IT-Security

Digitalisierung im Gesundheitswesen: IT-Sicherheit hinkt nach wie vor hinterher

4. November 2020 von Bianca Wellbrock

digitalisierung-im-gesundheitswesen
© ipopba - Adobe Stock

5
(4)

Um Krankenhäuser und Kliniken, aber auch Arztpraxen ist es nicht gut bestellt – zumindest in Hinblick auf IT-Sicherheit und Datenschutz. In jüngerer Zeit tauchen wieder vermehrt Meldungen zu IT-Vorfällen im Gesundheitswesen auf. Nachdem wir über diese berichten, blicken wir im heutigen Beitrag auf die E-Health-Pläne der Bundesregierung, auf Gefahren, aber auch Lösungsansätze.

Review: Cybersicherheit des Gesundheitswesens

Die Digitalisierung im Gesundheitswesen ist – so zeigt sich gerade innerhalb der Pandemie – sinnvoll: Wege sollen für Patient*innen kürzer werden, Patient*innen können sich über den digitalen Weg in die Praxis vor Ansteckungen schützen und die elektronischen Patientenakte (ePA) soll Informationen schneller verfügbar machen. So weit, so gut? Nun ja, es hakt noch an vielen Ecken und Enden. Abgesehen von der technischen Ausrüstung ist auch die Cybersicherheit mehr als mangelhaft. Schon mehr als einmal haben wir den desaströsen Zustand der IT-Sicherheit im Gesundheitswesen bemängelt:

  • Im Juni 2019 berichteten wir über die mangelhafte Verschlüsselung im Gesundheitswesen. Einer Studie zufolge sind Ärzte, aber auch Apotheken nachlässig im Umgang mit Passwörtern und vielfach wird auf Verschlüsselung verzichtet.
  • Im Oktober 2019 erklärten wir die sichere digitale Kommunikation, die im Gesundheitswesen unabdingbar ist, und warfen einen kurzen Blick auf die ePA.
  • Im März 2020 berichteten wir über die Leitlinie für Krankenhäuser, die die Enisa im Februar veröffentlichte. Dieser Leitfaden ergänzt die bisherigen KRITIS-Leitfäden um konkrete Handlungsempfehlungen für den Beschaffungsprozess.
  • Dass Cyberkriminelle keine Hemmungen haben, Krisen für ihre Machenschaften zu nutzen, zeigten wir Mitte März in unserem Beitrag „Coronavirus: Was hat das Virus mit IT-Sicherheit zu tun?“.
  • Mit der Corona-Warn-App soll es funktionieren, Infektionsketten zurückzuverfolgen und Menschenleben zu schützen. Wie diese App arbeitet und welche weiteren Apps existieren, darüber berichteten wir im Juni 2020 in unserem Beitrag „Corona-App: Corona-Tracing-App könnte im Juni kommen“.

Eindrücke zur Corona-Warn-App – kommt die „Sammel-App“?

Steigende Infektionszahlen führen aktuell zu steigenden Downloads der Corona-Warn-App, die von SAP und der Deutschen Telekom entwickelt wurde. Offiziellen Angaben zufolge erhöhte sich die Zahl der Downloads auf 20,3 Millionen. Laut einer aktuellen Civey-Umfrage im Auftrag der WirtschaftsWoche wünscht sich jeder dritte App-Nutzende weiterführende Informationen, jeder sechste Umfrage-Teilnehmende beurteilt die Informationen der App als „unzureichend“.

Die Umfrage ergibt außerdem, dass sich viele Nutzer*innen vom Datenschutz abgeschreckt sehen. „So wäre die Mehrheit der App-Nutzer laut der Umfrage bereit, zu Lasten des Datenschutzes deutlich mehr persönliche Informationen von der App aufzeichnen zu lassen, um dafür umgekehrt konkretere Angaben zu den Umständen eventueller Risikokontakte zu bekommen“, schreibt die WiWo.

Die breite Akzeptanz der App ist lobenswert, und auch die Tatsache, dass sich Datenschützer hierzulande durchsetzen konnten und die App so entwickelt wurde, dass Datenschützer jetzt zufrieden sind. Kritik gibt es jedoch nach wie vor: So kontaktieren die Google Play-Services beispielsweise Google-Server, wie unter anderem heise online berichtete.

Das Robert-Koch-Institut (RKI), Herausgeber der App, denkt seit geraumer Zeit offen darüber nach, verschiedene Apps zu bündeln. Alle Online-Anwendungen, wie die Corona-Warn-App oder die Datenspende-App des RKI, könnten in einer App zusammengeführt werden – Heise vergleicht dies im Beitrag mit einem „Schweizer Messer für die digitale Epidemiologie“. So ließen sich Warnungen gezielter aussprechen, man verfüge über einen direkten Kanal zur Bevölkerung und könne diese allumfassende App auch als Informationsquelle verwenden. Befragungselemente sowie Orientierungsempfehlungen könnten integriert werden. Ob eine Bündelung dieser Art kommt, bleibt abzuwarten.

Krankenhaus-Hackerangriff mit Todesfolge

Im September 2020 wurde das Uniklinikum der Universität Düsseldorf Opfer eines Cyberangriffs. Dieser Fall zeigt auf dramatische Weise, wie wichtig die IT-Sicherheit im Gesundheitswesen ist: Der Ransomware-Angriff könnte zum Tod einer Patientin beigetragen haben.

Da der Cyberangriff massiv die hauseigenen Systeme störte, sah sich das Uniklinikum gezwungen, mitzuteilen, man könne keine neuen Patient*innen aufnehmen, bis die Lage geklärt wäre und der Betrieb wieder normal laufen könne. Eine Frau, die dringend auf medizinische Hilfe angewiesen war, konnte aufgrund dieser Situation nicht in Düsseldorf aufgenommen werden und sollte nach Wuppertal gefahren werden. Noch bei Ankunft verstarb die Frau – 30 zusätzliche Minuten, die sich als tödlich erwiesen.

Malware aus der Familie DoppelPaymer schmuggelten die Angreifer unter Ausnutzung einer Schwachstelle in Citrix-VPNs in die Systeme. Das Krankenhaus selbst war keineswegs Ziel der Angreifer, der Angriff galt der Universität Düsseldorf. Da das Krankenhaus dieser angehört, wurde es mitgetroffen. Nachdem die Angreifer erfahren hatten, dass das Krankenhaus ihnen ebenfalls zum Opfer gefallen war, übergaben sie kostenfrei den Entschlüsselungscode. Dennoch sollte es über zwei Wochen dauern, bis das Krankenhaus sich wieder in der Lage sah, Patient*innen aufzunehmen.

E-Health-Pläne der Bundesregierung

Das „Krankenhauszukunftsgesetz“ (KHZG) wurde vom Bundestag Mitte September 2020 beschlossen. Der Bund wird 3 Milliarden Euro bereitstellen, um Krankenhäuser zukunftsfähig zu machen: Sie sollen die Möglichkeit haben, in moderne Notfallkapazitäten zu investieren, aber auch in die Digitalisierung im Gesundheitswesen sowie in ihre IT-Sicherheit. Auch die Länder sind gefragt; sie sollen 1,3 Milliarden Euro als Investitionsmittel aufbringen. Das Krankenhauszukunftsgesetz ist das Resultat des am 3. Juni 2020 durch die Koalition beschlossenen „Zukunftsprogramms Krankenhäuser“.

Zur Umsetzung des Krankenhauszukunftsgesetzes wird beim Bundesamt für Soziale Sicherung ein Krankenhauszukunftsfonds eingerichtet. Über die Liquiditätsreserve dieses Gesundheitsfonds sollen die 3 Milliarden Euro vom Bund ab Januar 2021 zur Verfügung gestellt werden. 30 Prozent der jeweils geplanten Investitionskosten müssen die Länder bzw. die Krankenhausträger übernehmen. Bereits seit Anfang September 2020 können Krankenhausträger mit dem Umsetzen ihrer Vorhaben beginnen, der jeweilige Förderbedarf kann bereits bei den Ländern angemeldet werden. Das Gesetz soll zum 31.12.2021 in Kraft treten; ab diesem Zeitpunkt haben die Länder die Möglichkeit, Förderanträge ans Bundesamt für Soziale Sicherung zu stellen.

Krankenhäuser, aber auch Arztpraxen stehen derzeit vor großen Herausforderungen in Hinblick auf die Absicherung von IT-Systemen, -Komponenten sowie –Prozessen. Der Großteil der Krankenhäuser fällt unter die Anforderungen aus dem BSI-Gesetz (BSIG), aber auch unter die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV). Doch auch Krankenhäuser und Kliniken, die unterhalb des Schwellenwerts der BSI-KritisV liegen, müssen sich mit Datenschutz und IT-Sicherheit beschäftigen, denn die Digitalisierung im Gesundheitswesen schreitet voran.

Mehr IT-Sicherheit im Gesundheitswesen

Das Gesundheitswesen mit all seinen Akteuren ist in einer schwierigen Lage: Personelle und finanzielle Engpässe machen nicht nur die Digitalisierung, sondern auch die dafür zwingend notwendige IT-Sicherheit schwer. Es gibt jedoch Tipps, die jedes Krankenhaus, jede Arztpraxis umsetzen kann. So erhöhen Sie effizient die IT-Sicherheit im Gesundheitswesen:

Webanwendungen schützen

Plattformunabhängige, browserbasierte Anwendungen erleichtern die Zusammenarbeit immens. Portale und Apps erlauben es, dass medizinische Unterlagen und Berichte vom Rechner, Tablet, Smartphone oder anderen vernetzten Geräten eingesehen werden können. Aber: Webanwendungen sind ein leichtes Spiel für Hacker, wenn sie nicht entsprechend geschützt werden. Verschlüsselung ist dafür ein Weg. Ein weiterer ist die „Web Application Firewall“ (WAF), die den Datenaustausch zwischen Clients und Webservern analysiert. Werden Inhalte als verdächtig eingestuft, lässt sich der Zugriff verhindern.

Sichern von Internetzugängen sowie Übertragungswegen

Emotet- und andere Ransomware-Angriffe sind besonders schwerwiegend für Krankenhäuser, wie der oben beschriebene Fall der Uniklinik Düsseldorf auf tragische Weise zeigte. Einen effizienten Schutz vor Ransomware bringt das Absichern von Internetzugang und Übertragungswegen. Ersteres lässt sich mit einem virtuellen Browser umsetzen. So arbeiten Nutzer*innen mit einer Maschine, die vom Betriebssystem separiert ist. Eine komplett virtuelle Surfumgebung ist hierfür entscheidend, denn so gelingt die konsequente Netzwerktrennung.

Das Absichern der Übertragungswege sollte vollumfänglich erfolgen: Geschützt werden müssen beispielsweise sowohl Wege zwischen dem Krankenhaus und seinem Rechenzentrum als auch Wege zwischen Geräten im Krankenhaus und dem Hausarzt eines Patienten. Moderne Verschlüsselungslösungen bieten einen hohen Schutz, ohne die Performance der Übertragung negativ zu beeinflussen.

Backups als Ransomware-Schutz

Ransomware-Akteure haben es insbesondere aufs Gesundheitswesen abgesehen. Dieser Gefahr kann man jedoch verhältnismäßig einfach und kostengünstig begegnen: Mit Backups. Sicherungen aller Daten sind tatsächlich die effizienteste und wichtigste Verteidigungsstrategie gegen Ransomware. Cyberkriminelle wachsen jedoch ebenfalls mit ihren Herausforderungen – immer häufiger zielen Ransomware-Angriffe nun auch auf Backups ab. Sinnvoll ist es daher, Backups verschlüsselt aufzubewahren und sie nicht in Lese-/Schreibformat verfügbar zu machen. Findet ein Ransomware-Angriff statt, durch den die Systeminhalte verschlüsselt werden, lässt sich das geschützte Backup einspielen und der „saubere“ Zustand wiederherstellen.

Awareness: Mitarbeiterschulungen

Ein Krankenhaus kann das beste und ausgeklügeltste Sicherheitskonzept haben: Anwendende der Systeme sind und bleiben die größte Schwachstelle. Mitarbeiter*innen öffnen arglos Phishing-Mails, laden Anhänge herunter, verschusseln Sicherheits-Updates oder geben unbedarft Passwörter an Unbefugte, die sich als Mitarbeiter der IT-Abteilung ausgeben. Technik ist eben nicht alles – sie muss auch angewandt werden können. Deshalb ist die Sensibilisierung von Mitarbeitenden eine der Hauptmaßnahmen, um die IT-Sicherheit im Gesundheitswesen erfolgreich zu steigern.

Risikomanagement mit Notfallplänen

Alle möglichen und unmöglichen Gefahren für die IT-Sicherheit ausräumen zu wollen, ist relativ unrealistisch: 100-prozentige Sicherheit gibt es nirgends. Vielmehr geht es in der IT-Sicherheit im Gesundheitswesen darum, vorausschauend zu denken und sich durch entsprechende Planungen für den Umgang mit Sicherheitsvorfällen zu rüsten. Unabhängig davon, ob der IT-Vorfall durch eine Sicherheitsverletzung durch Mitarbeiter verursacht wurde oder durch einen Cyberangriff von Kriminellen: Ein Plan ist immer notwendig. Denn wenn alle Beteiligten wissen, was wann durch wen zu tun ist, lässt sich wertvolle Zeit bei der Systemwiederherstellung gewinnen. Erstellen Sie deshalb verschiedene Pläne für unterschiedliche Szenarien, beispielsweise Datenschutzverletzungen, Cyberangriffe mit Ransomware oder auch Phishing. Mitarbeiterschulungen sorgen im Anschluss dafür, dass alle Mitarbeiter*innen vertraut sind mit den konkreten Schritten.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 4



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu