IT-Sicherheit: Patientendaten in Gefahr?

IT-Sicherheit im Krankenhaus

©Thieme & Frohberg GmbH

In den vergangenen Wochen sorgten Hacker-Angriffe auf nordrhein-westfälische Hospitäler für Aufsehen. Betroffen waren unter anderem das Lukaskrankenhaus in Neuss und das Klinikum Arnsberg. Auch weitere Einrichtungen sollen betroffen gewesen sein, haben aber nicht den Schritt in die Öffentlichkeit gewagt. Über eine infizierte E-Mail gelangte dabei ein Erpressungstrojaner, so genannte Ransomware, das IT-Netz. Ziel solcher Viren ist es, sensible bzw. erfolgskritische Daten zu verschlüsseln. Die Freigabe der wertvollen Informationen ist an eine Lösegeldforderung geknüpft. Soweit kam es in NRW jedoch nicht – die Malware wurde in allen Einrichtungen rechtzeitig entdeckt und unschädlich gemacht. Im Zusammenhang mit dieser breit angelegten Cyberattacke wies die Krankenhausgesellschaft noch einmal explizit darauf hin, welche Bedeutung den Mitarbeitern beim Thema IT-Sicherheit zukomme.

Menschliche Fehler als größtes Sicherheitsrisiko

Studien zufolge ist der „Faktor Mensch“ das größte Risiko für die IT-Security. Bis zu 70 Prozent der Sicherheitslücken seien demnach auf Fehler von Mitarbeitern zurückzuführen. Denn infizierte E-Mail-Anhänge oder Links können ihr Schadenpotenzial nur dann entfalten, wenn sie angeklickt und geöffnet werden. Über dieses so genannte Phishing gelangen Trojaner ins Netzwerk, die gezielt auf die Suche nach Informationen gehen. Doch auch zu simple Passwörter oder unzureichend geschützte mobile Endgeräte bergen Sicherheitsrisiken, die der jeweilige Nutzer verhindern könnte. Das gilt im medizinischen Bereich mehr denn je, schließlich gelten für Patientendaten die höchsten Sicherheitsanforderungen.

Zertifizierte Sicherheit in Braunschweig und Hamburg

Immer mehr Krankenhäuser entscheiden sich daher für die Einführung eines Informationssicherheitsmanagements nach ISO 27001 – einer international geltenden Zertifizierungsnorm. Zu den Vorreitern zählen das Klinikum Braunschweig und das Universitätsklinikum Hamburg Eppendorf. Der Weg dorthin erfolgt über einen mehrstufige Maßnahmenplan: Am Anfang steht eine ausführliche Sicherheitsanalyse und die Ermittlung des IST-Zustands. Danach deckt eine Risikoanalyse die Schwachstellen in der Krankenhaus-IT auf. Geeignete Software-Lösungen schließen diese Lücken. Für eine ISO-Zertifizierung muss das IT-Sicherheitsmanagement jedoch nicht nur vorhanden sein, sondern auch aktiv umgesetzt werden. Unter Beteiligung aller Mitarbeiter.

Hohe Ausgaben für die IT-Sicherheit

Deutsche Kliniken geben jährlich – mindestens – hohe fünfstellige Beträge für die IT-Sicherheit aus. Und schieben mit ihren Maßnahmen den meisten Angreifern einen Riegel vor. Wie schwer es tatsächlich ist, sich unbefugt in die Krankenhaus-IT einzuloggen, bewies ein Test des Kaspersky lab. Unter dem Titel „How I hacked my hospital“ schaffte es das russische Softwareunternehmen, sich in das Kliniknetzwerk zu hacken. Allerdings nicht beim ersten Versuch. Ausgehend von ihren Erfahrungen, gaben die Forscher Hinweise für eine (noch) sicherere IT-Infrastruktur. Dazu zählten regelmäßige Sicherheitstests, regelmäßige Updates und entsprechende Schulungen für die Mitarbeiter. Auch hier zeigt sich: Die Kliniken sind gefordert, ihr Personal für dieses wichtige Thema zu sensibilisieren.

Komplizierte Authentifizierungslösungen als Sicherheitsrisiko

Für den Klinikalltag ist es darüber hinaus wichtig, dass Maßnahmen rund um die IT-Sicherheit den ohnehin hektischen Alltag der Mitarbeiter nicht noch zusätzlich verkomplizieren. Gestalten sich datenschutzkonforme An-, Ab- und Ummeldeprozedere zu zeitaufwändig, versuchen die Anwender sie zu umgehen. In der Praxis setzen sich daher Chip- bzw. Smartcard auch für IT-Arbeitsplätze oder vernetzte Untersuchungsgeräte durch. Eine attraktive Alternative bildet die 3D-Gesichtserkennung. Hierbei öffnen sich Patientenakten beispielsweise nur, wenn das Gesicht des Nutzers – aufgenommen über die im Notebook integrierte Kamera – mit dem hinterlegten Gesichtsfeld übereinstimmt. Wendet er sich vom Bildschirm ab, wird das Dokument automatisch ausgeblendet. Auf diese Weise gelingt höchste Sicherheit bei minimalem Aufwand auf Seiten des medizinischen Fachpersonals.

nl/KWM

Hinterlassen Sie einen Kommentar