Über unsMediaKontaktImpressum
Rico Barth 15. April 2020

IT-Sicherheit in Krankenhäusern

Safety und Security müssen zusammenwachsen

Wenn Cyberangriffe auf Krankenhäuser in die Schlagzeilen geraten, ist die öffentliche Bestürzung groß. Diese Vorfälle sind besonders erschreckend, weil die Auswirkungen für uns alle konkret und leicht fassbar sind. Und mitunter sogar lebensbedrohlich. Im aktuellen Ausnahmezustand aufgrund von COVID-19 sind Krankenhäuser noch leichter verwundbar und Folgen von Hacker-Attacken noch schwerwiegender. Wie können die Klinikbetreiber sich auf diese Situation einstellen, um sich und ihre Patienten noch besser zu schützen?

"We also stop all activity versus all kinds of medical organizations until the stabilization of the situation with virus." So antworteten die Entwickler und Betreiber der Maze Ransomware auf eine Anfrage von Lawrence Abrams, Gründer des IT-Sicherheitsforums Bleeping Computer, wie sie sich in der aktuellen Gesundheitskrise verhalten [1]. Auch die Hacker hinter der DoppelPaymer Ransomware betonten, dass sie selbst unter normalen Umständen keine Krankenhäuser oder Pflegeheime ins Visier nehmen. In Zeiten der Pandemie würden sie sogar kostenlos ein Entschlüsselungstool zur Verfügung stellen, wenn sie doch versehentlich eine medizinische Einrichtung angreifen. Nur Pharmafirmen, die in der derzeitigen Situation auch noch Geld verdienen, seien ausgenommen.

Haben Hacker, die für Gewinn und Vergnügen die Schwachstellen anderer ausnutzen, ausgerechnet zu Zeiten von COVID-19 ein Gewissen entwickelt? Selbst wenn diese Statements weniger Gruppierungen ernst gemeint sind, repräsentieren sie doch nur einen Bruchteil der Community. Die letzten Wochen haben gezeigt, dass die meisten Hacker die Krise vor allem als Chance sehen. Die WHO warnt explizit vor E-Mail-Scams im Zusammenhang mit COVID-19, neue Apps versprechen aktuelle Informationen zu Fallzahlen und installieren stattdessen Trojaner oder Ransomware [2].

Und Krankenhäuser sind besonders leicht angreifbar. In der übermäßig angespannten Situation gibt es noch weniger Toleranz für Fehler und Zwischenfälle, gleichzeitig sind die medizinischen Fachkräfte überarbeitet und möglicherweise weniger wachsam. Krisen öffnen Hackern die Türen. Am 12. März traf es bereits ein tschechisches Krankenhaus in Brno, das auch eins der größten COVID-19-Testlabore des Landes beherbergt [3]. Die Verantwortlichen mussten das gesamte Netzwerk offline nehmen, Operationen verschieben und besonders akute Fälle in ein benachbartes Krankenhaus verlegen. Das Labor selbst war offenbar nicht betroffen. Dem Krankenhausdirektor zufolge wird es aber trotzdem Wochen dauern, bis alle Systeme in der Klinik wieder voll funktionstüchtig sind. Das kann natürlich auch in Deutschland passieren. Deswegen darf gerade in Krisenzeiten IT-Sicherheit nicht nur ein Nachgedanke sein.

2019 gab es zwei Zwischenfälle, die auch in der deutschen Presse viel Beachtung fanden: Im Juli hatte eine Schadsoftware Server und Datenbanken des kompletten DRK-Verbunds in Rheinland-Pfalz und im Saarland verschlüsselt und damit deren Netzwerk lahmgelegt [4]. Im Dezember breitete sich im Klinikum Fürth ein Computervirus aus, der durch eine E-Mail eingeschleust worden war [5]. Was hat sich seitdem getan? Sind den großen Worten der Politiker auch Taten gefolgt?

Beginnen wir mit dem Positiven: Die besonnene Reaktion der Klinikverantwortlichen in Fürth und bei den DRK-Häusern hat definitiv Schlimmeres verhindert. Sie haben Internetverbindungen gekappt und damit den Schaden isoliert, ihre eigenen IT-Abteilungen ebenso wie das LKA informiert und vor allem alle Vorgänge für Betroffene, Behörden und Medien völlig transparent gemacht. Hier zeigt sich, dass das Personal von betroffenen Krankenhäusern inzwischen ausreichend vorbereitet sein kann, um auf einen Hackerangriff angemessen zu reagieren.

Aber es ist entscheidend, dass die Angriffsziele ein großes Krankenhaus bzw. ein ganzer Verbund waren, die bereits als Kritische Infrastruktur (KRITIS) eingestuft sind und im Kampf gegen Hacker mehr Unterstützung bekommen. Doch nur etwa zehn Prozent der deutschen Krankenhäuser fallen in diese Kategorie. Kleinere Krankenhäuser, die ohnehin zwischen schärferen Regeln des Bundesministeriums und wachsendem finanziellen Druck aufgerieben werden, können kaum in die IT-Infrastruktur und die Ausbildung ihrer Mitarbeiter investieren. Die Gesundheitsministerin von Rheinland-Pfalz, Sabine Bätzing-Lichtenthäler, hatte nach dem Hackerangriff im Juli mehr Geld vom Bund auch für kleinere Krankenhäuser eingefordert und eine Expertenkommission zusammengerufen, die Lösungen für die Branche erarbeiten sollte [6].

Die finanziellen Forderungen hatte der parlamentarische Staatssekretär des Bundesgesundheitsministeriums, Thomas Gebhart (CDU), bereits im September letzten Jahres abgeschmettert und auf die Verantwortlichkeit der Länder verwiesen [7]. Die Expertenkommission in Rheinland-Pfalz hat Mitte März mit wenigen Monaten Verspätung ihre Ergebnisse veröffentlicht und setzt darin vor allem auf höhere Transparenz, eine bessere Nutzung der bestehenden Informations- und Weiterbildungsmöglichkeiten sowie Mitarbeiterschulungen, aber auch auf eine intensivere Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Ministerium des Inneren und dem Landeskriminalamt [8]. Und die Kommission erneuert natürlich die Forderung an den Bund nach mehr Geld auch für kleinere Krankenhäuser [9].

Kleinere Krankenhäuser sind trotzdem immer noch weitgehend auf sich allein gestellt. Auch das IT-Sicherheitsgesetz 2.0, das den KRITIS-Schwellenwert von 30.000 vollstationären Behandlungsfällen im Jahr möglicherweise herabsetzen soll, steckt immer noch in der Ressortabstimmung. So gibt es weder für Krankenhäuser noch für deren IT-Dienstleister Planungssicherheit beim wirklich lebenswichtigen Thema Cybersecurity.

Um sich dieser Herausforderung nun selbst zu stellen, können Klinikbetreiber für eine Verbesserung der IT-Infrastruktur sich zuallererst an den Anforderungen des IT-Grundschutz vom BSI orientieren. Diese müssen nur durchgesetzt werden, was ja auch sukzessiv erfolgen kann. Der spezielle Sicherheitskatalog B3S der Deutschen Krankenhausgesellschaft gibt Kliniken aller Größen einen Fahrplan an die Hand, um diesen Umbruch zu bewältigen [10]. Wichtig ist zum Beispiel die sogenannte Härtung des Serversystems. Das System muss so schlank wie möglich gehalten werden, um Hackern keine Einstiegsmöglichkeiten zu bieten. Der Einsatz von Open-Source-Software ist dabei unbedingt zu empfehlen, denn so kann jeder Nutzer den Quellcode einsehen und auf Risiken und Schwachstellen überprüfen. Jedes Krankenhaus behält damit seine digitale Souveränität. Selbstverständlich gehört auch eine Einbeziehung des Personals dazu: Nicht nur im Alltag müssen sie souverän mit der IT umgehen können, sie müssen genau wie auf Brände und Naturkatastrophen auch auf Cyberangriffe vorbereitet werden.

Um nicht für jede Einrichtung das Rad neu zu erfinden, ist es hilfreich, Service-Management-Systeme direkt einzubinden, die sämtliche Prozesse in Krankenhäusern unterstützen und bei Bedarf automatisieren, sei es IT, Haustechnik oder auch Medizingerätetechnik. Ziel ist es dabei, alle Bereiche mit individuellen Lösungen abzudecken – eine homogene IT-Monokultur wäre sogar eher eine Gefahr. Jede Klinik verfügt schon jetzt über eine gewachsene IT-Infrastruktur. Es bietet sich an, diese spezialisierten Lösungen über offene Schnittstellen miteinander kommunizieren zu lassen und nahtlos in ein IT-Sicherheitsmanagement zu integrieren, natürlich nach dem BSI-Standard.

Obwohl Einigkeit darüber herrscht, dass IT-Sicherheit immens wichtig ist, scheint es für die meisten Menschen, auch das Krankenhauspersonal, eher ein lästiges Thema zu sein. In den letzten Jahren hat da sicherlich ein Umdenken begonnen, aber manchmal wünsche ich mir, dass es schneller geht. Der Chefarzt ist und bleibt natürlich in erster Linie Mediziner. Wenn er sich ein neues Röntgengerät anschafft, denkt er nicht automatisch daran, was das für Arbeitsprozesse in der IT-Abteilung und beim technischen Personal in Gang setzt. Aber dieses Gerät hat ja auch einen Netzwerkanschluss und muss in ein System eingepflegt werden, die Mitarbeiter müssen eingewiesen, das Gerät muss gewartet und das Ganze muss regelmäßig wiederholt werden. Und natürlich alles mit lückenloser Dokumentation. Auch hier können Service-Management-Systeme helfen, strukturierte Arbeitsabläufe und eine sichere Betriebsführung zu gewährleisten.

Vernetzte medizinische Geräte sind ein Ziel für Hacker.

Bisher waren bei Cyberangriffen auf Krankenhäuser immer sensible Daten beziehungsweise die Verwaltungssysteme betroffen. Ein mögliches und lebengefährdendes Ziel für Hacker wären aber auch eben diese vernetzten medizinischen Geräte. Sie verfügen über eigene IP-Adressen und können so auch digital manipuliert werden. Früher war bei einem Medizingerät nur die Safety zu bedenken, also der Schutz von Mensch und Umwelt vor physischem Schaden. Jetzt müssen wir auch die Security, insbesondere die IT-Security, gewährleisten. Safety und Security wachsen zusammen, genauso wie IT, Medizingerätetechnik und Gebäudeautomation. Das birgt Risiken, vereinfacht aber auch die Konfiguration und die Überwachung.

Sobald Medizingeräte einmal zertifiziert sind, dürfen sie nicht verändert werden, das heißt, auf ihnen dürfen auch keine Sicherheitsupdates installiert werden. Bei Updates, auch von Anti-Viren-Programmen, muss der Hersteller überprüfen, ob die Anpassung der Software die Sicherheit oder den bestimmungsgemäßen Gebrauch des Gerätes beeinflusst. Erst nach gründlicher Überprüfung und Freigabe darf die neue Software aufgespielt werden. Mit diesem Dilemma hat zum Beispiel auch Tesla zu kämpfen, sie dürfen eigentlich keine Sicherheitsupdates an ihren Autos durchführen. Die zentrale Bundesbehörde muss die bisherigen Regelungen dringend auf den Prüfstand stellen und an aktuelle technische Entwicklungen anpassen.

Diese Herausforderungen treffen die Krankenhäuser schon heute. Durch den Anschluss an die Telematikinfrastruktur bis zum 01. Januar 2021, der für die Nutzung der elektronischen Patientenakte notwendig ist, werden neue Schwierigkeiten dazukommen [11]. Und dabei darf man nicht vergessen, dass Hackerangriffe nur eine – zugegebenermaßen medienwirksame – Ursache für IT-Probleme sind. Durch Nachlässigkeit und fehlende Sensibilisierung der Mitarbeiter können auch ohne Attacken von außen persönliche Daten öffentlich zugänglich sein. Die IT ist in Krankenhäusern häufig nur Mittel zum Zweck, sie muss funktionieren und macht eigentlich nur auf sich aufmerksam, wenn es mal Probleme gibt. Diese Perspektive sollte sich grundsätzlich wandeln: hin zu einer proaktiven, vorausschauenden Umgangsweise, wozu open-source-basierte Systeme nachweislich am besten geeignet sind.

Autor

Rico Barth

Rico Barth, Jahrgang 1976, ist einer der digitalen Vorreiter im Lande. 2006 hat er zusammen mit drei Kollegen das Unternehmen cape IT gegründet. Seit 2011 ist er im Vorstand der Open Source Business Alliance.
>> Weiterlesen
Das könnte Sie auch interessieren

Kommentare (0)

Neuen Kommentar schreiben