Schwerpunkte

IT-Security im Krankenhaus

Sicherheitslücken im Gesundheitssystem

09. September 2021, 12:56 Uhr   |  Antje Müller und Stefan Adelmann


Fortsetzung des Artikels von Teil 2 .

„Deutlicher Nachholfbedarf“

Alpha Strike Labs GmbH
© Alpha Strike Labs GmbH

Johannes KLick, Geschäftsführer der Alpha Strike Labs: „Durch Penetrationstests [...] wissen wir, dass Krankenhäuser häufig nicht ausreichend geschützt sind, oft fehlt es schlicht an Budget, Personal und vor allem Risikobewusstsein.“

Die Digitalisierung schreitet auch im Healthcare-Bereich rasch vor, beispielsweise in Form der elektronischen Patientenakte, und unterstreicht somit die Notwendigkeit umfassender IT-Sicherheitskonzepte. Laut einer Studie der drei IT-Sicherheitsexperten Johannes Klick, Geschäftsführer der Alpha Strike Labs, Robert Koch von der Universität der Bundeswehr und Professor Thomas Brandstetter, Geschäftsführer von Limes Security, bleiben diese aber vielerorts lückenhaft. Demnach fanden die Forscher bei einem Drittel der untersuchten deutschen Krankenhäuser Cyber-Security-Schwachstellen. Und die könnten sich schnell zu einem nationalen Sicherheitsrisiko entwickeln, so das Ergebnis. Untersucht wurden insgesamt 1.500 Krankenhäuser in Deutschland in Hinblick auf die über das Internet öffentlich zugänglichen Systeme und Informationen. Dabei stufen die Studienautoren 32 Prozent der analysierten Dienste in unterschiedlichem Ausmaß als verwundbar ein, 36 Prozent der Kliniken weisen Angriffspunkte auf. Auffallend sei laut der Studie, dass vor allem große Krankenhäuser, die zur kritischen Infrastruktur (KRITIS) gehören, eine erkennbar höhere Anzahl an Schwachstellen aufweisen als kleinere Krankenhäuser. Entgegen der Erwartung der Forscher wird die IT-Sicherheit bei den zu KRITIS gehörenden Kliniken mit mehr als 30.000 vollstationären Behandlungen pro Jahr Jahr offensichtlich nicht professioneller gehandhabt. „Die deutschen Krankenhäuser stehen vor zentralen Herausforderungen im Bereich der kritischen IT-Infrastruktur. Es gibt immer noch eine hohe Zahl veralteter, manchmal proprietärer Systeme, welche nur schwierig patchbar sind, sei es aufgrund von erforderlichen Re-Zertifizierungen oder dem Support-Ende von Software. Dem stehen sehr begrenzte Mittel für die IT-Sicherheit gegenüber”, so Mitautor Robert Koch. Der deutsche Gesundheitssektor biete im Jahr 2020 trotz erhöhter Kritikalität und verstärkten Regulierungsbestrebungen zahlreiche sichtbare Angriffsflächen. „Aus Sicht des nationalen Risikomanagements muss die Aufklärungsarbeit im Bereich IT-Security für KRITIS-Organisationen deutlich verstärkt werden”, so die Forderung des Sicherheitsexperten. Johannes Klick ergänzt: „Durch Penetrationstests bei unseren Kunden wissen wir, dass Krankenhäuser häufig nicht ausreichend vor Cyberangriffen geschützt sind, oft fehlt es schlicht an Budget, Personal und vor allem Risikobewusstsein. Deshalb stellt sich die Frage, ob der Staat nicht selbst die Schwachstellensuche in die Hand nehmen sollte.” Die Forscher betonen in Hinblick auf diesen Vorstoß, dass der Schutz kritischer Infrastrukturen in anderen Regionen der Welt schon deutlich länger Staatsthema sei und somit auch die entsprechenden Regularien und Budgets umfasse. „Es besteht deutlicher Nachholbedarf. Sowohl der Gesundheitssektor als auch der Staat müssen sich effektiver aufstellen, um den Schutz wichtiger kritischer Infrastrukturen wie Krankenhäuser auch von digitaler Seite sicherzustellen”, bekräftigt Thomas Brandstetter auf Basis der Studienergebnisse.

Seite 3 von 4

1. Sicherheitslücken im Gesundheitssystem
2. Brücken schlagen
3. „Deutlicher Nachholfbedarf“
4. Steigende Anforderungen

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Verwandte Artikel

Siemens AG Infrastructure & Cities Sector, Avast Deutschland GmbH, Bundesamt für Sicherheit in der Informationstechnik (BSI)