Cybersecurity im Krankenhaus

Hacking der medizinischen Systeme verhindern

Cybersecurity im Krankenhaus

Das Thema IT-Sicherheit ist inzwischen allgegenwärtig – und das ganz sicher nicht ohne Grund. Die Gefahren steigen durch die stetig voranschreitende Vernetzung von Gesellschaft und Systemen kontinuierlich. Dies belegen auch die offiziellen Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) für die vergangenen zwei Jahre: Die Anzahl der bekannten Schadprogramm-Varianten hat im Zeitraum vom 1. Juni 2019 bis zum 31. Mai 2020 um mehr als 3 Millionen auf rund 117 Millionen zugenommen. Dies entspricht einer unfassbaren großen Zahl von 322.000 neuen Malware-Programmen pro Tag.

Dass davon nicht nur Privatpersonen betroffen sind, zeigt die Statistik des BSI in Bezug auf Kritische Infrastrukturen (KRITIS): Während im Jahr 2018 145 relevante Meldungen zu verzeichnen waren, waren es 2019 bereits 252 und 2020 schon 415. Dabei verlagert sich die Bedrohung immer mehr auf infrastrukturkritische Bereiche wie den Gesundheitssektor. Mindestens 24 Millionen Patientendatensätze waren im Jahr 2020 frei im Internet zugänglich. In einem konkreten Fall wurden durch Ransomware zentrale Systeme eines Trägerverbundes angegriffen und die Versorgungsleistung hierdurch signifikant negativ beeinflusst.

Die Politik hat mit verschiedenen Maßnahmen auf diese Entwicklung reagiert. In einem ersten Schritt wurden Arbeitskreise mit Sicherheitsexperten ins Leben gerufen und in einem zweiten Schritt gesetzliche Maßnahmen formuliert. Mit der Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit wurde ein neuer gesetzlicher Rahmen für den Schutz hochsensibler Gesundheits- und Patientendaten geschaffen. Das Krankenhauszukunftsgesetz (KHZG) sorgte nicht nur für erhebliche finanzielle Mittel für die Digitalisierung der Krankenhausinfrastruktur, sondern auch dafür, dass diese Mittel in nicht unwesentlichem Umfang, das heißt zu mindestens 15 %, in Maßnahmen zur IT-Sicherheit fließen müssen. Dies muss bei Antragsstellung und in der späteren Verwendung explizit nachgewiesen werden.

Was sind aber die aktuellen spezifischen Bedrohungen im Gesundheitssektor und wie kann ihnen begegnet werden? Aktuell ist die bereits genannte Ransomware eine der relevantesten Bedrohungen: Bei einem Angriff wird eine Schadsoftware installiert, die für eine Verschlüsselung von Daten sorgt, die ausschließlich gegen Zahlung von Lösegeld wieder rückgängig gemacht werden kann. Über sogenannte Botnetze erlangen Angreifer die Kontrolle über ein System und können Daten einsehen oder entwenden oder sonstige massive Schäden im Unternehmensnetzwerk anrichten.

Gerade im Hinblick auf vernetzte Medizinsysteme stellt dies eine besondere Gefahr dar, denn durch die steigende und auch gewünschte Digitalisierung des Gesundheitswesens erhöhen sich auch die Gefahren für den Einfall unerwünschter Programme und menschlicher Hacker. Beispielhaft sei der weit verbreitete DICOM-Standard für bildverarbeitende Systeme genannt, der unter anderem genutzt wird, um die benötigte Interoperationalität der Module sicherzustellen. Dateien, die hier ausgetauscht werden, enthalten neben den reinen Bilddateien in der Regel Daten wie Vor- und Nachname, Geburtsdatum und Geschlecht und oftmals auch sensible Informationen wie Befund- und Diagnosedaten. Jedes medizinische Bild, das innerhalb eines Krankenhauses aufgenommen wird, wird in der Regel automatisch auf einem PACS-Server gespeichert. Ärzte aus verschiedenen Abteilungen können so ohne weiteren Dateiaustausch untereinander von ihrem Client-PC aus auf die Datensätze zugreifen. Eine in der Praxis oft bestehende Sicherheitslücke ist, dass diese PACS-Systeme nur unzureichend gegen einen nicht-authentifizierten Zugriff abgesichert sind. Angreifer, die sich im internen Krankenhausnetzwerk befinden, können dann ohne Authentifizierung auf interne PACS-Server zugreifen, um so sämtliche Bilder und mit ihnen verknüpfte Patientendaten zu stehlen. Dies geschieht in der Regel mit Hilfe einer bestimmten Suchmaschine, die Dienste, Router und Server sowie deren IP-Adresse identifiziert. In diesem Zusammenhang haben auch Standardthemen der IT-Sicherheit wie ein angemessener Kennwortschutz und ein ausreichendes Berechtigungskonzept eine immense Bedeutung.

Wie vernetzte medizinische Geräte vor kriminellen Angriffen geschützt werden müssen, ist weder in Deutschland noch EU-weit verpflichtend geregelt. In Nordamerika hingegen sind bereits entsprechende Standards etabliert (UL 2900-1, UL 2900-2-1). Während der UL 2900-1 als Grundstandard allgemeine Produktanforderungen beschreibt, richtet sich der UL 2900-2-1 als branchenspezifischer Standard direkt an den Gesundheitsmarkt und formuliert Voraussetzungen, die von einem Hersteller erfüllt werden müssen, bevor ein neues Medizingerät auf den Markt gebracht wird (zum Beispiel die Durchführung von Penetrationstests und die Etablierung eines Patch-Management-Systems).

Praxis-Hinweis

Häuser, die unter die Kritis-Verordnung und damit unter § 8a BSIG fallen, müssen bereits heute alle zwei Jahre eine externe Prüfung nach Vorgaben des BSI durchführen lassen und diese Ergebnisse auch fristgerecht melden. Andere Vorschriften wie das ­Patientendatenschutzgesetz oder § 75b SGB V führen die verpflichtende Umsetzung von Standards bisher ohne explizite Nachweispflicht ein. Im Schadensfall steht jedoch das jeweilige Krankenhaus in der Pflicht nachzuweisen, dass angemessene Maßnahmen ergriffen worden sind. Die Solidaris empfiehlt daher eine GAP-Analyse der jeweiligen Risiken und die Umsetzung daraus folgender Maßnahmen. Ebenso empfehlen wir regelmäßige externe Penetrations- oder Red-Team-Hackings, um die Sicherheit auch extern von Hacking-Profis bestätigen oder Schwachstellen aufdecken zu lassen.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
StB
Thomas Heithausen
+49 (0)2203 8997-116
 
Manager im Geschäftsbereich IT-Beratung

Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

Veröffentlichungen in der Fachpresse
2021

  • Auf die Größe kommt es an: Health&CareManagement 7/2021, S. 60-61