IT-Security im Krankenhaus
Sicherheitslücken im Gesundheitssystem
Die Digitalisierung im Gesundheitssektor schreitet voran. Doch mit der zunehmenden Vernetzung wachsen die Risiken. Vorfälle wie die Düsseldorfer Uniklinik zeigen, dass nicht nur ein wirtschaftlicher Schaden entstehen kann. Dringend notwendig sind effektive Cyber Security und Sicherheitstechnik.
Organisationen oder Einrichtungen mit zentraler Bedeutung für das staatliche Gemeinwesen müssen 24/7 ihren Betrieb aufrechterhalten, um etwaige Versorgungsengpässe abzuwenden. Zugleich gilt: Sensible Informationen müssen im besonderen Maße gesichert sein. In den sogenannten KRITIS-Bereichen, zu denen auch die dieser Tage so entscheidenden Krankenhäuser zählen, zeigt sich schon seit Jahren eine sich zuspitzende Dynamik. Die zu schützenden Datenmengen steigen und steigen, vernetzte Geräte weichen die traditionellen Sicherheitsgrenzen der Unternehmensnetzwerke gleichzeitig auf, die Grenzen des klassischen Perimeters lassen sich kaum mehr ziehen. „Diese Geräte sind gleichzeitig im WLAN als auch im mobilen Netzwerk präsent“, erläutert Armin Wasicek, Research Manager AI bei Avast. „Zusätzlich verbinden sich viele Geräte mit der Cloud zur Datensicherung oder um Anweisungen zu erhalten.“
Viele Prozesse im Krankenhaus-Bereich sind heute ohne IT-Unterstützung bereits nicht mehr vorstellbar. Selbst Medizingeräte verlieren, laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI), „zunehmend ihre ursprüngliche Eigenschaft als Spezialgerät und werden durch IT-Systeme beziehungsweise Komponenten mit medizinischer Verwendbarkeit ersetzt“. Die bedingungslose Aufrechterhaltung des Betriebs fordert von Betreibern medizinischer Infrastrukturen daher sowohl eine zuverlässige Informationsverarbeitung als auch eine geeignete technische Basis, die für die neueste Cyberbedrohungslage und die damit verbundenen Herausforderungen gerüstet ist. Für eine nötige Sicherung muss jedes Krankenhaus aber erst ein individuelles Konzept sowie die passenden Prozesse finden, die auf die individuellen Anforderungen abgestimmt sind. Doch wie steht es in der Praxis um die Erschließung digitaler Potenziale, die zuletzt auch von dem im Juni 2020 beschlossenen Krankenhauszukunftsgesetz gefordert wurde, sowie um die entsprechende IT-Security? Kommen medizinische Einrichtungen ihrer Verpflichtung nach, organisatorische und technische Vorkehrungen zu treffen, die ihre IT-Systeme auf den aktuellen Stand der Technik bringen und schützen?
IT-Security-Konzepte in kritischen Umgebungen
Cyberkriminelle und auch staatliche Akteure haben in den vergangenen Jahren immer wieder teils aufsehenerregende Angriffe auf kritische Infrastrukturen durchgeführt. So verschafften sich Hacker im März 2021 Zugriff auf bis zu 150.000 Überwachungskameras des Herstellers Verkada und erbeuteten Videodaten aus Krankenhäusern, Schulen, Gefängnissen und auch einer Produktionsanlage des Elektroauto-Anbieters Tesla. Dass entsprechende Vorfälle schnell nicht nur aus wirtschaftlicher Sicht gefährlich werden können, zeigte im vergangenen Jahr auch der Angriff auf das Uniklinikum Düsseldorf. Hier nutzten die Hacker laut Angaben der Staatsanwaltschaft und des Justizministeriums die Schwachstelle einer Software, um auf die Systeme zuzugreifen und Server des Krankenhauses zu verschlüsseln. Zwar gehen die Ermittler davon aus, dass die Cyberkriminellen eigentlich ein anderes Ziel treffen wollten, da sie die Erpressung nach Kontaktaufnahme zurückzogen und den Code für die Entschlüsselung aushändigten. Der Schaden war da aber bereits angerichtet, der Krankenhausbetrieb war über Tage empfindlich gestört.
- Sicherheitslücken im Gesundheitssystem
- Brücken schlagen
- „Deutlicher Nachholfbedarf“
- Steigende Anforderungen
Lesen Sie mehr zum Thema
