Cybersicherheit im Krankenhaus
2. August 2021

Cyber Security im Krankenhaus

Um welche Cyber Security gibt es im Krankenhaus?

Wie viel Sicherheit bietet die IT Security im Krankenhaus?

Wie lässt sich die Cyber Security im Gesundheitswesen verbessern?

Wie sieht die Zukunft der Cyber Security im Krankenhaus aus?

Um drei Uhr nachts am 10. September 2020 wurde das Universitätsklinikum Düsseldorf Opfer eines Cyber Security Vorfalls, mittels Ransomware (Erpressersoftware). 30 Server und die damit verbundenen medizinischen Bereiche und Geräte fielen aus, Patienten mussten auf umliegende Krankenhäuser verteilt und der Ausfall öffentlich bekannt gemacht werden.

Es dauerte zwei Wochen, bis das Universitätsklinikum Düsseldorf wieder regulär in die Notversorgung eingebunden und angefahren werden konnte. Nach ca. einem Monat kehrte es zurück in den Normalbetrieb.

Dabei handelte es sich keineswegs um einen Einzelfall. Deutschlandweit kommt es immer häufiger zu CyberAngriffen auf Krankenhäuser. Der Ausfall der Technik bringt Patient:innen in Gefahr und richtet millionenschwere Schäden an.

Welche Cyber Security gibt es im Krankenhaus?

Welche Cyber Security gibt es im Krankenhaus?

Die wichtigste Aufgabe im Krankenhaus ist die Patientenversorgung, sie ist in hohem Maße abhängig von störungsfreien Abläufen und Geräten. Um dies zu garantieren, ist ein hohes Maß an informationstechnischem und logistischem Aufwand sowie abgestimmter Koordination und Steuerung notwendig.

Bei 36,4 % der 1.555 deutschen Krankenhäuser wurden Schwachstellen in der IT-Sicherheit festgestellt.

Laut einer aktuellen Studie zur Cyber Security in deutschen Krankenhäusern, sind die größten Schwachstellen: nicht aktuell gehaltene Webserver, veraltete DSL-Modems oder WLAN-Router, die öffentlich einsehbar sind.

Vor allem zeigt sich, dass deutsche Krankenhäuser besonders nachlässig bei der Eindämmung der Schatten-IT sind. Damit sind IT-Dienste und Geräte gemeint, die unter dem Radar der Systemadministratoren existieren. Dies können eigene IT-Anschlüsse von Ärzten oder Fernwartungszugänge, die nicht ausreichend geschützt sind, sein.

Die hohe Ausprägung der Schatten-IT begründet sich vor allem im schwachen Sicherheitsbewusstsein der Krankenhäuser. Systeme sind häufig bereits so stark veraltet, dass der technische Support der Entwicklungsfirma für sie bereits seit Jahren eingestellt wurde.

Ein gezielter Hackerangriff kann im Grunde die gesamte Infrastruktur eines Krankenhauses kompromittieren. Beatmungsgeräte, Monitore oder PACS können lahmgelegt, hochsensible Daten und Informationen manipuliert oder gestohlen werden.

Auffällig ist, dass gerade KRITIS-Einrichtungen (kritische Infrastrukturen) mehrere Schwachstellen vorweisen. Zur KRITIS zählen alle Krankenhäuser mit mehr als 30.000 stationären Behandlungsfällen pro Jahr. Dabei unterliegen sie laut der Verordnung zur Bestimmung Kritischer Infrastrukturen bereits strengeren Richtlinien, weil ihr Ausfall dramatische Folgen für die öffentliche Sicherheit hätte.

Das Krankehauszukunftgesetz (KHZG) verpflichtet außerdem alle KRITIS-Krankenhäuser dazu, ihre Systemlogdaten auszuwerten. In Verbindung mit weiteren Sicherheitsmaßnahmen soll dies die Identifikation von Compliance-Verstößen und Cyber Angriffen beschleunigen.

IT-Sicherheit im Krankenhaus

Wie viel Sicherheit bietet die IT Security im Krankenhaus?

Viele Krankenhäuser und große medizinische Einrichtungen stehen vor einem Problem, weil ihre Soft- und Hardware zu unterschiedlichen Zeiten mit verschiedenen Update-Zyklen installiert wurde. Sind die Programme voneinander abhängig, entsteht hierdurch ein erheblicher Aufwand und viele potentielle Sicherheitslücken.

Der Grund für die mangelhafte IT-Security in vielen Einrichtungen ist, neben der Finanzierung, häufig die fehlende Struktur. Jene wird stark durch den Klinikalltag geprägt. Schichtdienste führen zu wechselndem Personal und Notfälle dazu, dass es bei dem Zugriff auf Patientendaten häufig schnell gehen muss. 

Um dies zu beheben sind vor allem Investitionen in neue Systeme und Schulungen für die Mitarbeitenden von Nöten. Dies beinhaltet auch „einen höheren personellen Aufwand für die Dokumentation, Überprüfung, Auditierung und kontinuierliche Weiterentwicklung der Compliance-Regelungen“ (BSI 2020). 

Wie lässt sich die Cyber Security im Gesundheitswesen verbessern?

Die Cyberattacken auf Krankenhäuser mehren sich. Laut dem israelischen IT-Security Hersteller Check Point Software stiegen die Angriffe auf Einrichtungen des Gesundheitswesens im Jahr 2020 weltweit um 71 Prozent. In Deutschland wurde eine Steigerung der Attacken um 220 Prozent verzeichnet.

Ein durchschnittliches Krankenhaus verfügt über ca. 30.000 IT-Anschlüsse. Als Anwender kommen sowohl Ärzte (ca. 168.000 in ganz Deutschland) und nichtärztliches Klinikpersonal (über 760.000 in ganz Deutschland) in Frage.

Ein wesentliches Risiko zur Verhinderung von Cyber Attacken lässt sich deshalb durch die Schulung der Mitarbeitenden minimieren.

Unsere Online-Schulung „Datenschutz für Praxen und Krankenhäuser“ zeigt Ihren Mitarbeitenden die wichtigsten Regeln im sicheren Umgang mit sensiblen Daten. Denn gerade in der Gesundheitsbranche ist es von hoher Bedeutung, dass alle Personen über ein hohes Datenschutzbewusstsein verfügen. Geben Sie Ihren Mitarbeitenden die Möglichkeit sich diesbezüglich weiterzubilden und erhöhen Sie auf diese Weise den Schutz Ihrer Patient:innen und Ihrer Einrichtung.

IT-Systeme auf neustem Stand

Bestehende Systeme sollten stets auf dem neuesten Stand sein.

Sicherheitslücken müssen nicht nur erkannt, sondern auch professionell behoben werden. Die genauen Ziele zur Erhöhung der IT-Sicherheit sind im IT-Sicherheitsgesetz festgehalten. In den meisten Fällen ist das Medizintechnik-Netz, Verwaltungsnetz, Applikationsnetz und Patienten-/Gästenetz miteinander vernetzt. Diese Vernetzung sollte im besten Fall aufgehoben und einzeln angelegt werden. 

Prof. Thomas Kriesmer, Professor an der Technischen Hochschule in Mittelhessen im Bereich Life Science Engineering (LSE) und geschäftsführender Gesellschafter des Technologie Institut Medizin GmbH (TIM), gibt außerdem zu bedenken: „Wir müssen uns daher dringend die Frage stellen: Wo liegt der Nutzen der Vernetzung? Muss wirklich jede Information transferiert werden oder nur solche, die nachgewiesenermaßen einen wirklichen Nutzen haben?“ Denn im Vergleich zur Industrie 4.0 sollte in der sog. Medizin 4.0, trotz der digitalen Transformation, der Schutz der Patientendaten immer an vorderster Stelle stehen. 

Auch eine umfassende Alarm- und Einsatzplanung verbessert die Sicherheit im Krankenhaus. Denn nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) müssen Kliniken sich auf potentielle Ereignisse mit entsprechenden Risiken vorbereiten. Nur so können durch Hackerangriffe ausgelöste Funktionsstörungen, durch gezielte Gegenmaßnahmen mit einer möglichst geringen Patientengefährdung, bewältigt werden. Wie in Düsseldorf, wird in den meisten Fällen mit einer direkten Schließung der Notaufnahme, einer Reduktion der Betten, Behandlungen und OP’s sowie der Einstellung von Produktionsprozessen reagiert.

Wie sieht die Zukunft der Cyber Security im Krankenhaus aus?

Die Digitalisierung des deutschen Gesundheitswesens ist ein altbekanntes Thema. Vor allem, weil sie im Vergleich mit unseren europäischen Nachbarn seit jeher schwach ausgeprägt ist. Ein Problem, das zukünftig durch das Vorhaben ein 5G Netzwerk in den Kliniken zu installieren, behoben werden soll.

Damit verbundene Leistungen wie Telemedizin, eine verbesserte Logistik oder die Vernetzung von Kliniken erfordern jedoch ein umfassendes Sicherheitskonzept.

Dies soll das Krankenhauszukunftsgesetz (KHZG) ermöglichen. Seit dem 01. Januar 2021 stellt der Bund 3 Milliarden Euro bereit, damit Kliniken in der Lage sind ausreichend in die Digitalisierung und IT-Security zu investieren. Die Bundesländer selbst stellen weitere 1,3 Milliarden bereit. Eine der Vorgaben ist, dass 15 Prozent der Fördermittel in die Verbesserung der IT-Security fließen müssen. Daten und Systeme sollen unter Berücksichtigung der Anwenderfreundlichkeit gegen die steigende Zahl von Cyber Attacken aus dem Internet geschützt werden. Beispielsweise durch die Einführung von Single-Sign-Ons, anstelle des Stationscomputers, bei der Anmeldung des Pflegepersonals. Dabei verfügen alle Mitarbeitenden über eine PIN-Karte mit Pin, mit der sie sich in den einzelnen Krankenhausbereichen registrieren können. Auf diese Weise wird nicht nur die Anmeldung vereinfacht, sondern auch die Cybersicherheit erhöht. 

Quellen:

Brandsstetter, T., Klick, J., Koch, R. (2021). Epidemic? The Attack Surface of German Hospitals during the COVID-19 Pandemic. https://arxiv.org/pdf/2101.07912.pdf

BSI (2020). KRITIS-Sektor Gesundheit: Informationssicherheit in der stationären medizinischen Versorgung. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/KRITIS/Studie_Informationssicherheit_stationaere_med_Versorgung.pdf?__blob=publicationFile&v=1

BSI (2021). Was sind Kritische Infrastrukturen? https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/allgemeine-infos-zu-kritis_node.html;jsessionid=BB7437461BB7401952509AD6C5B1F1CB.internet482

Bundesgesundheitsministerium (2021). Krankenhauszukunftsgesetz für die Digitalisierung von Krankenhäusern. https://www.bundesgesundheitsministerium.de/krankenhauszukunftsgesetz.html

Checkpoint (2021). Attacks targeting healthcare organizations spike global as COVID-19 cases rise again. https://blog.checkpoint.com/2021/01/05/attacks-targeting-healthcare-organizations-spike-globally-as-covid-19-cases-rise-again/

DKG (2021). Eckdaten der Krankenhaustatistik. https://www.dkgev.de/fileadmin/default/Mediapool/3_Service/3.2._Zahlen-Fakten/RS165-21_Anlage_Krankenhausstatistik_2019_-_endgueltige_Ergebnisse_des_Statistischen_Bundesamtes.pdf

Jäschke, T. (2017). Krankenhaus gehackt – wie sicher ist unsere IT? Heilberufe 69, S. 49-51

Kma (2021) Cybersecurity: Sicherheitsrisiko Krankenhaus. Klinik Management aktuell. Nr. 4 / 2021

Wurmb, T. et. al (2020). Vollausfall der Informationstechnologie im Krankenhaus. Der Unfallchirurg. Nr. 123, S. 443-452. 

05. August 2021
„Whistleblowing“ – Warum auch Ihr Unternehmen Hinweisgeber:innen unterstützen sollte
23. Juli 2021
Code of Conduct im Unternehmen: Was ist das und wozu benötigt man ihn?