Cybersicherheit - damit wir uns auf Krankenhaus-IT verlassen können.

Die Auswirkungen des medizinischen Fortschritts sind unübersehbar. Dahinter steckt auch immer mehr Technologie. Die Entwicklung zu "intelligenten" Krankenhäusern mit digitalen Endgeräten, vernetzten Systemen, Remote-Untersuchungen oder roboter-assisted durchgeführten Operationen ist unaufhaltbar und bietet große Chancen.

A. Die Digitalisierung im Gesundheitssektor schreitet voran

Mit der Digitalisierung und immer größeren Datenmengen steigt andererseits auch die Gefahr, sich Cyberangriffen auszusetzen, denn digitale Daten sind ein lukratives Angriffsobjekt.

Die Gefährdungslage hat sich durch die Corona-Pandemie noch einmal zugespitzt. Internetnetzung und Online-Kommunikation haben zugenommen. Kriminelle nutzen geschickt den gestiegenen Informations- und Aufklärungsbedarf der User aus, um durch gefälschte Emails zum Thema Corona an Zugangsdaten zu kommen bzw. User auf infizierte Seiten zu lenken und somit die Systeme zu infiltrieren.

Gerade jetzt, unter veränderten Arbeitsabläufen - z.B. durch Nutzung von IT-Systemen durch Verwaltungspersonal von zuhause - müssen Krankenhäuser ausfallsicher und zuverlässig arbeiten, um ihrem medizinischen Auftrag nachkommen zu können. Technische und organisatorische IT-Sicherheitsmaßnahmen müssen daher noch ernster genommen und konsequent umgesetzt werden. Leider führen neben immer raffinierteren Angriffstaktiken und der Expansion von Schadsoftware auch fehlendes Wissen bei Ärzten und Krankenhauspersonal, fehlende IT-Fachkräfte und zu geringe Budgets für IT-Sicherheit dazu, dass Gesundheitsunternehmen immer wieder Cyberattacken mit Erfolg zum Opfer fallen.

B. Angriffsszenarien

In dem Report der Agentur der Europäischen Union für Cybersicherheit ENISA werden fünf Angriffsszenarien beschrieben, die als besonders relevant für „Smart Hospitals“ angesehen werden. Als solche werden „intelligente“ Krankenhäuser beschrieben, die intelligent vernetzt und in der Lage sind, autonom Entscheidungen zu treffen. Dazu gehören z.B. mobile Endgeräte, Identifikationssysteme und vernetzte klinische Informationssysteme.

Diese 5 Angriffsszenarien sind:

• Malware / Erpressungssoftware-Attacken auf Krankenhausinformationssysteme
• Lahmlegung von Krankenhaus-Servern
• Social Engineering (E-Mail-Manipulation / -Fälschung)
• Manipulation von Geräten und
• Diebstahl von Geräten und Daten-Exfiltration
  
  

C. Regulatorien der IT-Sicherheit im Gesundheitssektor

Die Anforderungen an die IT-Sicherheit sind also hoch und sie liegen auf dem Tisch: DSGVO, IT-Grundschutz, KRITIS – letztlich gilt es die besonders sensiblen Patientendaten zu schützen und den Krankenhausbetrieb störungsfrei aufrechtzuerhalten. Die Liste der Cyber-Bedrohungspotenziale und der empfohlenen Maßnahmen ist bekannt; sie ist in nationalen und europäischen Leitfäden bzw. Empfehlungen, sog. Branchen-Standards, definiert.

Nach § 8a des BSI-Gesetzes (BSIG) müssen Betreiber kritischer Infrastrukturen nachweisen, dass ihre IT-Sicherheit auf dem "Stand der Technik" ist. Die deutsche Krankenhausgesellschaft hat sich daraus ihren eigenen Standard entwickelt. Der Branchenspezifische Sicherheitsstandard für Krankenhäuser steht als Orientierung allen Kliniken jeglicher Größe zur Verfügung und sollte als Maßstab für die Umsetzung angemessener IT-Maßnahmen dienen.

Laut Patientenrechtegesetz müssen die medizinischen Leistungserbringer revisionssicher aufzeichnen und bei Audits nachweisen, wann sie welcher Stelle in welcher Form Krankenunterlagen übertragen haben. Und unabhängig vom Wirtschaftszweig gilt die DSGVO. Gesundheitsdaten gelten als besonders sensibel und schützenswert.

D. Sicherheit von Medizinprodukten (OT/IoMT)

Während die klassischen IT-Systeme wie Krankenhausinformationssysteme (KIS) und Verwaltungsserver im Fokus stehen, präsentiert sich die Sicherheit der medizinischen Geräte selbst – der sogenannten Operational Technology (OT) und des Internets der Medizinischen Dinge (IoMT) – als eine der größten Herausforderungen im Gesundheitssektor. Diese vernetzten Geräte, von bildgebenden Verfahren wie MRT und CT bis hin zu Infusionspumpen und Patientenmonitoren, sind integraler Bestandteil der Patientenversorgung. Ein zentrales Problem ist, dass viele dieser Systeme über lange Lebenszyklen verfügen und oft mit veralteten Betriebssystemen betrieben werden, die seit Jahren keine Sicherheitsupdates mehr erhalten haben.

Die Herstellerbindung und die hohen regulatorischen Hürden der Medizinprodukte-Betreiberverordnung (MPBetreibV) erschweren oder verhindern gar das schnelle Einspielen von Patches, da jede Änderung die Zulassung des Geräts beeinträchtigen könnte. Dies schafft eine riesige Angriffsfläche, die durch klassische IT-Sicherheitsmaßnahmen allein nicht abgedeckt werden kann. Die Manipulation oder der Ausfall eines Medizinprodukts kann nicht nur die Datensicherheit gefährden, sondern unmittelbar Leib und Leben der Patienten bedrohen. Krankenhäuser müssen daher dringend Strategien zur Netzwerksegmentierung entwickeln, um diese kritischen OT-Geräte von der übrigen Infrastruktur abzuschirmen. Nur durch spezialisierte Sicherheitskonzepte und eine enge Abstimmung zwischen IT-Abteilung, Medizintechnik und Herstellern kann dieser spezifischen Bedrohung wirksam begegnet werden, um die Verfügbarkeit und Integrität dieser lebenswichtigen Systeme zu gewährleisten.

E. Resilienz durch Post-Incident Management und Business Continuity

Die Konzentration auf Prävention allein greift im Gesundheitssektor zu kurz, denn eine absolute Sicherheit vor Cyberangriffen ist eine Illusion. Ebenso wichtig wie die Abwehr ist die Fähigkeit, nach einem erfolgreichen Angriff schnell wieder ausfallsicher arbeiten zu können – dies erfordert ein robustes Post-Incident Management und Business Continuity Management (BCM). Jedes Krankenhaus muss daher nicht nur präventive Maßnahmen ergreifen, sondern auch erprobte Notfallpläne bereithalten, um die kritische Patientenversorgung zu jedem Zeitpunkt aufrechtzuerhalten. Dies beinhaltet detaillierte Vorfallsreaktionspläne, die klar definieren, wer im Ernstfall wann welche Schritte einleitet, von der Isolation betroffener Systeme bis zur Kommunikation mit dem BSI.

Zentral für die Wiederherstellung ist eine solide Backup-Strategie: Die Datensicherung muss zuverlässig, vollständig und vor allem isoliert vom Produktivnetzwerk erfolgen, um sie vor einer Verschlüsselung durch Ransomware zu schützen. Regelmäßige Wiederherstellungstests sind unerlässlich, um sicherzustellen, dass die Systeme im Katastrophenfall tatsächlich schnell und effizient wiederhergestellt werden können. Darüber hinaus müssen analoge Notfallverfahren existieren und den Mitarbeitern bekannt sein, damit die klinischen Abläufe – etwa durch temporäre Rückkehr zur Papierakte – auch bei einem Komplettausfall der IT-Systeme weitergeführt werden können. Nur eine durchdachte Resilienzstrategie sichert die Handlungsfähigkeit des Krankenhauses und erfüllt den hohen Anspruch an die Betriebssicherheit der KRITIS-Betreiber.

F. Welche Schutzmaßnahmen werden empfohlen?

Um den hohen Anforderungen an die IT-Sicherheit gerecht zu werden und die sensiblen Patientendaten wirksam zu schützen, ist ein mehrschichtiger Ansatz unerlässlich. Die notwendigen Vorkehrungen, die den aktuellen Stand der Technik widerspiegeln müssen, sind in nationalen Leitfäden, insbesondere im Branchenspezifischen Sicherheitsstandard für Krankenhäuser (B3S), detailliert beschrieben. Diese Maßnahmen zielen darauf ab, sowohl technische Schwachstellen als auch das menschliche Fehlerrisiko zu minimieren. Die Umsetzung muss dabei stets die spezifischen Gegebenheiten des Gesundheitssektors berücksichtigen, insbesondere die Notwendigkeit der jederzeitigen Verfügbarkeit klinischer Systeme.

• Schutz vor Schadsoftware und Maßnahmen zur Vermeidung und Erkennung von nicht autorisierter Software: Dies umfasst den Einsatz moderner Antivirus- und Endpoint Detection and Response (EDR)-Lösungen, die nicht nur bekannte Viren abwehren, sondern auch verdächtige Verhaltensmuster erkennen. Nur autorisierte Programme dürfen ausgeführt werden, um die Ausbreitung von Malware zu verhindern.

• Intrusion Detection & Prevention (IDS/IPS): Diese Systeme überwachen den Netzwerkverkehr in Echtzeit, um unbefugte Zugriffsversuche oder laufende Angriffe frühzeitig zu identifizieren und diese automatisch zu blockieren (Prevention). Dies ist besonders wichtig zur Absicherung der kritischen Infrastruktur.

• Sichere Multi-Faktor-Authentifizierung (MFA): Um den Diebstahl von Zugangsdaten zu entkräften, ist die MFA für alle kritischen Systeme verpflichtend. Hierbei muss ein Nutzer seine Identität durch mindestens zwei unabhängige Faktoren (z.B. Passwort und Chipkarte oder Token) nachweisen.

• Datenverschlüsselung: Vertrauliche Daten müssen sowohl während der Übertragung (etwa über die Telematikinfrastruktur) als auch bei der Speicherung (auf Servern oder mobilen Endgeräten) verschlüsselt werden. Dies schützt sensible Patientendaten selbst dann, wenn Datenträger oder Geräte gestohlen werden.

• Sicherer Umgang mit Datenträgern: Hierzu gehören klare Richtlinien für die sichere Löschung (nach BSI-Richtlinien) und die physikalische Aufbewahrung von Wechseldatenträgern und nicht mehr benötigten Speichermedien, um Datenlecks zu vermeiden.

• Zugriffskontrolle nach dem Need-to-know-Prinzip: Organisatorisch muss sichergestellt werden, dass Mitarbeiter (Ärzte, Pfleger, Verwaltung) nur auf die Patientendaten zugreifen können, die sie für ihre aktuelle Tätigkeit zwingend benötigen. Dies ist eine zentrale Anforderung der DSGVO und schützt vor internem Datenmissbrauch.

• Sensibilisierung und Schulung des Personals: Regelmäßige und zielgruppengerechte Schulungen zu Themen wie Phishing, Social Engineering, Passwortsicherheit und dem korrekten Umgang mit mobilen Geräten sind essenziell. Es gilt, das Personal zu Wachsamkeit zu schulen und ein robustes Sicherheitsbewusstsein zu etablieren.

DriveLock bietet zu all diesen technisch-organisatorischen Maßnahmen Unterstützung und Lösungen an: Applikationskontrolle und Gerätekontrolle, zum Schutz vor Schadsoftware und Kontrolle mobiler Datenträger, Endpoint Monitoring & Detection-Werkzeuge, Datenverschlüsselung für Festplatten, Verzeichnisse, Dateien und externe Datenträger als auch eine Middleware zur effizienten Verwendung von Smartcards für die Multi-Faktor-Authentifizierung.

Zudem können durch unser Security Awareness-Modul Ärztinnen und Ärzte wie auch das Pflege- und Verwaltungspersonal kontinuierlich mit Informationskampagnen direkt am Arbeitsplatz geschult und sensibilisiert werden.

Mehr erfahren Sie in dem 17 seitigem Whitepaper „Cyber Security im Healthcare Sektor“, das Sie hier kostenlos herunterladen können.