Durch Digitalisierung in der Medizin lässt sich die Effizienz der Abläufe steigern, Patientenwünsche und -bedürfnisse können direkter erfasst sowie passgenau umgesetzt werden. Die Vernetzung von medizinischen Geräten und Systemen über das Internet, sowie deren Ausstattung mit zusätzlicher Intelligenz für einen optimalen Einsatz sind, ebenso wie eine effektive Überwachung von Gesundheitsdaten, somit ein Kernziel. Das klingt perfekt mit Blick auf das Wohlergehen der Patienten.
Gerade im Gesundheitswesen ist hierzulande der Zwiespalt zwischen der Notwendigkeit zur Digitalisierung einerseits sowie damit einhergehender Risiken – teilweise zuungunsten der Sicherheit von Patienten – andererseits besonders eklatant. Denn während in den Nachbarländern wie Dänemark oder den Niederlanden die Entwicklung in Richtung übergreifender Vernetzung zur effizienteren Behandlung von Patienten oder der Einsatz von alltäglichen Kommunikationsmitteln wie Whats App mit dem Ziel eines durchgängigen Informationsflusses zur effektiveren Krankenbetreuung weit vorangeschritten ist, geht es hiermit in Deutschland nicht so schnell voran. Versus einer übereilten Bewertung stellt sich die Frage, ob dies vielleicht zu Recht so ist – denn müssen nicht erst einmal die entsprechenden Problemstellungen bezüglich der Cybersecurity hinreichend geklärt werden, da das Thema in zweifacher Hinsicht brisant ist? Weil neben den computergesteuerten lebenserhaltenden Maßnahmen und weiteren wichtigen Prozessen können auch sensible Personendaten zur Zielscheibe eines Angriffs werden. Keine graue Theorie wie Dr. Nicolas Kremer, Geschäftsführer des Neusser Lukas-Krankenhaus stets betont, da es Fakt sei, dass sich mit Gesundheitsdaten im Darknet sehr viel Geld verdienen lasse.
IT-Sicherheit – ein nicht zu vernachlässigendes Thema
Im Gegensatz dazu, dass in den Unternehmen das Bewusstsein für die Unabdingbarkeit von IT-Sicherheit inzwischen stetig wächst, wird die gesamte Krankenhaus-IT überwiegend noch immer stiefmütterlich behandelt. Zahlreiche öffentliche Häuser sind, aufgrund ihrer angespannten finanziellen Situation, in der Regel nicht in der Lage, genug Budget hierfür zur Verfügung zu stellen. So werden im Durchschnitt lediglich sieben Prozent des Umsatzes investiert. Aber auch wenn, wie im Falle des Lukas-Krankenhaus‘, die Investitionssumme weitaus höher – sprich bei dreizehn Prozent – liegt, so ist dies kein Garant dafür, dass sich damit unmittelbar ein nahezu hundertprozentiger Schutz erreichen lässt. Denn neben gravierenden Versäumnissen im Bereich der Technologie können oftmals auch banale Ursachen, wie etwa die Unachtsamkeit eines Mitarbeiters, zu massiven Störungen und Ausfällen führen.
Hinzu kommt, dass etwa momentan die zunehmende Nutzung von mobilen Endgeräte wie Tablets oder Smartphones bei der Visite eine Herausforderung darstellt, denn deren Management (MDM) ist nicht trivial – allein, weil das interne Netzwerk für diese Kommunikation geöffnet werden muss und dadurch weitere Angriffspunkte entstehen. Zukünftig wird, aufgrund der Vernetzung von Anwendungen, die Abhängigkeit von der IT und damit einhergehend die Verwundbarkeit noch weiter ansteigen, auch weil viele Vorgänge gar nicht mehr manuell ausführbar sind. Beispielsweise erfolgt die Medikamentenverwaltung oftmals ausschließlich web-basiert – von daher gibt es häufig weder einen Katalog noch die entsprechenden Aufzeichnungen bezüglich der Bestände, mithilfe dessen ein Mitarbeiter die Bestellung telefonisch vornehmen könnte.
Was kann in der Realität passieren?
Angreifer haben kein moralisches Gewissen – allein in dem Jahr, als das Lukas-Krankenhaus angegriffen wurde, ermittelte das FBI in weiteren 28 registrierten Fällen, wobei diese mit hoher Wahrscheinlichkeit in keinem Zusammenhang standen.
Vielfach steht bei Angriffen der Mensch im Fokus – wie auch bei jenem im Februar 2016 auf das Neusser Krankenhaus. Der Auslöser für den Vorfall war ein alltäglicher Vorgang: ein Mitarbeiter hatte den Anhang einer E-Mail mit dem Betreff „Rechnung“ geöffnet. Doch unerkennbar getarnt, befand sich in diesem Dokument ein Virus mit einer Verschlüsselungssoftware – eine sogenannte Ransomware – durch die alle IT-Systeme der Klinik tagelang lahmgelegt wurden. Letztlich resultierten daraus massive Folgen: sämtliche digitalen Prozesse mussten – soweit möglich – manuell durchgeführt werden, vorrangig um die Aufrechterhaltung der Intensivmedizin zu gewährleisten. Zudem konnten 15 Prozent der Operationen nicht stattfinden und auch der Betrieb in der Notaufnahme wurde dadurch stark beeinträchtigt.
Auf der nächsten Seite lesen Sie wie sich der Betrieb sicherer machen lässt
Die Angriffsmethoden werden immer ausgefeilter, während der Aufwand für deren Durchführung zunehmend sinkt, häufig verwenden insbesondere professionelle Angreifer Standard-Werkzeuge, unter anderem entwickelt auf Basis der Erkenntnisse aus dem Metasploit-Framework. Von daher müssen Betriebe und Unternehmen nicht mehr nur in den Schutz ihrer Infrastruktur investieren, sondern sich auch mit den bekannten Sicherheitsproblemen dezidiert auseinandersetzen.
Die Basis für eine Grundabsicherung im Krankenhaus stellen ausfallsicherere E-Mail-Gateways und ein mehrstufiges Konzept zur Erkennung von Schadsoftware mittels Virenscanner dar. Da die Patientendaten in hohem Maße schützenswert sind, sollte der Zugang nach draußen sorgfältig kontrolliert und eventuell beschränkt werden, zum Beispiel über die Prüfung von Personenberechtigungen, mittels Inhaltsfilter und durch Löschen oder Verschieben in lokale Quarantäneverzeichnisse. Diese strikte Filterung hilft unter anderem, um ausgeklügelten Angriffsmethoden wie Malvertising – hierbei wird harmlos aussehende Internet-Werbung als Vehikel eingesetzt, um Programmcode auszuführen oder nachzuladen – entgegenzuwirken.
Als elementare Sicherheitskomponenten empfiehlt sich, für Krankenhäuser ebenso wie für Industrieunternehmen, die Segmentierung des Netzwerks sowie des Weiteren die Einrichtung von unterschiedlichen Sicherheitsstufen pro Mandanten, wie etwa WLAN, Krankenhausinformationssystem oder Dienstleister. Eine redundante Auslegung der kritischen Systeme ist obligatorisch, damit bei einem Störfall der Betrieb nicht unterbrochen wird.
Alle Konzepte, wie etwa Bring-your-own-Device (ByoD), die unter anderem eine Nutzung von frei verfügbaren Apps in der Krankenhaus-Umgebung ermöglichen würden, gilt es unter dem Aspekt der Sicherheit sehr sorgfältig zu überprüfen. Denn allgemein stellt bereits das Management von mobilen Endgeräten (MDM) sowie explizit der Schutz der gespeicherten Daten eine große Herausforderung für die IT-Verantwortlichen dar, auch weil Smartphones und Tablets in den vergangenen Jahren immer mehr zur Zielscheibe von Angriffen wurden. Dieses Risiko erhöht sich durch die Vermischung von privater und beruflicher Nutzung noch beträchtlich.
Dreh- und Angelpunkt für ein angemessenes Schutzniveau sind jedoch die Mitarbeiter. Das bedeutet nicht nur die Einstellung von qualifiziertem Personal für die IT-Sicherheit, sondern umfasst ebenso Qualifizierung und Weiterbildung aller Mitarbeiter, die IT für die Ausübung ihrer Tätigkeit benötigen. Gerade die kontinuierliche Schulung in punkto Awareness erhöht sowohl das Verständnis für Schutzmaßnahmen als auch die Sensibilität für aktuelle Angriffsmethoden.
Im Hinblick auf die aktuellen und vor allem zukünftigen konvergenten Technologien im Gesundheitswesen ist es dringend erforderlich, bekannte Sicherheitslücken sowohl kontinuierlich aufzudecken als auch zu schließen. Insbesondere wenn daraus potenziell eine Gefahr für den Mensch erwächst, sind höchste Anforderungen an die IT-Sicherheit zu stellen, um die funktionale Sicherheit zu gewährleisten. Aus diesem Grund sollte in jedem Krankenhaus ein Notfallplan für die Aufrechterhaltung des Betriebs vorliegen. Denn im Falle eines Ausfalls, verursacht durch einen Angriff, muss der Krankenhausbetrieb auch ohne IT zu führen sein.
Bernd Fuhlert
(ah)