Enisa: Notfallplan für mehr Cybersicherheit im Krankenhaus

Gerade im vergangenen Jahr sorgten diverse Sicherheitsvorfälle im Gesundheitssektor für mediale Aufmerksamkeit; wir berichteten im Oktober 2019 beispielsweise über die sichere digitale Kommunikation im Gesundheitswesen. In 2017 wütete WannaCry, Studien zeigten, wie mangelhaft die Verschlüsselung im Gesundheitswesen ausfällt, zudem brachte ein Hack Krankenhäuser zum Stillstand. Die EU-Agentur für Cybersicherheit (Enisa) gibt zu bedenken: Allein in 2019 erlitten zwei Drittel der Organisationen im Gesundheitssektor Cybersicherheitsvorfälle. Darunter sowohl Hackerangriffe mit Ransomware wie Emotet als auch Datenpannen. So ein Trojaner erwischte auch deutsche Einrichtungen wie das Klinikum Fürth. Man sieht: die Cybersicherheit im Krankenhaus lässt zu wünschen übrig.

Die Enisa hat mit dem 24. Februar 2020 eine Leitlinie für Krankenhäuser veröffentlicht. Die EU-Behörde ist überzeugt, dass Cybersicherheit in Krankenhäusern ein immer wichtigeres Thema wird. IT-Sicherheit müsse ganzheitlich in die unterschiedlichen Prozesse, Komponenten und Stufen integriert werden.

Leitfaden ergänzt KRITIS für Krankenhäuser

Der Leitfaden, den die Enisa veröffentlicht hat, ergänzt die bisherigen KRITIS-Leitfäden. Beschaffungsbeamten in Krankenhäusern, aber auch CISOs/ CIOs soll mit diesem Leitfaden ein umfassendes Instrumentarium zur Verfügung stehen, außerdem werden Best Practices aufgezeigt. Der Leitfaden ist so konstruiert, dass Krankenhäuser ihn an den individuellen Beschaffungsprozess anpassen können. Ziel ist es, Krankenhäusern alle Tools an die Hand zu geben, um sicherzustellen, dass gesetzte Ziele in der Cybersicherheit im Krankenhaus auch erreicht werden können. Neben gängigen Industriestandards zeigt der Leitfaden Verfahren und Empfehlungen, die der Cybersicherheit im Krankenhaus dienen.

Enisa-Leitfaden: drei Phasen für mehr Cybersicherheit im Krankenhaus

Der Enisa-Leitfaden teilt drei Phasen ein, die für die Cybersicherheit im Krankenhaus relevant sind. Vorgestellt werden zehn Arten der Beschaffung, darunter Vermögenswerte, Produkte, Dienstleistungen, etc. Diese drei Phasen sind:

Planphase
In der Planphase steht die Analyse der Bedürfnisse eines Krankenhauses auf dem Plan, außerdem werden aus den internen Abteilungen Anforderungen gesammelt. Nehmen wir als Beispiel die Beschaffung eines neuen Cloud-Services: Der CTO sollte nicht nur die Bedürfnisse ermitteln, sondern auch verstehen und rüberbringen können, welchen Nutzen dieser Service nach sich zieht. Diese Steps gehören in die Planphase:

• Risikobewertungen durchführen
• Anforderungen schon im Voraus planen
• Bedrohungen identifizieren
• Netzwerke trennen
• Eignungskriterien für Lieferanten entwerfen
• dedizierte RfP (Request for proposal; Aufforderung zur Angebotsabgabe) für die Cloud erstellen

Beschaffungsphase
In der Beschaffungsphase werden die bestehenden Anforderungen übersetzt in technische Spezifikationen. Zusammen mit dem Beschaffungsamt kann der Sourcing-Prozess beginnen, indem beispielsweise eine entsprechende Ausschreibung veröffentlicht wird. Nach Erhalt entsprechender Angebote werden diese durch einen Ausschuss (einschließlich CTO/ CISO oder Mitgliedern des IT-Teams) bewertet und die geeignetsten Produkte werden in die engere Wahl genommen. Mit Auftragnehmern werden Verhandlungen geführt, schließlich wird der Auftrag an ein Unternehmen vergeben. Dann stehen an:

• Zertifizierungen empfehlen oder vorschreiben
• Datenschutz-Folgeabschätzungen (DPIA, Data Protection Impact Assessment) durchführen und Legacy-Systeme ansprechen
• Schulungen in Cybersicherheit im Krankenhaus anbieten
• Reaktionspläne für Vorfälle entwickeln
• Lieferanten in diese Pläne und ins gesamte Vorfallmanagement mit einbeziehen
• Wartungsarbeiten organisieren
• Fernzugriffe sicher herstellen
• Patching vorschreiben

Verwaltungsphase
In der sich anschließenden Verwaltungsphase werden die Verträge dem Geschäftsinhaber des Krankenhauses zugewiesen – einschließlich der Verwaltung und Überwachung des Vertrags. Nebst dem Abschluss der Ausschreibung verantwortet der beauftragte Beamte auch das Feedback der Benutzer über die tatsächliche Leistung, die der Ausrüstung/ dem System/ der Dienstleistung entspringt. Zu erledigende Schritte:

• erhöhen des Bewusstseins über Cybersicherheit im Krankenhaus
• durchführen von Bestands- sowie Konfigurationsmanagement
• einrichten und verwalten spezieller Zugangskontrollmechanismen für die medizinische Geräteeinrichtung
• planen von regelmäßigen Penetrationstests bzw. durchführen von Penetrationstests nach Änderungen der (System-)Architektur

Es ist an der Zeit für ein Update der Cybersicherheit im Krankenhaus

Der eingangs verlinkte Leitfaden der Enisa bietet eine gute Basis für Cybersicherheit in Krankenhäusern und zeigt, wie wichtig der IT-Schutz in diesem äußerst sensiblen Bereich ist. Nachdem im Leitfaden die Beschaffungsprozesse kategorisiert werden, werden die mit jedem Schritt verbundenen Cybersicherheitsanforderungen identifiziert. Dank Vorschlägen zum Nachweis dazu, wie Anforderungen von Anbietern erfüllt werden können, wird das ganze Vorgehen deutlich vereinfacht.

Die Enisa wird nicht müde, Verantwortliche daran zu erinnern, dass laut DSGVO für Gesundheitsdaten besondere Anforderungen gelten. Krankenhäuser müssen eine Datenschutz-Folgeabschätzung durchführen, um Risiken zu kennen. Jede Sicherheitsverletzung muss binnen 72 Stunden an die zuständigen Datenschutzbehörden gemeldet werden. Die EU-Behörde drängt Verantwortliche geradezu dazu, einen Notfallplan für Cyberangriffe nicht nur zu entwickeln, sondern auch zu testen. Dieser Notfallplan muss neu beschaffte Produkte und Systeme einschließen, muss also regelmäßigen Prüfungen und Aktualisierungen unterzogen sein.

Der Bereich öffentlicher und privater Krankenhäuser zeichnet sich auf der einen Seite durch einen hohen Grad an Standardisierungen aus. Andererseits jedoch auch durch ein hohes Maß an Risiken für die Datensicherheit. Beidem trägt der Leitfaden der Enisa Rechnung – „Procurement Guidelines for Cybersecurity in Hospitals“ ist ein wertvolles Werkzeug, der strukturiert Optimierungen erlaubt und Datensicherheit sicherstellt. Angefangen beim Beschaffungsprozess kann es durch den Leitfaden als Ergänzung zu den KRITIS-Leitfäden gelingen, die Sicherheit von Gesundheitsdaten über den kompletten Lebenszyklus der eingesetzten IT-Systeme hinweg zu optimieren.