Die Digitalisierung bietet der Gesundheitsbranche enorme Chancen. Doch immer öfter kommt es zu einer Störung der digitalen Abläufe, mit gravierenden Folgen. Erst kürzlich legte ein Hacker-Angriff den gesamten Krankenhausbetrieb im Klinikum Fürth lahm. Um sich besser vor solchen Attacken schützen zu können, brauchen „smarte“ Krankenhäuser neue IT-Sicherheitskonzepte und den Einsatz innovativer IT-Sicherheitslösungen.
Es ist der „Worst Case“: Kurz vor Weihnachten muss das Klinikum Fürth Operationen aussetzen und kann keine neuen Patienten aufnehmen. Der Grund war ein Hackerangriff auf das IT-System. Offensichtlich war ein Virus über eine E-Mail eingeschleust worden. Vorsorglich wurde daher die Internetverbindung des Klinikums getrennt, um eine Verbreitung der Schadsoftware zu verhindern.
Die Digitalisierung ist in der Gesundheitsbranche auf dem Vormarsch. Patienten können Rechnungen für die Krankenkasse bequem in Apps hochladen oder Termine über die Webseiten von Ärzten vereinbaren. Vernetzte medizinische Geräte vereinfachen die Zusammenarbeit von Ärzten. Gesundheitsminister Jens Spahn möchte ab 2021 sogar eine digitale Patientenakte einführen, die Patientendaten gebündelt bereitstellt. Das Ziel: Doppeluntersuchungen vermeiden oder Unverträglichkeiten bei Arzneimitteln besser beachten. Das soll auch das Vertrauen der Patienten steigern.
Keine Seltenheit: Angriffe auf den Gesundheitssektor
Das „smarte Krankenhaus“ wird allerdings zunehmend attraktiver für kriminelle Hacker. Eine Studie der Roland-Berger-Stiftung ermittelte, dass 2017 bereits 64 Prozent aller Kliniken in Deutschland Opfer eines Cyberangriffs waren. Krankenhäuser sind gegen Angriffe häufig nicht ausreichend geschützt. Der Grund ist, dass viele Kliniken unter enormem Finanzdruck stehen. Hinzu kommt, dass vor allem der zunehmende Einsatz sogenannter Webapplikationen neue Angriffsmöglichkeiten für Hacker bietet. Solche Anwendungen, die über den Browser zugänglich sind, machen die Zusammenarbeit in der Gesundheitsbranche erheblich flexibler und verbessern dadurch auch die Leistungen für den Patienten. Medizinische Unterlagen und Berichte lassen sich beispielsweise digital für jede berechtigte Person zugänglich machen – und zwar sowohl vom PC als auch von Tablet, Smartphone oder anderen vernetzten Geräten aus. Das Vertrauen der Patienten wird durch diese Anfälligkeit der Krankenhäuser jedoch erheblich geschwächt.
Das Problem ist, dass Webanwendungen für Hacker leicht zu knacken sind. Denn das Web, speziell das Protokoll HTTP und auch das etwas sicherere HTTPS, wurde nicht für die heute üblichen komplexen Anwendungen konzipiert. Schwachstellen lassen sich bei der Entwicklung kaum vermeiden. Vor allem sehr komplexe Anwendungen sind anfällig für Sicherheitslücken.
Cyberkriminelle nutzen dies gnadenlos aus. Datenbanken zählen dabei zu den beliebtesten Angriffszielen von Hackern. Denn sie halten riesige Mengen von persönlichen Daten in konzentrierter Form bereit. Bei der Speicherung in Cloud-Diensten kommt noch hinzu, dass nicht nur Benutzer und Administratoren Zugriff auf die Daten haben. Auch Cloud-Provider könnten sich Zugriff verschaffen, wenn Daten ungeschützt und unverschlüsselt abgelegt wurden. Finden Cyberkriminelle einen Zugang zu diesen Daten, lassen sich damit Patienten und Krankenhäuser erpressen.
Mangelnde IT-Sicherheit trotz gesetzlicher Auflagen
Dabei ist der Schutz von gesundheitsbezogenen Daten streng geregelt. Diese unterliegen der EU-weiten Datenschutz-Grundverordnung (EU-DSGVO). Zusätzlich gibt das „E-Health-Gesetz“ einen konkreten Fahrplan für den Aufbau einer sicheren Telematik-Infrastruktur und die Einführung digitaler medizinischer Anwendungen vor. Im Fall von Datenverlusten oder Verstößen drohen erhebliche Sanktionen. Ergänzend gilt für größere Kliniken mit mindestens 30.000 vollstationären Fällen pro Jahr die „Verordnung zur Bestimmung Kritischer Infrastrukturen (KRITIS)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese Kliniken müssen seit Juli 2019 ein Mindestniveau an Informationssicherheit nachweisen. Doch auch für kleinere Häuser empfehlen sich diese Vorgaben als Leitfaden für mehr Versorgungssicherheit. Insbesondere auch deshalb, weil sie schon bald unter die KRITIS-Richtlinien fallen könnten. Für das IT-Sicherheitsgesetz 2.0 ist geplant, den derzeitigen Schwellenwert von 30.000 abzusenken. Dann besteht in den betroffenen Kliniken akuter Handlungsbedarf.
Neben rechtlichen und wirtschaftlichen Konsequenzen kann ein erfolgreicher Angriff auch zu einem beträchtlichen Imageschaden und Vertrauensverlust bei den Patienten führen. Das ist aber nicht alles, denn bricht im schlimmsten Fall die gesamte gesundheitliche Versorgung durch einen Cyberangriff zusammen, bedroht das unsere ganze Gesellschaft.
Um diese Szenarien zu verhindern, ist ein geeignetes IT-Sicherheitskonzept für Gesundheitseinrichtungen entscheidend. Zunächst müssen IT-Spezialisten prüfen, ob die Daten gut abgesichert sind und an welcher Stelle nachgebessert werden muss. Auf dieser Grundlage können Gesundheitseinrichtungen konkret handeln und individuell geeignete Sicherheitstechnologien anschaffen. Diese Technologien sollten von vertrauenswürdigen Herstellern kommen, die BSI-zertifizierte Lösungen anbieten können. Die IT-Sicherheitsspezialisten setzen bei ihren Produkten auf neue Sicherheitsansätze, mit denen sich auch Angriffe stoppen lassen, gegen die herkömmliche Lösungen machtlos sind.
Webanwendungen absichern
Um Webapplikationen zu schützen, brauchen Krankenhäuser eine „Web Application Firewall“. Die Web Application Firewall verhindert, dass Webanwendungen zum Einfallstor für Schadsoftware werden, indem sie den Datenaustausch zwischen Endgeräten und Webservern analysiert. Sie prüft alle eingehenden Anfragen an den Webserver sowie dessen Antworten. Sobald bestimmte Inhalte als verdächtig eingestuft werden, verhindert die Web Application Firewall den Zugriff.
Daten in der Cloud schützen
IT-Sicherheitslösungen für die Cloud müssen in der Lage sein, die Daten unabhängig von ihrem Speicherort vor dem Zugriff Dritter zu schützen. Technisch umsetzen lässt sich das mit einem datenzentrischen Sicherheitsansatz. Dabei werden die Daten verschlüsselt, fragmentiert und regulatorisch konform gespeichert. Daten, die Europa nicht verlassen dürfen, werden konfigurierbar z. B. in einem europäischen Rechenzentrum abgelegt, obwohl sie virtualisiert in der Cloud vorliegen. Egal, wo ein Angreifer Zugriff erlangt, er kann keinen großen Schaden mehr anrichten. Diese Art der Speicherung ist nicht nur besonders sicher, sie entspricht auch den strengen Datenschutz- und Sicherheitsvorgaben der EU-DSGVO.
Übertragungswege absichern
Zu einer IT-Sicherheitsstrategie im Gesundheitswesen gehört auch die Absicherung der Übertragungswege, sei es zwischen einem Gerät im Krankenhaus und dem Hausarzt eines Patienten oder dem Krankenhaus und einem Rechenzentrum. Die Herausforderung ist, dass die Übertragung trotz hochsicherer Verschlüsselung effizient bleiben muss. Dazu gibt es spezielle Verschlüsselungsprodukte, die einen hohen Schutz bieten, ohne dass die Übertragungsleistung herabgesetzt wird.
Angriffe aus dem Internet abwehren
Da 70 Prozent der Malware über den Browser in das Netzwerk kommen, ist es ein wichtiger Schritt für Krankenhäuser, Angriffe aus dem Internet abzuwehren. Am gezieltesten ist das mit einem virtuellen Browser möglich. Dieser ist von allen anderen Anwendungen und sensitiven Daten auf dem PC hermetisch getrennt. Eine Malware-Attacke läuft ins Leere, weil sie im Browser eingesperrt bleibt und keinen Zugriff auf das PC-Betriebssystem bekommt. Der Angreifer auf das Klinikum Fürth hätte keine Chance gehabt, wenn ein solcher virtualisierter Browser zum Einsatz gekommen wäre.
Mit diesen Maßnahmen erfüllen Gesundheitseinrichtungen nicht nur wichtige Regularien und Vorschriften, sie bilden auch die Grundlage für weitere digitale Entwicklungen. Denn nur mithilfe einer effizienten IT-Sicherheit können IT-basierte Prozesse eingesetzt werden, ohne dass dabei die Datensicherheit auf dem Spiel steht. Das wiederum wirkt sich auch positiv auf das Vertrauen der Patienten in das „smarte“ Krankenhaus der Zukunft aus.
Bilder: R & S Cybersecurity
Crisis Prevention 2/2020
Dr. Falk Herrmann
Mühldorfstraße 15
81671 München
Tel: 030 65884-222