IT-Security im Krankenhaus – Innovativ und trotzdem sicher?

banner_it-sicherheit

© Thieme & Frohberg GmbH

IT-Security im Krankenhaus steht unter großem Druck. Auf der einen Seite schreit alles nach Innovation, auf der anderen Seite steht die unerlässliche Sicherheit. Patientendaten in der Cloud, vernetzte Medizingeräte und kollaborative Zusammenarbeit mit allen externen Stakeholdern – auch über Sektorengrenzen hinaus? Die Digitalisierung birgt vielfältige Möglichkeiten, um tradierte Abläufe zu verschlanken, Prozesse zu automatisieren und schneller, besser sowie effizienter zu agieren. Allerdings müssen entsprechende Initiativen stets vor dem Hintergrund von Datenschutz und IT-Sicherheit erfolgen. Schließlich geht es um sensible Patientendaten und im Zweifel sogar um Menschenleben. Kliniken beschreiten im Zuge des digitalen Wandels daher auch eine Gradwanderung – zwischen Innovationsdruck auf der einen und IT-Security auf der anderen Seite.

IT-Security zwischen Innovation und Sicherheit

Aus der Praxis: Datenlecks und ihre Folgen. [1][2][3][4] Mitte 2015 legt die Ransomware Cryptowall eine Klinik im Ruhrgebiet lahm – gekoppelt an einen Erpressungsversuch: Erst nach Zahlungseingang der geforderten Summe sollten die betroffenen Systeme wieder freigeschaltet werden.

Anfang 2016 trifft es erst das städtische Krankenhaus in Neuss, kurz darauf das Klinikum Arnsberg. In der Folge war die Klinik-IT vorübergehend unbrauchbar. Statt mit digitalen Tools arbeitete das Krankenhauspersonal wieder mit Zettel und Stift. Für die Klinikabläufe bedeutete das einen – zum Glück nur temporären – Rückschritt um zehn bis 15 Jahre.

Im Sommer 2019 befiel eine Schadsoftware das gesamte IT-Netzwerk des DRK in Rheinland-Pfalz – und damit auch Kliniken und Altenpflegeheime, die zum Verbund gehören. Das System begann, sich selbst zu verschlüsseln. Obwohl der Vorgang in Zusammenarbeit mit dem Bundeskriminalamt schnell gestoppt werden konnte, mussten alle 480 Server vom Netz genommen und geprüft werden. Die Arbeit erfolgte während dieser Zeit analog. Als die Systeme wieder hochgefahren wurden, mussten die betroffenen Organisationen alle zwischenzeitlich erhobenen Daten nachträglich eingespeisen. Ein immenser Mehraufwand!

Cybergefahren sind im Gesundheitswesen also längst Realität. Bisher kamen die meisten Kliniken glimpflich davon, denn häufig standen Lösegeldforderungen im Fokus der Angreifer. Patientendaten blieben hingegen verschont. Und auch die Behandlung – beispielsweise in der Intensivmedizin – konnte stets fortgesetzt werden. Doch die Bedrohungslage hat nach wie vor Bestand und verschärft sich aufgrund der zunehmenden Vernetzung immer mehr.

Wo lauern die größten Gefahren?

Vor allem vernetzte Medizingeräte bergen Gefahren: Vitaldaten werden elektronisch übermittelt. Herzschrittmachen oder Insulinpumpen transferieren ihre Daten eigenständig via WLAN oder Bluetooth. Und Medizinroboter übersetzen – virtuell verbunden mit der komplexen OP-IT – die Impulse des Chirurgen in konkrete Bewegungen am Patienten. Übernehmen hier unbemerkt externe Angreifer das Steuer, sind die Folgen verheerend. In einer Studie fanden Sicherheitsanalysten zahlreiche Sicherheitslücken – fast 70.000 Medizingeräte waren betroffen, vom Infusions- bis zum Ultraschallgerät.[5]

In der Praxis sind es jedoch häufig E-Mails oder E-Mail-Anhänge, die Trojanern & Co. als Einfallstor dienen. Das heißt: Sie zielen vor allem auf administrative Prozesse oder die Serverkapazitäten, nicht aber auf die Gefährdung des Patientenwohls. Zumindest bisher. Die Kosten belaufen sich aber auch bei einem kurzfristigen Ausfall der Klinik-IT schnell auf siebenstellige Beträge.[6]

Wie lassen sich Risiken bestmöglich minimieren?

Die naheliegende Frage lautet, ob es angesichts der Gefährdungslage nicht sicherer sei – wo möglich – auf Digitalisierung zu verzichten? Doch solche Überlegungen sollten schnell wieder verworfen werden. Digitale Prozesse sind niemals 100-prozentig sicher, analoge Abläufe bergen hingegen noch ein viel größeres Risikopotenzial. Zudem ist Medizin auf höchstem Niveau ohne intelligente IT-Unterstützung heute kaum noch möglich. Der Weg in eine innovative, aber dennoch sichere Krankenhauszukunft geht daher einerseits über Investitionen in die Sicherung der klinischen IT-Systeme. Hier ist eine Aufstockung sowohl der finanziellen als auch der personellen Ressourcen erforderlich. Zum anderen müssen die Mitarbeiter in speziellen Schulungen für das Thema sensibilisiert werden. Und zwar regelmäßig!

Wie erkenne ich mögliche Angriffe? Wie verhalte ich mich in Verdachtsmomenten? An wen kann ich mich wenden? Und wie sieht das weitere Prozedere aus? Kliniken, in denen wissensförderliche Rahmenbedingungen herrschen, agieren dabei in der Regel weitaus erfolgreicher: Mitarbeiter fürchten bei einem eventuellen Fehlalarm nicht um ihre Reputation und sorgen sich auch nicht vor Repressalien. Deshalb schlagen sie lieber einmal mehr als einmal zu wenig Alarm – was die Wahrscheinlichkeit erhöht, mögliche Cyberattacken zu entlarven.

 

Lesen Sie gerne auch unseren Beitrag zu 5 technischen Innovationen der IT.


nl/KWM

Quellen:

[1] https://www.sueddeutsche.de/digital/hackerangriff-computervirus-legt-klinik-in-neuss-lahm-1.2861656

[2] https://www.computerwoche.de/a/kliniken-vs-hacker,3223442

[3] http://www.medizin-edv.de/ARCHIV/Titelstory.pdf

[4] https://www.psw-group.de/blog/it-sicherheit-im-krankenhaus-hack-bringt-krankenhaeuser-zum-stillstand/7175

[5] https://www.hornetsecurity.com/de/security-informationen/diagnose-cyberangriff-wenn-krankenhauser-zum-ziel-von-hackern-werden/

[6] https://www.hornetsecurity.com/de/security-informationen/diagnose-cyberangriff-wenn-krankenhauser-zum-ziel-von-hackern-werden/

Hinterlassen Sie einen Kommentar