{"id":1501,"date":"2022-11-10T13:28:43","date_gmt":"2022-11-10T13:28:43","guid":{"rendered":"https:\/\/lawpilots.com\/?p=1501"},"modified":"2024-09-04T09:11:01","modified_gmt":"2024-09-04T07:11:01","slug":"cyber-sicherheit-krankenhaus","status":"publish","type":"post","link":"https:\/\/lawpilots.com\/de\/blog\/it-sicherheit\/cyber-sicherheit-krankenhaus\/","title":{"rendered":"Datenschutz und Cyber Security in Krankenh\u00e4usern"},"content":{"rendered":"\n
\n
\n

Um drei Uhr nachts am 10. September 2020 wurde das Universit\u00e4tsklinikum D\u00fcsseldorf Opfer eines Cyber Security Vorfalls, mittels Ransomware (Erpressersoftware). 30 Server und die damit verbundenen medizinischen Bereiche und Ger\u00e4te fielen aus, Patienten mussten auf umliegende Krankenh\u00e4user verteilt und der Ausfall \u00f6ffentlich bekannt gemacht werden.<\/p>\n\n\n\n

Es dauerte zwei Wochen, bis das Universit\u00e4tsklinikum D\u00fcsseldorf wieder regul\u00e4r in die Notversorgung eingebunden und angefahren werden konnte. Nach ca. einem Monat kehrte es zur\u00fcck in den Normalbetrieb.<\/p>\n\n\n\n

Dabei handelte es sich keineswegs um einen Einzelfall. Deutschlandweit kommt es immer h\u00e4ufiger zu Cyberangriffen auf Krankenh\u00e4user. Der Ausfall der Technik bringt PatientInnen in Gefahr und richtet millionenschwere Sch\u00e4den an.<\/p>\n\n\n\n

Die wichtigste Aufgabe im Krankenhaus ist die Patientenversorgung, sie ist in hohem Ma\u00dfe abh\u00e4ngig von st\u00f6rungsfreien Abl\u00e4ufen und Ger\u00e4ten. Um dies zu garantieren, ist ein hohes Ma\u00df an informationstechnischem und logistischem Aufwand sowie abgestimmter Koordination und Steuerung notwendig.<\/p>\n\n\n\n

\n

Bei 36,4 % der 1.555 deutschen Krankenh\u00e4user wurden Schwachstellen in der IT-Sicherheit festgestellt.<\/p>\n<\/blockquote>\n\n\n\n

Laut einer aktuellen Studie zur Cyber Security in deutschen Krankenh\u00e4usern, sind die gr\u00f6\u00dften Schwachstellen: nicht aktuell gehaltene Webserver, veraltete DSL-Modems oder WLAN-Router, die \u00f6ffentlich einsehbar sind.<\/p>\n\n\n\n

Vor allem zeigt sich, dass deutsche Krankenh\u00e4user besonders nachl\u00e4ssig bei der Eind\u00e4mmung der Schatten-IT<\/strong> sind. Damit sind IT-Dienste und Ger\u00e4te gemeint, die unter dem Radar der Systemadministratoren existieren. Dies k\u00f6nnen eigene IT-Anschl\u00fcsse von \u00c4rzten oder Fernwartungszug\u00e4nge, die nicht ausreichend gesch\u00fctzt sind, sein.<\/p>\n\n\n\n

Die hohe Auspr\u00e4gung der Schatten-IT begr\u00fcndet sich vor allem im schwachen Sicherheitsbewusstsein der Krankenh\u00e4user. Systeme sind h\u00e4ufig bereits so stark veraltet, dass der technische Support der Entwicklungsfirma f\u00fcr sie bereits seit Jahren eingestellt wurde.<\/p>\n\n\n\n

Ein gezielter Hackerangriff kann im Grunde die gesamte Infrastruktur eines Krankenhauses kompromittieren. Beatmungsger\u00e4te, Monitore oder PACS k\u00f6nnen lahmgelegt, hochsensible Daten und Informationen manipuliert oder gestohlen werden.<\/p>\n\n\n\n

Auff\u00e4llig ist, dass gerade KRITIS-Einrichtungen (kritische Infrastrukturen) mehrere Schwachstellen vorweisen. Zur KRITIS z\u00e4hlen alle Krankenh\u00e4user mit mehr als 30.000 station\u00e4ren Behandlungsf\u00e4llen pro Jahr. Dabei unterliegen sie laut der Verordnung zur Bestimmung Kritischer Infrastrukturen bereits strengeren Richtlinien, weil ihr Ausfall dramatische Folgen f\u00fcr die \u00f6ffentliche Sicherheit h\u00e4tte.<\/p>\n\n\n\n

Das Krankehauszukunftgesetz (KHZG) verpflichtet au\u00dferdem alle KRITIS-Krankenh\u00e4user dazu, ihre Systemlogdaten auszuwerten. In Verbindung mit weiteren Sicherheitsma\u00dfnahmen soll dies die Identifikation von Compliance-Verst\u00f6\u00dfen und Cyber Angriffen beschleunigen.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Wie viel Sicherheit bietet die IT Security im Krankenhaus?<\/h2>\n\n\n\n

Viele Krankenh\u00e4user und gro\u00dfe medizinische Einrichtungen stehen vor einem Problem, weil ihre Soft- und Hardware zu unterschiedlichen Zeiten mit verschiedenen Update-Zyklen installiert wurde. Sind die Programme voneinander abh\u00e4ngig, entsteht hierdurch ein erheblicher Aufwand und viele potentielle Sicherheitsl\u00fccken.<\/p>\n\n\n\n

Der Grund f\u00fcr die mangelhafte IT-Security in vielen Einrichtungen ist, neben der Finanzierung, h\u00e4ufig die fehlende Struktur. Jene wird stark durch den Klinikalltag gepr\u00e4gt. Schichtdienste f\u00fchren zu wechselndem Personal und Notf\u00e4lle dazu, dass es bei dem Zugriff auf Patientendaten h\u00e4ufig schnell gehen muss. <\/p>\n\n\n\n

Um dies zu beheben sind vor allem Investitionen in neue Systeme und Schulungen f\u00fcr die Mitarbeitenden von N\u00f6ten. Dies beinhaltet auch \u201eeinen h\u00f6heren personellen Aufwand f\u00fcr die Dokumentation, \u00dcberpr\u00fcfung, Auditierung und kontinuierliche Weiterentwicklung der Compliance-Regelungen\u201c (BSI 2020). <\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Wie l\u00e4sst sich die Cyber Security im Gesundheitswesen verbessern?<\/h2>\n\n\n\n

Die Cyberattacken auf Krankenh\u00e4user mehren sich. Laut dem israelischen IT-Security <\/em>Hersteller <\/em>Check Point <\/em>Software<\/em> stiegen die Angriffe auf Einrichtungen des Gesundheitswesens im Jahr 2020 weltweit um 71 <\/em>Prozent<\/em>. In <\/em>Deutschland wurde <\/em>eine Steigerung der Attacken um 220 <\/em>Prozent <\/em>verzeichnet.<\/em><\/p>\n\n\n\n

Ein durchschnittliches Krankenhaus verf\u00fcgt \u00fcber ca. 30.000 IT-Anschl\u00fcsse. Als Anwender kommen sowohl \u00c4rzte (ca. 168.000 in ganz Deutschland) und nicht\u00e4rztliches Klinikpersonal (\u00fcber 760.000 in ganz Deutschland) in Frage.<\/p>\n\n\n\n

Ein wesentliches Risiko zur Verhinderung von Cyber Attacken l\u00e4sst sich deshalb durch die Schulung der Mitarbeitenden minimieren.<\/p>\n\n\n\n

Unsere Online-Schulung \u201eDatenschutz f\u00fcr Praxen und Krankenh\u00e4user\u201c zeigt Ihren Mitarbeitenden die wichtigsten Regeln im sicheren Umgang mit sensiblen Daten. Denn gerade in der Gesundheitsbranche ist es von hoher Bedeutung, dass alle Personen \u00fcber ein hohes Datenschutzbewusstsein verf\u00fcgen. Geben Sie Ihren Mitarbeitenden die M\u00f6glichkeit sich diesbez\u00fcglich weiterzubilden und erh\u00f6hen Sie auf diese Weise den Schutz Ihrer PatientInnen und Ihrer Einrichtung.<\/p>\n\n\n\n

Sicherheitsl\u00fccken m\u00fcssen nicht nur erkannt, sondern auch professionell behoben werden. Die genauen Ziele zur Erh\u00f6hung der IT-Sicherheit sind im IT-Sicherheitsgesetz festgehalten. In den meisten F\u00e4llen ist das Medizintechnik-Netz, Verwaltungsnetz, Applikationsnetz und Patienten-\/G\u00e4stenetz miteinander vernetzt. Diese Vernetzung sollte im besten Fall aufgehoben und einzeln angelegt werden. <\/p>\n\n\n\n

Prof. Thomas Kriesmer, Professor an der Technischen Hochschule in Mittelhessen im Bereich Life Science Engineering (LSE) und gesch\u00e4ftsf\u00fchrender Gesellschafter des Technologie Institut Medizin GmbH (TIM), gibt au\u00dferdem zu bedenken: \u201eWir m\u00fcssen uns daher dringend die Frage stellen: Wo liegt der Nutzen der Vernetzung? Muss wirklich jede Information transferiert werden oder nur solche, die nachgewiesenerma\u00dfen einen wirklichen Nutzen haben?\u201c Denn im Vergleich zur Industrie 4.0 sollte in der sog. Medizin 4.0, trotz der digitalen Transformation, der Schutz der Patientendaten immer an vorderster Stelle stehen. <\/a><\/p>\n\n\n\n

Auch eine umfassende Alarm- und Einsatzplanung verbessert die Sicherheit im Krankenhaus. Denn nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) m\u00fcssen Kliniken sich auf potentielle Ereignisse mit entsprechenden Risiken vorbereiten. Nur so k\u00f6nnen durch Hackerangriffe ausgel\u00f6ste Funktionsst\u00f6rungen, durch gezielte Gegenma\u00dfnahmen mit einer m\u00f6glichst geringen Patientengef\u00e4hrdung, bew\u00e4ltigt werden. Wie in D\u00fcsseldorf, wird in den meisten F\u00e4llen mit einer direkten Schlie\u00dfung der Notaufnahme, einer Reduktion der Betten, Behandlungen und OP\u2019s sowie der Einstellung von Produktionsprozessen reagiert.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Wie sieht die Zukunft der Cyber Security im Krankenhaus aus?<\/h2>\n\n\n\n

Die Digitalisierung des deutschen Gesundheitswesens ist ein altbekanntes Thema. Vor allem, weil sie im Vergleich mit unseren europ\u00e4ischen Nachbarn seit jeher schwach ausgepr\u00e4gt ist. Ein Problem, das zuk\u00fcnftig durch das Vorhaben ein 5G Netzwerk in den Kliniken zu installieren, behoben werden soll.<\/p>\n\n\n\n

Damit verbundene Leistungen wie Telemedizin, eine verbesserte Logistik oder die Vernetzung von Kliniken erfordern jedoch ein umfassendes Sicherheitskonzept.<\/p>\n\n\n\n

Dies soll das Krankenhauszukunftsgesetz (KHZG) erm\u00f6glichen. Seit dem 01. Januar 2021 stellt der Bund 3 Milliarden Euro bereit, damit Kliniken in der Lage sind ausreichend in die Digitalisierung und IT-Security zu investieren. Die Bundesl\u00e4nder selbst stellen weitere 1,3 Milliarden bereit. Eine der Vorgaben ist, dass 15 Prozent der F\u00f6rdermittel in die Verbesserung der IT-Security flie\u00dfen m\u00fcssen. Daten und Systeme sollen unter Ber\u00fccksichtigung der Anwenderfreundlichkeit gegen die steigende Zahl von Cyber Attacken aus dem Internet gesch\u00fctzt werden. Beispielsweise durch die Einf\u00fchrung von Single-Sign-Ons, anstelle des Stationscomputers, bei der Anmeldung des Pflegepersonals. Dabei verf\u00fcgen alle Mitarbeitenden \u00fcber eine PIN-Karte mit Pin, mit der sie sich in den einzelnen Krankenhausbereichen registrieren k\u00f6nnen. Auf diese Weise wird nicht nur die Anmeldung vereinfacht, sondern auch die Cybersicherheit erh\u00f6ht. <\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n
\n\n\n\n

Quellen<\/strong>:<\/p>\n\n\n\n