IT-Sicherheit in der Gesundheitsbranche umsetzen Wie der medizinische Sektor kritische Infrastruktur und geistiges Eigentum schützen kann

Die Digitalisierung des Gesundheitswesens nimmt einen immer höheren Stellenwert ein. Der wachsende Einsatz, zum Teil auch komplexer IT birgt jedoch Gefahren und Cyberkriminalität stellt für die Branche eine echte Bedrohung dar. Kliniken, Labore, Forschungseinrichtungen und Arztzentren sollten deshalb verstärkt für die Sicherheit ihrer IT-Infrastruktur sorgen und entsprechend adäquate sowie nachhaltige Maßnahmen ergreifen. Christian Milde, Geschäftsführer DACH bei Kaspersky, erklärt im Interview mit Healthcare Computing, was IT-Entscheider speziell im Gesundheitssektor berücksichtigen sollten.

Welche Art von Angriffen haben besonders zugenommen und was für Einrichtungen waren davon hauptsächlich betroffen?

Christian Milde: Allein zwischen Januar und November letzten Jahres gab es 43 Cyberangriffe auf wichtige Einrichtungen des Gesundheitsbereichs. Und insbesondere Kliniken und deren Betreiber mussten sich seit Beginn der Pandemie vermehrt gegen Ransomware-Attacken, also Erpressungssoftware, die für die Entschlüsselung kompromittierter und dadurch nicht mehr zugänglicher Daten Lösegeld fordert, wehren. Krankenhäuser sind dabei ein höchst sensibles Ziel, denn ein Ausfall von IT-Systemen kann eine direkte Auswirkung auf die Versorgung der Patienten haben. Insbesondere Schwachstellen in digitalen Geräten und Anwendungen zur Patientenbehandlung und -pflege sind hier besonders kritisch.

Welch drastische Folgen beispielsweise ein durch einen Cyberangriff ausgelöster Aufnahmestopp bei Notfällen haben kann, zeigte im Dezember 2020 ein Fall aus Nordrhein-Westfalen. Dort wurden am Uniklinikum Düsseldorf 30 Server verschlüsselt [1]. Ein Rettungswagen musste deshalb abgewiesen und nach Wuppertal umgeleitet werden. Die Patientin verstarb – möglicherweise auf Grund des durch die Ransomware-Attacke notwendig gewordenen längeren Transports.

Sind lediglich große Einrichtungen von Angriffen betroffen oder trifft es inzwischen auch kleinere Unternehmen?

Christian Milde: Guter Punkt. Leider kann sich keine noch so kleine Klinik oder kein noch so kleines Unternehmen nur ob seiner vermeintlich geringen Bedeutung in Sicherheit wiegen. Das zeigt unter anderem das Beispiel einer relativ kleinen urologischen Klinik im Münchner Umland [2], das im Januar 2021 Opfer einer Kompromittierung wurde. Wieder war Ransomware im Spiel und erneut hatten sich die Angreifer Zugriff auf Patientendaten verschafft.

Wie kann sich das Gesundheitswesen effektiver gegen solche Angriffe schützen?

Christian Milde: Um geeignete Maßnahmen zum Schutz der Institutionen im Gesundheitsbereich zu ergreifen, lohnt ein Blick auf die vielfältigen Verbreitungswege von Malware, wie zum Beispiel Ransomware. Sie wird über E-Mails mit schädlichen Links und Anhängen genauso verbreitet wie über infizierte Websites. Oder Angreifer erschleichen sich Anmeldedaten für Systeme durch plumpen Diebstahl oder auch durch geschicktes Social Engineering einzelner Mitarbeiter. Dies bedeutet erstens, dass alle Mitarbeiter im Gesundheitswesen entsprechend zu aktuellen Cybergefahren geschult werden müssen und zweitens jedes Gerät mit Zugang zum jeweiligen Unternehmensnetz und Internet entsprechend geschützt sein muss. Neben Computern sind das zum Beispiel auch Mobiltelefone, Tablets, Terminals, Kiosksysteme und natürlich medizinische Geräte im Bereich IoT, wie Röntgengeräte.

Mitarbeiter und ein zunehmend heterogener System- und Gerätefuhrpark, klingt nach einer Herkulesaufgabe für die Verantwortlichen. Ist das überhaupt machbar?

Christian Milde: Zum Glück bietet ja die IT-Sicherheitsbranche Lösungen und Services [3], die Beeinträchtigungen der Geschäftstätigkeit und Schäden durch komplexe und zielgerichtete Bedrohungen verhindern können [4] – auch für Unternehmen, die keine IT-Sicherheitsexperten in-house haben. Essenziell ist darüber hinaus, dass – neben den oben schon erwähnten Mitarbeiterschulungen – die Software aller technischen Geräte stets auf dem neuesten Stand ist. Auch dem richtigen Umgang mit E-Mails kommt eine hohe Bedeutung zu, da diese im Gesundheitswesen eine tragende kommunikative Säule darstellen und entsprechend häufig genutzt werden. Umso wichtiger ist es, Spam-Mails mit teils gefährlichen Anhängen und Links in der E-Mail-Flut sicher zu orten und unschädlich zu machen. Ein effektiver E-Mail-Schutz [5] ist daher ausschlaggebend für die Sicherheit der elektronischen Kommunikation.

Was muss der einzelne Mitarbeiter beachten, um solche digitalen Gefahren abzuwenden, beziehungsweise diesen bestmöglich zu begegnen?

Christian Milde: Hier sind wir direkt wieder bei dem so wichtigen Thema der Cybersicherheitsschulungen für alle Beteiligten. Jeder Mitarbeiter, der an seinem Arbeitsplatz mit Technologie in Berührung kommt, sollte über die mit seiner Rolle und Position verbundenen grundlegenden IT-Sicherheitsrisiken informiert sein. Im Gesundheitswesen sind das zum Beispiel auch Ärzte, Pfleger und medizinische Fachangestellte. Egal ob bei der Untersuchung am Computertomografen oder beim Bearbeiten von Patientendaten am PC: Das Bewusstsein für Cybersicherheit sollte genauso ausgeprägt und selbstverständlich sein wie das Tragen eines Mund-Nasen-Schutzes beim Umgang mit Patienten. Diese sogenannten Security Awareness Trainings [6] helfen, solch ein Bewusstsein und das dafür nötige Wissen maßgeschneidert für jeden Mitarbeiter zu vermitteln.

Weitere Informationen zum Thema.

(ID:47487624)