IT-Sicherheit im Gesundheitswesen Security Services in Krankenhäusern

Autor: Melanie Staudacher

Moderne IT-Sicherheit ist für Krankenhäuser unentbehrlich, damit das Personal die Patienten versorgen kann. Systemhäuser können zur Sicherheit der Patienten und deren Daten beitragen und gleichzeitig von dem Geschäft profitieren.

Firmen zum Thema

Die IT-Sicherheit in Krankenhäusern und Kliniken muss mit der Digitalisierung Hand in Hand gehen.
Die IT-Sicherheit in Krankenhäusern und Kliniken muss mit der Digitalisierung Hand in Hand gehen.
(Bild: WavebreakmediaMicro - stock.adobe.com)

Fahrlässige Tötung wurde den Akteuren des Cyberangriffs auf die Uniklinik Düsseldorf vorgeworfen. In der Nacht des 10. Septembers 2020 hatte sich die Klinik von der Notfallversorgung abgemeldet und keine Patienten mehr aufgenommen. Aufgrund des Ausfalls der Systeme musste die Düsseldorfer Klinik ein Rettungsteam abweisen, welches eine schwer erkrankte Patientin versorgte. Der Rettungswagen fuhr deshalb weiter nach Wuppertal, wo die Behandlung erst eine Stunde später stattfand. Die Patientin verstarb. Mittlerweile wurde die Anklage gegen die Täter fallen gelassen. Die Patientin wäre wohl auch bei schnellerer Behandlung in der Uniklinik in Düsseldorf verstorben, wie der WDR berichtete. Nach den Kriminellen, die rund 30 Server der Klinik verschlüsselten, wird weiterhin gesucht.

Zwar stellt dieser Fall eine absolute Extremsituation dar, sie zeigt dennoch auf, wie wichtig die IT-Sicherheit im Gesundheitswesen ist. Schließlich war die Universitätsklinik in Düsseldorf 13 Tage lang einsatzunfähig. Abgesehen davon, dass die Klinik in dieser Zeit keine Patienten versorgen konnte, verliert ein Krankenhaus wie jedes Unternehmen viel Geld, wenn es seine Leistungen nicht erbringen kann. Daneben kommen Kosten für Gegenmaßnahmen durch externe Dienstleister und Forensiker auf die Einrichtungen zu.

Die Sicherheit kritischer Informationen und die unterbrechungsfreie Patientenversorgung dürfen dem ständigen Kostendruck nicht zum Opfer fallen. Hier geht es nicht nur um Geld, sondern um Gesundheit.

Marc Niederberghaus, Director Business Development bei Controlware


Der Status Quo der IT-Sicherheit in Krankenhäusern

„Unzureichend“, antwortet Nadine Reinsdorf, Key Account Managerin beim Systemhaus WBS IT-Service, auf die Frage, wie Krankenhäuser hinsichtlich der IT-Security aufgestellt sind. Zwar seien sich die Einrichtungen bewusst, dass sie eine effiziente IT-Sicherheit brauchen, sagt Sven Lieven, Geschäftsführer des Systemhauses Asapcom. Gerade wirtschaftlich schwächeren Unternehmen fehlen meist das Geld und die Ressourcen, um Sicherheitslücken zu schließen. Weiteres Hindernis für die Digitalisierung ist, dass das Personal in vielen Einrichtungen noch analog arbeitet. „Die Digitalisierung ist in den Kliniken auf sehr unterschiedlichem Niveau. Manche arbeiten größtenteils digital, andere wollen noch Klebezettel und Farbmarkierungen auf Papierakten nutzen“, sagt Reinsdorf. Dabei ist die Akzeptanz digitaler Mittel ein wichtiger Erfolgsfaktor.

Bildergalerie
Bildergalerie mit 6 Bildern

„Natürlich kann man jetzt argumentieren: Wenn ich keine IT habe, können auch meine Daten nicht verschlüsselt werden“, sagt Maik Wetzel, Strategic Business Development Director DACH beim Sicherheitshersteller Eset. „Aber das ist nicht effizient heutzutage.“ Muss zum Beispiel ein Patient in eine andere Praxis verlegt werden, wäre es sehr umständlich, ihm die Akte mit seinen Daten in Papierformat mitzugeben. „Digitalisierung muss immer mit der notwendigen IT-Sicherheit einhergehen“, mahnt Wetzel.

Um das umzusetzen, gibt es staatliche Anforderungen für die IT-Sicherheit in Kliniken in der Kritis-Verordnung, dem IT-Sicherheitsgesetzes 2.0 und der NIS-Richtlinie. Als Motivation fördern Bund und Länder die Umsetzung der Digitalisierung im Rahmen des Krankenhauszukunftsfonds mit 4,3 Milliarden Euro. „Die meisten Gesundheitseinrichtungen, vor allem Krankenhäuser, in denen es um medizinische Bedürfnisse der Patienten und oftmals sogar um Leben und Tod geht, gehören zu den Kritischen Infrastrukturen, die besonders schützenswert sind. Das erhöht den öffentlichen Druck auf die Betreiber“, sagt Elodie Oberli, Territory Managerin beim Hersteller Wallix.

Anforderungen an die IT-Sicherheit im Gesundheitswesen

Für Krankenhäuser allein kaum umzusetzen, für Security-Dienstleister ein profitables Geschäftsfeld. Doch Security-Projekte im Gesundheitssektor sind umfangreicher als in klassischen Unternehmen, wie Marc Niederberghaus, Director Business Development beim Systemhaus Controlware, berichtet. Lösungen und Konzepte, die bei der klassischen Unternehmens-IT funktionieren, können nicht eins zu eins für das Gesundheitswesen übernommen werden. Verschiedene Endgeräte für die Versorgung, Patientenportale und elektronische Gesundheitsakten müssen im Zuge der Digitalisierung miteinander verbunden werden. Und das, ohne die etablierten Prozesse der Klinikmitarbeiter zu stören. Dazu kommt, dass es im Gegensatz zu IT-Endgeräten unzulässig ist, medizintechnische Geräte softwareseitig zu modifizieren, indem zum Beispiel Schutzsoftware installiert wird. Dadurch verlieren die Geräte ihre Zulassung. „Da keine Softwareinstallationen möglich sind, bleibt die Möglichkeit auf Netzwerkebene einzugreifen“, erklärt Paul Karrer, Geschäftsführer des Bereichs Enterprise Computing Solutions beim Distributor Arrow. Durch den eingeschränkten Zugang zum Netzwerk könnte es laut Karrer jedoch passieren, dass Medizintechnik nur noch eingeschränkt funktioniert. Deshalb müssen Systemhäuser viel technisches Knowhow aufbauen.

Sensible, persönliche Daten sind für Cyberkriminelle lukrativ. Die Klinikleitungen müssen reagieren. IT-Security ist zu einer Frage der Patientensicherheit geworden. Das gilt für alle Krankenhäuser.

Nadine Reinsdorf, Key Account Managerin beim Systemhaus WBS IT-Service

Aber auch, um die Krankenhäuser bei den Anträgen für Fördermittel zu unterstützen. Wollen Einrichtungen eine Förderung beantragen, müssen sie die IT-Security mitbedenken. Das Bundesamt für Soziale Sicherung gibt die Ziele für die Sicherheitskonzepte vor, von denen mindestens eines enthalten sein muss:

  • Prävention: Dazu gehören die Absicherung medizinischer Endgeräte, Zugriffskontrolle, Schwachstellenmanagement sowie Verschlüsselung mobiler Datenträger.
  • Detektion: Die Kliniken müssen in der Lage sein, Daten zu analysieren, um Angriffe zu erkennen. Dafür eigenen sich Security Operations Center, SIEM-Systeme (Security Information & Event Management) oder Intrusion Detection.
  • Mitigation: Des Weiteren benötigen die Einrichtungen automatisierte Backup-Systeme sowie einen lokalen Schadsoftwareschutz.
  • Awareness: Mitarbeiter müssen regelmäßig über die Cybergefahren aufgeklärt und geschult werden.

Die Rolle der Distribution im Healthcare-Bereich

Auf sich allein gestellt sind die Systemhäuser nicht. Sie bekommen Unterstützung von Herstellern von Sicherheitslösungen wie Wallix und von Distributoren wie Arrow. Wallix bietet Trainings, Online-Seminare und White Papers an, um mit den Partnern Knowhow für das Gesundheitswesen aufzubauen. Dazu erhalten die Partner technische Hilfe beim Proof of Concept, bei Pilotprojekten sowie bei der tatsächlichen Umsetzung. Arrow bietet den Partnern neben den passenden Technologien und Support auch Hilfe bei Marketingmaßnahmen und Kampagnen zur Lead-Generierung.

Sowohl für die Kliniken wie auch die Dienstleister bedeuten IT-Security und Digitalisierung eine Menge Arbeit. Doch letztendlich profitieren beide Seiten: die Systemhäuser erhalten eine Klientel, die sie nicht nur akut, sondern immerfort betreuen. Und die Einrichtungen können sich vor Cyberangriffen schützen und bleiben einsatzfähig und effizient. Ohne, dass Menschen in Gefahr geraten, wie bei dem Fall in Düsseldorf.

(ID:47547099)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH