Anzeige

IT-Sicherheit im Gesundheitswesen

Offene Schnittstellen, veraltete Technik und unterschiedliche Interessenlagen: IT-Sicherheit im Gesundheitswesen ist ein komplexes Thema, schließlich geht es um die Bedürfnisse und Sicherheit des Patienten.

Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundesanstalt für Arzneimittel und Medizintechnik und dem Bundesamt für Sicherheit dar - aktuell gibt es lediglich Empfehlungen, keine verbindlichen Richtlinien.

Das Gesundheitswesen und viele medizinische Prozesse sind ohne IT nicht mehr effizient möglich, was Bezeichnungen wie z.B. "Computertomographie" oder "elektronische Patientenakte" deutlich machen. Zunehmend unterstützen oder übernehmen IT-gestützte Geräte medizinische Prozesse: In der Arztpraxis liefern Ultraschall oder Blutdruckmesser die Entscheidungsgrundlage für das Personal, modernste Technik nutzt darüber hinaus Big Data: State of the Art-Ultraschallgeräte können zum Beispiel aus medizinischer Sicht auffällige Bereiche im Bild direkt hervorheben. Künstliche Intelligenz erkennt Muster und liefert Entscheidungshilfen, ist aber noch davon entfernt, selbst Entscheidungen vorzugeben. Der Mediziner muss am Ende die Kompetenz besitzen, die Ergebnisse korrekt zu interpretieren und Schlüsse zu ziehen. Auf der anderen Seite gibt es bereits Automaten, die eigenständig arbeiten: Etwa Infusionsgeräte, die über einen bestimmten Zeitraum eine gewisse Menge an Medikamenten abgeben oder Laborautomaten, die Ergebnismessung und Aufbereitung übernehmen.

Schnittstellen und veraltete Systeme als Sicherheitsrisiken

Anders als noch vor einigen Jahrzehnten besitzen medizinische Geräte wie Herzschrittmacher heute Schnittstellen, um Daten auszulesen und Parameter anzupassen. Im stationären Umfeld sind diese Schnittstellen für Wartung und Konfiguration gängig und notwendig. Das öffnet allerdings dem Missbrauch Möglichkeiten, wenn diese nicht gegen unberechtigten Zugriff abgesichert sind. Es stellt sich die Frage, wie leicht eine Schnittstelle zugänglich ist und aus welchem Umfeld heraus. Sind Komponenten über Funk oder das Internet ansteuerbar? Die Wahrscheinlichkeiten solcher Angriffe sind zwar nicht abschließend geklärt, aber eine externe Manipulation ist denkbar, was gerade für IT wie Herzschrittmacher, die direkt auf den Menschen einwirkt, heikel ist.

Allgemein ist die Manipulation und Veränderung von Daten, die dem Mediziner bei einer Entscheidung unterstützen, durch Unberechtigte kritisch - sei es die OP am falschen Bein oder falsche Laborwerte. Manipulierte Komponenten sind auch in der Herstellung von Medikamenten gefährlich sein, wenn durch IT-Systeme die Dosierung für Mischverhältnisse unterstützt wird.

Eine weitere Schwierigkeit bei der Gewährleistung von IT-Sicherheit liegt darin, dass, aufgrund der hohen Kosten, medizinische Geräte und Anlagen über einen langen Zeitraum genutzt werden: Die Investition in z.B. bildgebende Verfahren (z.B. Computertomographen) muss sich amortisieren und entsprechend lang bleiben die Maschinen im Einsatz, zumal sie hohe Anforderungen an Hersteller und Zulassung erfordern. So kommt es, dass Geräte weiter genutzt werden, die aus IT-Sicht nicht mehr dem Stand der Technik entsprechen, da sie mit alten Betriebssystemen und Komponenten ohne Virenschutz laufen aber aus medizinischer Sicht durchaus ihren Zweck erfüllen. Es gilt im Einzelfall durch den Betreiber abzuwägen, mit welchen Risiken die veraltete IT-Technik einhergeht, ob diese tragbar sind oder ob und welche Maßnahmen getroffen werden müssen, um Risiken zu mindern oder ganz abzustellen. Das ist nicht immer möglich: Hat eine Generation Herzschrittmacher eine Sicherheitslücke, können nicht zwangsläufig alle ausgetauscht werden, da es ggf. Patienten gibt, für die der Eingriff ein nicht tragbares medizinisches Risiko darstellt.

Im Gesundheitswesen prallen zudem immer verschiedene Interessenslagen aufeinander: Das Personal denkt an seine Bedürfnisse, um die Geschäftsprozesse zu erfüllen, die Krankenhausleitung an wirtschaftliche KPI und wegen Fachkräftemangel und Kostendruck sitzen nicht in jedem Haus IT-Sicherheitsexperten. Es erfordert Kompetenzen, die IT-Infrastruktur sicher zu betreiben und die Bemühungen halten mit den Anforderungen nicht Schritt. Fachkräfte sind teuer und Krankenhäuser konkurrieren mit Branchen, die entsprechenden Fachkräften bessere Rahmenbedingungen bieten können. Dieser Rahmen bedingt das Sicherheitsniveau - kommt es zu einem Angriff, greift es zu kurz, die Schuld beim Krankenhaus zu suchen. Gerade Angriffe auf Kliniken mit Cryptotrojanern haben in den vergangenen Jahren zugenommen, doch die Gefahrenlage ist unterschiedlich - manche Bereiche besitzen das notwendige Know-how und das Bewusstsein für Gefährdungen, andere nicht. Leider gilt: Für komplexe (Bedrohungs-)Szenarien gibt es keine einfachen Lösungen.


Artikel zu diesem Thema

Gesundheitswesen
Mär 14, 2021

Deutsche Krankenhäuser haben Nachholbedarf bei Digitalisierung

Durch die Corona-Pandemie sind die Arbeitsbedingungen in deutschen Krankenhäuser…
Gesundheitswesen
Feb 21, 2021

Ransomware: Hauptphänomen für IT-Sicherheitsverletzungen im Gesundheitswesen

Das IT-Sicherheitsunternehmen Tenable veröffentlichte vor einigen Tagen in einem…
Gesundheitswesen
Jan 29, 2021

IT-Sicherheitsrisiko Krankenhaus

Bei einem Drittel aller deutschen Krankenhäuser gibt es Cybersecurity-Schwachstellen.…

Weitere Artikel

2021

Im Jahr 2021 wurden über 40 Milliarden Datensätze offengelegt

Laut einer Studie von Tenable, spezialisiert auf Cyber Exposure, wurden im Jahr 2021 weltweit mindestens 40.417.167.937 Datensätze offengelegt. Dies wurde durch die Analyse von 1.825 Datenverletzungen, die zwischen November 2020 und Oktober 2021 öffentlich…
Cyber Security

5 Schritte um Ihre IT-Sicherheit zu stärken

Fast neun von zehn Unternehmen (88 Prozent) wurden laut einer Bitkom-Umfrage in den Jahren 2020/2021 Opfer von Cyberangriffen. Starke IT-Sicherheitsvorkehrungen müssen damit für Unternehmen Priorität haben, um sich und ihre Anwendungen vor Bedrohungen zu…
Supply Chain

Es braucht keine Katastrophe, um die Lieferkette zu unterbrechen

Noch bis vor wenigen Jahren war die Sicherheit von Lieferketten für die meisten von uns nicht unbedingt ein Thema, über das wir regelmäßig nachdenken mussten. Es genügt festzustellen, dass sie seither deutlich häufiger in den Schlagzeilen zu finden ist - und…
Cyber Security

Was steht der Cybersicherheit im Jahr 2022 bevor?

2021 war ein Jahr, in dem sich die Ereignisse überschlugen. Die Pandemie führte zu mehr Spaltung, mehr Isolation und einem allgemeinen Unsicherheitsgefühl in vielen Lebensbereichen. In der Cybersicherheit gab es einen starken Anstieg der Zahl der…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.