichend Zeit für die Vorbereitung hat.“

„Was ich in den Vordergrund stellen würde“, so Pingel. „ist das Üben von Cyberlagen, damit man sich bewusst wird, was in diesem Fall wirklich passiert. Auch Dr. Marius Feldmann, COO der Cloud&Heat Technologies GmbH und CEO der secustack, spricht sich für den Aufbau von Kompetenzen bei den Betreibern der kritischen Infrastrukturen aus. „Was wir teilweise erleben ist, dass die Entscheidungen outgesourct werden. Man holt sich dann Berater ins Unternehmen und am Ende ist es einfach nur noch ein reines Beratungsgeschäft.“

Automatisierung für mehr Sicherheit?

Dr. Kai Martius, CTO der secunet Security Networks AG und CEO der secustack, würde noch einen Schritt weiter gehen: „Weil wir von Faktor Mensch gesprochen haben, sage ich mal provokant, der Faktor Mensch muss möglichst aus dem Spiel genommen werden, bei sicherheitskritischen Themen. Ich möchte das mal an einem Beispiel klar machen: Die Konfiguration von Systemen ist oftmals eine Fehlerquelle oder der Entwicklungsprozess. Da schau ich jetzt ein bisschen auf die Hersteller der Systeme, die bereits im Entwicklungsprozess Methoden anwenden sollten, die Systeme grundsätzlich sicher machen – Security by Design etwa.“

Es gehe darum, mögliche Fehlentscheidungen beziehungsweise -konfigurationen bereits vorab auszuschließen. „Hier helfen auch die Cloud-Technologien durch einen hohen Grad an Automatisierung oder Infrastructur as Code, wobei Infrastrukturen nach einem bestimmten Schema konfiguriert werden, sodass der Mensch dort keine Fehlkonfiguration mehr vornehmen kann. Natürlich muss dann wieder die Maschine sicher sein, aber dafür haben wir haben heute die entsprechenden Technologien zur Verfügung.“

Das klingt im ersten Moment nach einer logischen Vorgehensweise, in der Praxis sieht es jedoch nochmal anders aus: „Das Thema Standardisierung, gerade auch im Bereich Sicherheit, das treibt uns ja auch schon seit vielen Jahren um und wir diskutieren es aktuell mit der Gematik mit dem Stichwort ‚Zero Trust’ für die Telematikinfrastruktur 2.0.“ Dies sei jedoch nicht ohne Weiteres auf die branchenspezifische Technik der Krankenhäuser übertragbar.

„Niemand wird in Frage stellen, dass Computersperren mit Kennwortreaktivierung eine gute Idee sind. Im OP ist das keine gute Idee.“ Ähnlich sei es auch mit der 2023 kommenden Absicherung der Intrusion Detection Systeme. „Da gibt es in anderen Branchen die Überlegung, das sich die Systeme, wenn ein Angriff erkannt wird, automatisch runter fahren. Auch das ist im OP keine sinnvolle standardisierte Operation – im wahrsten Sinne des Wortes.“

Aktuell sei man daher dabei, standardisierte Lösungen aus anderen Bereichen für den Gesundheitsbereich anzupassen. Hier spiele auch die gewachsene IT-Struktur in den Krankenhäusern wieder eine wichtige Rolle – und natürlich das Thema Geld: „Investitionsfinanzierung in deutschen Krankenhäusern ist ein Trauerspiel. Mit dem KHZG ist es das erste mal, das auch IT-Sicherheit wirklich bei investitiven Mitteln berücksichtigt wird. Aber das Thema, das uns noch mehr Kopfschmerzen bereitet als die Finanzierung – ja, tatsächlich gibt es eines, das noch schlimmer ist – ist das Thema Personal. Wir sehen beim qualifizierten Fachpersonal in diesem Bereich eine massive Unterdeckung.Wenn man sich einen Dienstleister sucht, der einem dann bestimmte Themen zuarbeitet, dann braucht man umgekehrt jemanden, der das Branchenverständnis für diese komplexen Abläufe gerade im Krankenhausbereich mitbringt und das tun die wenigsten.“

Lieferketten und Dienstleister im Blick

Doch IT-Sicherheit endet heute nicht mehr an der Krankenhaustüre. „Mit Blick auf die Lieferketten haben wir seit Jahren die Herausforderung nicht nur mit der DSGVO, sondern eben auch teilweise mit landesspezifischer Gesetzgebung bis hin zu unserem Branchensicherheitsstandard.“ Diese legen auch fest, dass während des Beschaffungsprozesses überprüft werden muss, von wem und wie Hardware bezogen wird. „Das Thema sichere Lieferkette ist auch bei der zweimal überarbeiteten Orientierungshilfe des BSI abgebildet. Das heißt,mit dem Thema beschäftigt man sich schon länger, auch branchenübergreifend“, so Holzbrecher-Morys.

Inwieweit Krankenhäuser für Prozesse, die bei externen Dienstleistern liegen, Verantwortung übernehmen können, sei jedoch eine andere Frage. „Die DSGVO schreibt vor, dass man sich in bestimmten Dingen – mit Blick auf den Datenschutz auf der einen Seite, aber natürlich auch IT-Sicherheit auf der anderen Seite – im Rahmen einer Vorabkontrolle ein Bild machen muss. Sie können sich die Herausforderung vorstellen, wenn man dort in komplexen Abhängigkeiten und vielleicht auch in einem größeren Klinikum unterwegs ist.“ Der Vorteil der Dienstleister ist jedoch nicht von der Hand zuweisen: Sie ermöglichen es nicht nur Hardware, sondern auch Informationssicherheit zu hosten. „Man muss abwägen, wie viel Abhängigkeit man eingeht und wie viel mehr an Sicherheit man durch die Expertise auf der anderen Seite bekommt.“

(ID:48408556)