IT-Sicherheit in Krankenhäusern: „Nicht auszudenken, was passiert, wenn Hacker ganze Systeme übernehmen“
A&W RedaktionCyberangriffe auf Krankenhäuser sind besonders erschreckend, weil die Auswirkungen mitunter sogar lebensbedrohlich für Patienten sein können. Nach solchen Angriffen wird von den Verantwortlichen meist mehr Geld gefordert, um die IT in Kliniken besser zu schützen. Aber wären Finanzspritzen das Allheilmittel?
Rico Barth* hat in verschiedenen Krankenhäusern nicht nur die IT, sondern auch die Cybersecurity auf den neuesten Stand gebracht. Im folgenden Interview spricht er über Risiken für die Krankenhaus-IT, Gesetzeslücken und Lösungsansätze.
Warum sind gerade Krankenhäuser leichte Opfer für IT-Angriffe? Hinkt bei diesen Institutionen der digitale Schutz noch besonders hinterher?
Krankenhäuser sind nun mal grundsätzlich offene Gebäude, die jeder ohne Weiteres betreten kann. In Gerichten und Gefängnissen gibt es Personenkontrollen und andere Sicherheitsmaßnahmen. In der Industrie zum Beispiel lag lange Zeit der Fokus auf der Optimierung der Produktionsprozesse und erst jetzt, im Zuge von Industrie 4.0, nehmen die Verantwortlichen die IT-Sicherheit in der gesamten Prozesskette ins Visier. In Kliniken liegt dafür der Schwerpunkt auf Medizinequipment. Die IT ist einfach nur Mittel zum Zweck, sie muss funktionieren und macht eigentlich nur auf sich aufmerksam, wenn es mal Probleme gibt. Der Blick auf die IT sollte sich auch hier wandeln: hin zu einer proaktiven, vorausschauenden Umgangsweise. Da stehen wir noch ganz am Anfang.
Im Juli 2019 mussten sich DRK-Krankenhäuser in Rheinland-Pfalz und im Saarland gegen einen Hackerangriff zur Wehr setzen. Das komplette Netzwerk des Verbands Süd-West war betroffen. Die Gesundheitsministerin von Rheinland-Pfalz forderte daraufhin mehr Budget auch für kleinere Krankenhäuser, um in die IT-Sicherheit investieren zu können. War das der richtige Schritt?
Ja, das war sogar ein notwendiger Schritt. Größere Kliniken, die in einem Verbund organisiert sind, beschäftigen sich schon lange mit dem Thema IT-Sicherheit und sind daher hier besser aufgestellt: Sie haben mehr IT-Budget, geschultes Personal und das Management ist sensibilisiert, nicht zuletzt durch die vermehrten Hackerangriffe auf Krankenhäuser in den letzten Jahren. Kleinere Häuser investieren spürbar weniger. Oft, weil ihnen schlicht das Geld fehlt und sie eh schon an allen Ecken und Enden sparen. Bisher waren bei Angriffen immer sensible Daten beziehungsweise die Verwaltung betroffen. Gar nicht auszudenken, was passiert, wenn Hacker ganze Systeme übernehmen. Da sind sehr schnell Leben in Gefahr.
Größere Krankenhäuser müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) über ihre Maßnahmen gegen Cyberkriminalität und Angriffe gegen ihre Systeme Bericht erstatten, erhalten aber auch mehr Geld für die IT-Sicherheit. Wie gestaltet sich die Situation für kleinere Krankenhäuser?
Kleinere Krankenhäuser in ländlichen Gegenden sind häufig die einzige Notfallversorgung für eine ganze Region. Sie stellen ebenso eine ‚kritische Infrastruktur‘ dar wie größere und besser ausgestattete Kliniken. Allerdings stuft der Gesetzgeber sie momentan nicht so ein. Sie müssen weniger strenge IT-Auflagen erfüllen, aber ihnen fehlen eben auch Ressourcen. Im Kampf gegen Cyberkriminalität sind sie deshalb absolut benachteiligt. Vorschriften zur IT-Sicherheit sollten für alle Häuser gelten. In der TÜV-Cybersecurity-Studie, die der TÜV-Verband Anfang November vorgestellt hat, wird auch genau das und sogar mehr eingefordert: eine Ausweitung des IT-Sicherheitsgesetzes auf alle Bereiche der Wirtschaft, über die kritische Infrastruktur hinaus. Knapp zwei Drittel der befragten Unternehmer waren sich einig, dass gesetzliche Bestimmungen entscheidend für die IT-Sicherheit in Deutschland sind. Und natürlich sollten die kleineren Krankenhäuser dann auch entsprechend vom Staat mit Geld ausgestattet werden. Warum sollte man hier einen Unterschied machen? Am Menschen wird in jeder Klinik gearbeitet, egal ob klein oder groß, in der Stadt oder auf dem Land.
Müssen Sie bei Krankenhäusern höhere Sicherheitsstandards einhalten als bei anderen Kunden? Stellt Sie das als IT-Dienstleister vor besondere Herausforderungen?
Security Management Systeme direkt einzubinden, ist heute absolut gefordert und nicht mehr nur ‚nice to have‘. Mit unserer Software KIX geht es uns darum, sämtliche Prozesse unserer Kunden zu unterstützen und bei Bedarf zu automatisieren, sei es IT, Haustechnik oder auch Medizingerätetechnik. Ziel ist es dabei, alle Bereiche mit individuellen Lösungen abzudecken – eine homogene IT-Monokultur wäre sogar eher eine Gefahr. Jede Klinik verfügt schon jetzt über eine gewachsene IT-Infrastruktur. Es bietet sich an, diese spezialisierten Lösungen über offene Schnittstellen miteinander kommunizieren zu lassen und nahtlos in ein IT-Sicherheitsmanagement zu integrieren, natürlich nach dem BSI-Standard.
Was können Krankenhäuser präventiv tun, um sich vor Cyberangriffen zu schützen? Sofort und mittelfristig?
Die Anforderungen des IT-Grundschutz vom BSI decken schon recht viel ab. Sie müssen nur durchgesetzt werden, was ja auch sukzessiv erfolgen kann. Der spezielle Sicherheitskatalog B3S der Deutschen Krankenhausgesellschaft gibt Kliniken aller Größen einen Fahrplan an die Hand, um diesen Umbruch zu bewältigen. Wichtig ist zum Beispiel die sogenannte Härtung des Serversystems. Das System muss so schlank wie möglich gehalten werden, um Hackern keine Einstiegsmöglichkeiten zu bieten. Der Einsatz von Open Source Software ist dabei unbedingt zu empfehlen, denn so kann jeder Nutzer den Quellcode einsehen und auf Risiken und Schwachstellen überprüfen. Jedes Krankenhaus behält damit seine digitale Souveränität. Selbstverständlich gehört auch eine Einbeziehung des Personals dazu: Nicht nur im Alltag müssen sie souverän mit der IT umgehen können, sie müssen genau wie auf Brände und Naturkatastrophen auch auf Cyberangriffe vorbereitet werden.
Medizinische Geräte werden immer häufiger in Netzwerke integriert, so dass etwa Ärzte aus anderen Krankenhäusern Geräte übers Internet steuern können. Sobald sie einmal zertifiziert sind, dürfen sie aber nicht verändert werden, das heißt, auch keine Sicherheitsupdates ausführen. Wie können Krankenhäuser ihre Anti-Viren-Software trotzdem aktuell halten?
Sicherheitsupdates sind wichtige Vorsorgemaßnahmen in der IT. Da wir digital immer komplexer zusammenwachsen, gilt das auch für alle Bereiche, die durch IT miteinander verbunden sind. Mit diesem Dilemma hat zum Beispiel auch Tesla zu kämpfen, sie dürfen eigentlich keine Sicherheitsupdates an ihren Autos durchführen. Die zentrale Bundesbehörde muss die bisherigen Regelungen dringend auf den Prüfstand stellen und an aktuelle technische Entwicklungen anpassen.
Obwohl Einigkeit darüber herrscht, dass IT-Sicherheit immens wichtig ist, scheint es für die meisten Menschen, auch dem Krankenhauspersonal, eher ein lästiges Thema zu sein. Erleben Sie das auch so?
Zum Teil zumindest. In den letzten Jahren hat da sicherlich ein Umdenken begonnen, aber manchmal wünsche ich mir, dass es schneller geht. Der Chefarzt ist und bleibt natürlich in erster Linie Mediziner. Wenn der sich ein neues Röntgengerät anschafft, denkt er nicht automatisch daran, was das für Arbeitsprozesse in der IT-Abteilung und beim technischen Personal in Gang setzt. So ein Röntgengerät hat ja auch einen Netzwerkanschluss und muss in ein System eingepflegt werden, die Mitarbeiter müssen eingewiesen, das Gerät muss gewartet und das Ganze muss regelmäßig wiederholt werden. Und natürlich alles mit lückenloser Dokumentation. Hier können wir mit KIX, unserem Service Management System, helfen, strukturierte Arbeitsabläufe und eine sichere Betriebsführung zu ermöglichen. So wird die Dokumentation quasi automatisch erledigt. Spätestens wenn der Auditor seinen jährlichen Besuch im Krankenhaus abstattet und eine 1A-Dokumentationslage vorfindet, werden alle Krankenhausmitarbeiter dankbar für diesen Service sein.
*Rico Barth ist Inhaber der c.a.p.e. IT GmbH. Das Unternehmen mit Stammsitz in Chemnitz wurde 2006 als Spin Off eines international tätigen IT-Systemhauses gegründet. c.a.p.e. IT beschäftigt aktuell knapp 50 ITIL-zertifizierte Mitarbeiter an zwei Standorten und engagiert sich in den Branchenverbänden der Open Source Business Alliance, BITKOM und itSMF.