IT-Sicherheit im Gesundheitswesen Healthcare-Zertifizierung von Eset

Autor: Melanie Staudacher

Ein falscher Klick auf eine Phishing-Mail und tausende Daten sind verschlüsselt. Krankenhäuser sind ein lukratives Klientel für Kriminelle, aber auch für Systemhäuser. Letztere können sich mit einer Eset-Zertifizierung als Sicherheitsexperten positionieren.

Firmen zum Thema

Eset zeichnet Gold- und Platin-Partner aus, die sich auf das Gesundheitswesen spezialisiert haben.
Eset zeichnet Gold- und Platin-Partner aus, die sich auf das Gesundheitswesen spezialisiert haben.
(Bild: bakhtiarzein - stock.adobe.com)

Verschlüsselte Patientendaten, gefälschte MRT-Bilder und unvorsichtiges Anwenderverhalten: Krankenhäuser, Kliniken und Arztpraxen investieren aufgrund der aktuellen Bedrohungslage so viel Geld wie nie zuvor in eine moderne IT und Sicherheitslösungen. Denn für Cyberkriminelle ist das Gesundheitswesen ein interessantes Ziel mit besonders sensiblen Daten, wie Maik Wetzel, Strategic Business Development Director DACH bei Eset, erläutert.

Maik Wetzel, Strategic Business Development Director DACH bei Eset
Maik Wetzel, Strategic Business Development Director DACH bei Eset
(Bild: Eset)

Wetzel berichtet von einem Fall, bei dem ein Angreifer sich Zugang zu den Patientendaten eines Krankenhauses verschaffen konnte und mehrere MRT-Bilder manipulierte, sodass die Diagnosen nicht mehr korrekt waren. Mit diesen gefälschten Dateien erpresste der Kriminelle das Krankenhaus.

„Dieser und viele andere Fälle zeigen deutlich, dass die Attacken immer raffinierter und zielgerichteter werden. Auch die Verschlüsselung von Daten ist heutzutage sehr viel schneller und effizienter als noch vor ein paar Jahren“, sagt Wetzel. Seine gute Nachricht: Wenn die richtigen Tools eingesetzt werden, erkennen die Verantwortlichen Auffälligkeiten sehr gut. Einrichtungen ohne eigene Sicherheitsteams müssen dafür auf die Hilfe externer Dienstleister zurückgreifen.

Doch wie findet man den passenden Experten? Mit dem Prädikatssiegel „Premium Partner Healthcare“ zeichnet der Sicherheitshersteller Eset Systemhäuser innerhalb des eigenen Partnerprogramms aus, die sich auf die IT-Sicherheit im Gesundheitswesen spezialisiert haben. Damit erhalten Kliniken eine Entscheidungshilfe bei der Auswahl eines passenden Partners.

Voraussetzungen für Systemhäuser

Als Grundvoraussetzung für die Zertifizierung gelten die langjährige Erfahrung des Partners mit Projekten im Gesundheitswesen sowie mit den Eset-Produkten. Letzte Anforderung erfüllen Dienstleister, die den Gold- oder Platinstatus nachweisen. Zudem ist ein regelmäßiger Austausch zwischen den Partnern und Eset verbindlich, um Vertriebsaktivitäten, Projektentwicklungen und zusätzliche Hilfen auf die Endkunden abzustimmen.

Projekte in Healthcare bedürfen einer intensiven Vorbereitung und sind sehr zeitaufwendig. Vor allem aufgrund der vielen gesetzlichen Vorgaben.

Nadine Reinsdorf, Key Account Manager bei WBS IT-Service

Die Kenntnisse speziell für den Sektor Gesundheitswesen weisen Partner mit einer erfolgreich absolvierten Online-Schulung für IT-Dienstleister beim Bundesamt für soziale Sicherung nach. Zudem müssen sie die technischen Voraussetzungen und die nötige Kompetenz mitbringen, um Projekte gemäß den Richtlinien des Krankenhauszukunftsfonds (KHZF) nach §21, Absatz 2 umsetzen zu können.

Außerdem können IT-Dienstleister, die mit Arztpraxen arbeiten, eine Zertifizierung durch die kassenärztliche Bundesvereinigung (KBV) erreichen. Damit weist der Partner nach, dass er einen ganzheitlichen Denkansatz für die Etablierung von IT-Sicherheitsmaßnahmen in vertragsärztlichen und vertragszahnärztlichen Praxen auf Basis der IT-Security-Richtlinie nach §75b Sozialgesetzbuch 5 (SGB V) verfolgt.

Welche Aufgaben übernehmen die Systemhäuser?

Nadine Reinsdorf, Key Account Manager bei WBS IT-Service
Nadine Reinsdorf, Key Account Manager bei WBS IT-Service
(Bild: WBS)

„Das IT-Sicherheitskonzept muss agil und dynamisch sein, damit es nicht bei jeder Einführung beziehungsweise Veränderung von Lösungen und Prozessen im Krankenhaus wieder von vorne angepasst werden muss“, sagt Nadine Reinsdorf, Key Account Manager bei WBS IT-Service. Der Service Provider ist laut eigenen Angaben seit 20 Jahren im Gesundheitswesen tätig. Mit steigender Digitalisierung habe das Geschäft allerdings erst stark an Fahrt aufgenommen.

Ein klassischer Endpoint-Schutz allein ist heute nicht mehr Stand der Technik, um angemessen das nötige Schutzniveau für das Gesundheitswesen zu realisieren.

Maik Wetzel, Strategic Business Development Director DACH bei Eset

Reinsdorf zufolge muss eine Healthcare-Einrichtung innerhalb eines Sicherheitskonzepts drei Kompetenzen umsetzen können, wobei sie von den Systemhäusern Hilfe bekommen:

  • Prävention: einem Angriff vorbeugen, mithilfe moderner Lösungen, wie Authentifizierung, Netzwerksicherheit und Schwachstellenmanagement
  • Detektion: einen Angriff erkennen und analysieren, wofür es unter anderem eines Security Information und Event Managements (SIEM) und eines Security Operations Centers (SOC) bedarf
  • Mitigation: Backup und Archivierungslösungen einsetzen, um nach einem Sicherheitsvorfall schnell wieder einsatzfähig sein zu können

Weil laut Wetzel ein klassischer Endpoint-Schutz allein nicht mehr ausreicht, empfiehlt Eset das Konzept eines Multi Secured Endpoints. Dabei kommen ergänzende Maßnahmen wie Multi-Faktor-Authentifizierung, Verschlüsselung oder Cloud-Sandboxing zum Einsatz.

Doch nicht nur Cyberbedrohungen gelten als Motivation für Investitionen. Auch gesetzliche Mindestanforderungen und umfangreiche Förderprogramme auf Bund- und Länderebene sollen die Digitalisierung des Gesundheitswesens beschleunigen.

Aufgabe der Systemhäuser ist es, die Krankenhäuser, Kliniken und Praxen von Beginn an zu beraten: Welche Förderprogramme gibt es? Und wie kann man sich auf eine Förderung bewerben?

Dabei ist es wichtig, im Vorfeld den Ist-Zustand beim Endkunden zu beschreiben. Dadurch stellen die Verantwortlichen fest, welche Maßnahmen nötig sind, ob die Anschaffungen förderfähig sind und welche Fördersumme das Krankenhaus dafür anfragen kann.

Welche Förderprogramme gibt es?

Förderprogramme, die den Fokus auf die Digitalisierung des Gesundheitswesens legen, gibt es viele. Zum einen europäische Programme, wie das EU-Aktionsprogramm Gesundheit. Zum anderen regionale Förderungen, wie eHealthSax der Sächsischen Aufbau- und Förderbank.

Das Investitionsprogramm mit der wohl größten Reichweite ist das Krankenhauszukunftsgesetz (KHZG). Dafür stellt der Bund seit dem 1. Januar 2021 drei Milliarden Euro bereit, „damit Krankenhäuser in moderne Notfallkapazitäten, die Digitalisierung und ihre IT-Sicherheit investieren können.“ Die Länder sollen zusätzlich 1,3 Milliarden Euro beisteuern.

Das Besondere am KHZG ist, dass für die Förderung die Zusammenarbeit mit einem IT-Dienstleister für die Krankenhäuser verpflichtend ist. Wie Reinsdorf erklärt, möchte der Bund mittels der sogenannten Nachweisführung sicherstellen, dass die Investitionen zu jeder Zeit sinnvoll, wirtschaftlich und nachhaltig sind. Auch der regelmäßige Austausch mit dem jeweiligen Bundesland ist für Krankenhäuser und Dienstleister verpflichtend. Dabei soll der Status des Projekts übermittelt werden, damit das Bundesland prüfen kann, ob sich das Projekt weiterhin im Rahmen des Fördermittelprogramms befindet.

Welche gesetzlichen Anforderungen müssen Krankenhäuser erfüllen?

Wie Wetzel berichtet, gibt es bisher nur wenige Partner, die den Status Premium Partner Healthcare erreicht haben. Das liege vor allem an den vielfältigen Auflagen und komplexen Anforderungen, denen das Gesundheitswesen unterliegt und für die Partner Knowhow aufbauen müssen.

Zu den gesetzlichen Anforderungen gehören das IT-Sicherheitsgesetz 2.0, die KRITIS-Verordnung und die NIS-Richtlinie.

Wie lange gilt das Siegel Premium Partner Healthcare?

Obwohl die Arbeit im Gesundheitswesen viel von den Systemhäusern abverlangt, kommt das Siegel Wetzel zufolge bei den Eset-Partnern gut an. Schließlich können sie sich damit von der Konkurrenz abheben.

Eset unterstützt die Healthcare-Partner mit Beratungsleistungen zu den IT-Sicherheitskonzepten und den Lösungen, Pre-Sales, Unterstützung bei Webinaren mit Endkunden, Marketing und Co-Branding.

Ab Ausstellung hat das Siegel eine maximale Gültigkeit von zwei Jahren, sofern der Partner weiterhin die Voraussetzungen erfüllt.

(ID:47476031)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH