Werden Krankenhäuser jemals vor Cyberbedrohungen sicher sein?

Gesundheitswesen Security

Zwischen 2020 und 2021 ist ein deutlicher Anstieg der Cyberangriffe auf Gesundheitseinrichtungen weltweit zu verzeichnen. Deutschland bildet hier keine Ausnahme, denn die Zahl der Cyberangriffe auf Krankenhäuser ist im genannten Zeitraum um 50 Prozent gestiegen.

Die COVID-19-Pandemie hat deutlich gezeigt, wie anfällig die Gesundheitsstrukturen sind. Zu den bedauerlichen Beispielen gehört etwa der Cyberangriff gegen die Bayerische Krankenhausgesellschaft (BKG), deren Mailserver im Dezember 2021 mit einer Schadsoftware infiziert wurde, die E-Mails mit der Unterschrift der Mitarbeitenden sendete. Im Jahr 2022 gab es außerdem Hackerangriffe auf den Medizin Campus Bodensee und das Klinikum in Bad Säckingen. Die Situation ist kritischer denn je, vor allem angesichts der Tatsache, dass es in solch sensiblen Umgebungen durchschnittlich 28 Tage dauert, bis die normalen Aktivitäten fortgesetzt werden können. Doch was macht Krankenhäuser heute noch so anfällig?

Anzeige

Die Anfälligkeit der Gesundheitseinrichtungen ist jedoch keine Überraschung und bereitet den Experten schon seit mehreren Jahren ernsthafte Sorgen. Ein Cyberangriff im Gesundheitswesen kann buchstäblich über Leben und Tod des Patienten entscheiden. Daher sollen sich die Organisationen in diesem Sektor an eine Reihe von Regeln und Standards auf nationaler und europäischer Ebene halten.

In Deutschland ist die Referenzbehörde in Sachen Cybersicherheit das 1991 gegründete Bundesamt für Sicherheit in der Informationstechnik (BSI), dessen Standards (200-1 „Allgemeine Anforderungen für Managementsysteme für Informationssicherheit“, 200-2 „Grundlage für die Entwicklung eines soliden Managementsystems für die Informationssicherheit“ und 200-3 „Alle risikobezogenen Schritte in der Umsetzung“) eine grundlegende Komponente der IT-Grundschutz-Methodologie sind. Neben diesen Standards gelten für Gesundheitseinrichtungen auch das IT-Sicherheitsgesetz und das BSI-Gesetz. Gemäß dem IT-Sicherheitsgesetz müssen Betreiber von entsprechenden Einrichtungen ein Mindestmaß an IT-Sicherheit gewährleisten und dem BSI wesentliche IT-Störungen melden. Doch das Mindestmaß an Sicherheit wird nur abstrakt beschrieben. Zusätzlich dazu wurde 2016 die BSI-Kritisverordnung verabschiedet. Hier ist festgeschrieben, welche kritischen Systeme den Bestimmungen des IT-Sicherheitsgesetzes gerecht werden müssen. Diese Verordnung deckt auch das Gesundheitswesen ab.

Spezifische Regelungen gelten darüber hinaus für den Gesundheitsdatenschutz, der im Einklang mit Absatz 22 (2) des Bundesdatenschutzgesetzes (BDSG) gewährleistet werden muss. Neben der nationalen Ebene müssen diese Organisationen auch die europäischen Cybersicherheitsvorschriften wie die NIS-Richtlinie, die DSGVO oder den Cybersecurity-Act einhalten.

Es ist daher klar, dass die Krankenhäuser im Kampf gegen Cyberbedrohungen nicht länger allein gelassen werden. Aber sind die europäischen und nationalen Maßnahmen wirklich ausreichend?

Warum Krankenhäuser anfällig bleiben

Trotz dieser Initiativen scheinen Gesundheitseinrichtungen immer noch ein begehrtes Ziel für Cyberkriminelle zu sein. Die Wurzeln dieses Trends liegen vor allem in der langsamen Erneuerung des IT-Equipments. Vielerorts sind obsolete Maschinen im Einsatz, wodurch sich Cyberkriminelle häufig Zugang zur Krankenhausinfrastruktur verschaffen können.

Anders als das technische Equipment für Unternehmen aus anderen Branchen, wo man in der Regel IT-Geräte innerhalb von fünf Jahren ersetzt, haben im Krankenhaus eingesetzte Geräte einen Lebenszyklus von 15 Jahren. Es handelt sich um veraltete Maschinen, die nur in Kombination mit älteren Betriebssystemen betrieben werden können. So ist es nicht verwunderlich, dass Systeme wie Windows XP, das seit 2014 nicht mehr unterstützt wird, und manchmal sogar noch betagtere Windows-Versionen, für die es keine Sicherheits-Patches mehr gibt, verwendet werden. Das stellt eine beträchtliche Sicherheitslücke dar. Darüber hinaus legt die für Hersteller obligatorische CE-Kennzeichnung der Systeme dem Gesundheitssektor massive Einschränkungen auf, darunter zum Beispiel, dass keine Änderung an der Software der Geräte vorgenommen werden darf: Schon die bloße Aktualisierung mit Sicherheits-Patches führt zum Verlust der CE-Kennzeichnung. Um die Risiken von veralteten Betriebssystemen zu vermeiden, muss die Strategie zum Schutz von EDV- oder IT-nahen Geräten flexibel sein und sowohl einen Plan zur Gewährleistung der Betriebskontinuität und Disaster-Recovery als auch Failover-Verfahren umfassen.

Zur angemessenen Absicherung der IT-Ressourcen in Krankenhäusern ist es außerdem empfehlenswert, das Netzwerk zu segmentieren und Zero-Trust-Modelle zu implementieren. Bei letzteren werden der Zugang, die Identität und die Berechtigungen an jedem Netzzugangspunkt und direkt auf dem Gerät überprüft – unabhängig davon, ob es sich um eine feste oder mobile Arbeitsstation handelt. Damit der Zero-Trust-Ansatz wirksam ist, muss er die Identifizierung von Benutzern und Geräten, die Multi-Faktor-Authentifizierung und die Zugangsverwaltung einschließen. Da der Grad des Vertrauens, der jedem Benutzer gewährt wird, je nach Art des verwendeten Geräts, der Art der auf dem Computer installierten Software und der Aktualität des Geräts variiert, müssen die Sicherheitslösungen für Arbeitsgeräte das gebotene Sicherheitsniveau an den jeweiligen Nutzungskontext anpassen. Die Lösung „Stormshield Endpoint Security“ (SES) ist dafür ein hervorragendes Beispiel.

Nicht zuletzt stellt auch das Krankenhauspersonal eine Risikoquelle dar. Das Bewusstsein für Cybersicherheitsthemen ist hier noch zu begrenzt, als dass die Mitarbeitenden in der Lage wären, Cyberrisiken vorherzusehen und zu vermeiden. Die IT-Abteilung selbst, die in Krankenhäusern oft unterbesetzt ist, konzentriert sich in erster Linie auf die Optimierung der Infrastrukturen für die schnelle Übermittlung von Informationen zwischen den Abteilungen. Dabei vernachlässigt sie manchmal die Segmentierung der Netze und die Absicherung der einzelnen Geräte mit Lösungen, die deren CE-Zertifizierung oder Leistung nicht beeinträchtigen. Unter diesen Bedingungen kann sich ein Ransomware-Angriff leicht ausbreiten und die gesamte Infrastruktur lahmlegen, sodass das Krankenhauspersonal, das keinen Zugang mehr zu Daten und Diagnosen hat, dazu gezwungen ist, auf Papier- bzw. analoge Methoden zurückzugreifen. Das wiederum wirkt sich negativ auf die Fähigkeit aus, eine angemessene Behandlung zu gewährleisten.

Krankenhäuser in sichere digitale Räume umwandeln

Veraltete Geräte, unzureichendes Risikobewusstsein, Personalmangel: In den Krankenhäusern gibt es noch viele Probleme zu lösen, um eine wirksame IT-Sicherheit für eine so wichtige Infrastruktur zu gewährleisten. Die Gründe für die Anfälligkeit des Sektors sind jedoch komplex und beruhen auf strukturellen Problemen und Einschränkungen aufgrund der Zertifizierung von Maschinen, die nicht innerhalb weniger Monate gelöst werden können. Um technische Erbsünden zu beseitigen, Personalprobleme zu lösen und die Angriffsfläche zu verringern, muss der Gesundheitssektor daher schnell handeln und Krankenhäuser in sichere digitale Räume transformieren. Dabei kann die Branche auf die Unterstützung durch europäische Regulierungsbehörden und nationale Regierungen vertrauen.

stormshield.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.