IT-Sicherheit in Krankenhäusern Medizingeräte und IT-Systeme effektiv vor Hackern schützen

Viele Prozesse lassen sich digitalisieren und automatisieren, um das Klinikpersonal zu entlasten und eine optimale medizinische Versorgung zu gewährleisten. Jedoch birgt die fortschreitende Digitalisierung das Risiko von Cyberangriffen: Oft sind Systeme und Medizingeräte nicht ausreichend vor unbefugten Zugriffen geschützt. Deshalb ist eine Public-Key-Infrastruktur und ein Identity-Access-Management wichtig für die Sicherheit in medizinischen Einrichtungen.

Lange galt Security in Kliniken eher als notwendiges Übel und wurde deshalb nur stiefmütterlich behandelt. Doch das Thema steigt allmählich in der Priorität, allen Beteiligten ist inzwischen klar, dass das Sicherheitsniveau in den Krankenhäusern steigen muss. Diese Erkenntnis rührt nicht von Ungefähr: Etliche Cyberattacken auf Kliniken und Pflegeeinrichtungen machten in den vergangenen Jahren Schlagzeilen und führten den Betreibern schmerzlich vor Augen, was drohen kann: Das Neusser Lukaskrankenhaus zum Beispiel, das als erste große Klinik eine Cyberattacke öffentlich machte, entschied 2016 infolge eines Hackerangriffs das gesamte IT-System herunterzufahren. 2020 wurde der Krankenhausverbund in Trägergesellschaft des Deutschen Roten Kreuzes Süd-West angegriffen, 20 Einrichtungen in Rheinland-Pfalz und dem Saarland waren betroffen und konnten auf digitalem Weg keine neuen Patientinnen und Patienten mehr aufnehmen. Jüngst (Februar 2024) wurde das Krankenhaus Lindenbrunn in Coppenbrügge angegriffen, Hacker hatten das EDV-System und die Telekommunikation lahmgelegt.

IAM-Technologie: Mehr Sicherheit und Effizienz im Gesundheitswesen

Lebensrettern das Leben retten leichter machen

Die Folgen solcher Angriffe sind fatal und können sich über Monate hinziehen: Der Klinikalltag kann nicht wie gewohnt weiterlaufen, neue Patientinnen und Patienten können häufig nicht aufgenommen, Rechnungen nicht erstellt werden. Den Kliniken entstehen dadurch hohe Kosten, zusätzlich müssen sie viel Geld für die Wiederherstellung der Systeme ausgeben. Nicht zuletzt könnten Cyberangriffe auch lebensbedrohlich werden, wenn Hacker Medizingeräte wie z. B. Medikamentenpumpen manipulieren. Um gesundheitliches Risiko für Patientinnen und Patienten, finanzielle Belastungen und einen Imageschaden abzuwenden, ist es für Kliniken elementar wichtig, viel mehr in Security-Maßnahmen zu investieren und ihre Digitalisierung sicher weiter voranzutreiben.

Public-Key-Infrastruktur für eine erhöhte Security

Ein wichtiger Baustein, um die Sicherheit vor externen und internen Angriffen zu erhöhen, ist eine Public-Key-Infrastruktur (PKI). Dabei handelt es sich um eine asymmetrische Krypto-Technologie, die als eine der sichersten Formen der Verschlüsselung gilt. Mit der PKI lassen sich Daten und Nachrichten signieren und verschlüsseln, für jede Verbindung zwischen den Kommunikationspartnern, zum Beispiel zwischen Ärzten und Labormitarbeitern, werden zwei Schlüssel benötigt – ein öffentlicher Schlüssel für die Verschlüsselung der Daten und ein privater, geheimer Schlüssel für die Entschlüsselung. Die Authentizität des öffentlichen Schlüssels wird mit digitalen Zertifikaten sichergestellt, die in einer Art Kette jeweils das Vorgängerzertifikat validieren. So entsteht ein sicherer Zertifizierungspfad.

Je mehr Geräte und Systeme Kliniken, medizinische oder pflegende Einrichtungen im Einsatz haben, beziehungsweise mit je mehr externen Systemen sie im Rahmen der Beschaffung, telemedizinischen Anwendungen und der elektronischen Patientenakte kommunizieren müssen, desto komplexer werden die Kommunikation, der reibungslose Betrieb und auch die Gewährleistung der Sicherheit. Die PKI stellt hier grundlegende Schutzmechanismen bereit, um die Kommunikation zwischen den Geräten und Systemen abzusichern und sie vor unbefugten Zugriffen zu schützen. So verfügt jedes Medizingerät über eine eigene Device Identity, sozusagen ein Einmalzertifikat. Mit diesem authentifiziert es sich bei der Inbetriebnahme im Klinik-Netzwerk. In der Folge werden weitere Zertifikate vergeben, zum Beispiel für Updates von Hard- und Software oder für die Kommunikation mit anderen Geräten und Systemen. Die jeweiligen Kommunikationspartner tauschen ihre Zertifikate aus und können Daten und Nachrichten dann so verschlüsseln, dass nur der jeweilige Partner sie entschlüsseln kann. Ein unbefugter Zugriff auf die Daten und eine mögliche Manipulation der Daten wird so verhindert.

Geräte und Systeme durch Identity-Access-Management schützen

Mit der PKI einhergehen sollte immer auch ein Identity-Access-Management (IAM), mit dem sich Geräte und Systeme vor nicht-autorisierten Zugriffen schützen lassen. Es gilt, Computer und Medizingeräte mit Sicherheitsmechanismen auszustatten, sodass sie beispielsweise nicht ohne Log-In bedient werden können. Allzu oft sind Bildschirme nicht gesperrt, Computer und Medizingeräte relativ frei zugänglich – Angreifer haben hier leichtes Spiel. Daher ist es notwendig, dass sich Pflegepersonal, Ärztinnen und Ärzte an Geräten einloggen und nach Benutzung auch wieder ausloggen müssen. Dies muss aber an den hektischen Klinikalltag angepasst und für die Belegschaft komfortabel sein. Der Trend geht hier eindeutig weg von der Eingabe von Passwörtern, weil dies aus gleich mehreren Gründen nicht praktisch ist: Passwörter sind nicht immer leicht zu merken, schnell vertippen sich Nutzerinnen und Nutzer bei der Eingabe. Zudem bedeuten Passwörter für die IT einen recht hohen Verwaltungsaufwand und ihr Schutzmechanismus ist eher gering.

(ID:49991016)