Rechner runterfahren. Patientenbefunde persönlich überbringen. Zurück zum Krankenhausbetrieb der 80er Jahre. Unvorstellbar? Auf diese Weise musste ein Krankenhaus in Deutschland im vergangenen Jahr seinen Betrieb umstellen nachdem sein Netzwerk durch den Trojaner Locky lahmgelegt wurde. Die Schadsoftware wurde durch einen infizierten E-Mail-Anhang ins System geschleust und verschlüsselte sämtliche Daten, sodass der digitale Austausch von Patientendaten unmöglich wurde.

In diesem Blogbeitrag wollen wir uns mit dem Thema Daten- und IT-Sicherheit im Gesundheitswesen beschäftigen, nachdem wir in einem früheren Beitrag das Thema Datenschutz im Gesundheitswesen beleuchtet haben.

Medizinische Einrichtungen weltweit beliebtes Ziel für Cyberangriffe

Immer wieder sind medizinische Einrichtungen weltweit Angriffsziel von Hackern. Erst in diesem Jahr mussten Britische Krankenhäuser ihr IT-System für zwei Tage aufgrund einer Cyberattacke herunterfahren. Der Krankenhausbetrieb wurde im normalen Ablauf behindert und 2.800 Patiententermine mussten abgesagt werden.

Bereits in der 2015 von KPMG veröffentlichten Studie „Health Care and Cyber Security“ gaben 80% der CIOs, CTOs, Sicherheits- & Compliance-Managern an, dass Systeme in ihren Betrieben in den vergangenen 12 Monaten angegriffen wurden. Drei Viertel sind der Meinung das unbefugte Eindringen in ihr IT-System entdecken zu können – d.h. 25% wissen gar nicht, dass sie ein Problem haben und nur etwa die Hälfte sieht sich im Stande sich zu verteidigen nachdem sie erkannt haben, dass sie kompromittiert wurden.

Für 2017 wird ein Rekordjahr für Cyberangriffe auf den Gesundheitssektor erwartet. Krankenhäuser z.B. sind angreifbar über vernetzte medizinische Geräte und merken lange Zeit gar nicht, dass sich ein Eindringling immer weiter im System ausbreitet. Zudem werden mittelgroße Gesundheitseinrichtungen öfters Ziel von Cyberkriminellen werden.

Wie dringen Cyberkriminelle ein und wie können sich medizinische Einrichtungen schützen?

Gründe für, aus Sicht der Angreifer, erfolgreiche Hacks, sind oft mangelnder Virenschutz, unzureichender oder fehlender Netzwerk-Schutz (Firewall, Port Security) oder veraltete Betriebssysteme. Meist fehlt es zudem an einem Verantwortlichen der eine allumfassenden IT-Sicherheitsinfrastruktur aufbauen, überwachen und managen kann.

Zahlreiche Zugriffe sind auch auf den unbedarften Umgang mit IT-Geräten zurückzuführen. Das fehlende Bewusstsein und zu wenig Kenntnisse über Sicherheitsrisiken im Umgang mit digitalen Geräten öffnet Angreifern Tür und Tor. Oft ist es auch der Faktor Zeit, der Mitarbeiter dazu verleitet - bewusst oder unbewusst - gegen Compliance-Regeln zu verstoßen. Hat sich diese unerlaubte Arbeitsweise (auch als Schatten-IT bezeichnet) einmal etabliert, ist sie sehr schwer wieder aus dem Arbeitsalltag zu verbannen.

Um gegen diese Unzulänglichkeiten anzugehen, muss ein Umdenken stattfinden und Geld in Schulungen für Mitarbeiter zum Thema IT-Sicherheit am Arbeitsplatz erfolgen und in eine grundlegende IT-Sicherheit wie Anti-Schadsoftware-Tools, Firewalls und Verschlüsselungssoftware investiert werden – so werden letztendlich neben Ärzten in Zukunft auch IT-Administratoren das Leben von Patienten retten.

Gesetze und relevante Regularien für Datensicherheit im Gesundheitswesen

Die Anforderungen an die IT-Sicherheit im Sektor Gesundheit sind in Gesetzen und Regularien festgehalten.

In Deutschland fordert das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz“) ein Mindestniveau für die IT-Sicherheit von den Betreibern kritischer Infrastrukturen, zu denen auch Krankenhäuser zählen. Das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen („eHealth-Gesetz“) „enthält einen Fahrplan zur digitalen Vernetzung für die Selbstverwaltung und für die weiteren Schritte mit nutzbringenden Anwendungen.“ Es soll die Praxen und Krankenhäuser sicher miteinander verbinden und einen schnellen und einfachen Austausch von Daten zwischen Versicherten und ihren Behandelnden mittels einer digitalen Datenautobahn, der Telematikinfrastruktur gewährleisten.

Auf EU-Ebene wird die „Richtlinie für Netz- und Informationssicherheit“ (bisher noch nicht in Kraft getreten) EU-weite Mindestanforderungen an private und öffentliche Betreiber von Netzwerk- und Informationssystemen stellen. In den USA legt der Health Insurance Portability and Accountability Act (HIPAA) die Standards fest nach denen Gesundheitsinformationen von Patienten geschützt werden müssen.

Welche Konsequenzen haben Cyberattacken jetzt und in Zukunft

Durch die zunehmende Digitalisierung von Prozessen und Vernetzung von Geräten sind medizinische Einrichtungen besonders gefährdet. Bis dato zielten die Cyberattacken gegen das Gesundheitswesen immer darauf ab Profit zu machen. Krankenhäuser sollen zahlen, um Datenverlust und einen Imageschaden zu vermeiden.

Bisher sind noch keine Personenschäden durch von außen manipulierte Geräte bekannt. Jedoch wurde mit Probehacks bereits praktisch nachgewiesen, dass Infusionspumpen oder Narkosegeräte gekapert und von unbefugten Dritten gesteuert werden können, d.h. die Dosierung gedrosselt oder ganz eingestellt werden kann mit verheerenden Folgen für den Patienten.

Die Genesung der Patienten hängt nicht mehr nur von ausgezeichnetem medizinischen Personal ab, sondern auch immer mehr davon, wie medizinische Einrichtungen personell und technisch im Bereich der IT-Sicherheit aufgestellt sind. Krankenhäuser sollten einen Verantwortlichen haben, der Schwachstellen im System ausmachen und schnellstmöglich beheben kann, um so keine bzw. die kleinstmögliche Angriffsfläche für Cyberattacken zu bieten.

Der elektronische Austausch von Daten bietet stets solch eine Angriffsfläche. Für den Betrieb in Kliniken, Krankenhäusern, Arztpraxen etc. ist er jedoch unerlässlich. Durch den Einsatz entsprechender Softwarelösungen wie z.B. Cryptshare wird das Risiko kompromittiert zu werden, auf ein Minimum beschränkt.

Wie kann Schadsoftware in die IT-Systeme medizinischer Einrichtungen eingeschleust werden?

  • infizierte E-Mail-Anhänge
  • Sicherheitslücke im Webbrowser
  • Datenaustauschdienste wie Dropbox
  • Phishing Attacken
  • Schadprogramme: Ransomware wie Erpresser-Trojaner
  • nicht geschulte/unbedarfte Mitarbeiter
  • vernetzte medizinische Geräte
  • infizierte USB-Sticks