Schwerpunkte

Gesundheitswesen im Visier

IT-Sicherheit für das smarte Krankenhaus

17. Januar 2020, 11:35 Uhr   |  Cornelia Meier | Kommentar(e)

IT-Sicherheit für das smarte Krankenhaus
© Rohde & Schwarz Cybersecurity

Die Digitalisierung des Gesundheitswesens verspricht viele Vorteile, ruft aber auch kriminelle Hacker auf den Plan. Um sich vor ihren Attacken zu schützen, brauchen Krankenhäuser neue IT-Sicherheitskonzepte und neuartige IT-Sicherheitslösungen.

Die Gesundheitsbranche wird immer digitaler. Patienten können Rechnungen für die Krankenkasse bereits heute in Apps hochladen oder Termine über die Webseiten von Ärzten vereinbaren. Vernetzte medizinische Geräte vereinfachen die Zusammenarbeit von Ärzten.

Gesundheitsminister Jens Spahn möchte ab 2021 sogar eine digitale Patientenakte einführen, die Patientendaten gebündelt bereitstellt. Das Ziel: Doppeluntersuchungen vermeiden oder Unverträglichkeiten bei Arzneimitteln besser beachten. All diese Maßnahmen sollen den Patienten den Alltag erleichtern und ihr Vertrauen steigern, machen das Gesundheitswesen aber gleichermaßen anfällig für Cyberattacken.

Längst keine Seltenheit mehr: Angriffe auf den Gesundheitssektor

Der “Worst Case“ ist kurz vor Weihnachten im Klinikum Fürth eingetreten: Operationen mussten ausgesetzt und die Patientenaufnahme gestoppt werden. Der Grund war ein Hackerangriff auf das IT-System. Offensichtlich war ein Virus über eine E-Mail eingeschleust worden. Vorsorglich wurde daher die Internetverbindung des Klinikums getrennt, um eine Verbreitung der Schadsoftware zu verhindern. Und das ist bei weitem kein Einzelfall. Denn das “smarte Krankenhaus“ wird immer attraktiver für kriminelle Hacker. Eine Studie der Roland-Berger-Stiftung ermittelte, dass 2017 bereits 64 Prozent aller Kliniken in Deutschland Opfer eines Cyberangriffs waren – Tendenz steigend.

Krankenhäuser sind gegen Angriffe häufig nicht ausreichend geschützt. Der Grund: der enorme Finanzdruck. Hinzu kommt, der zunehmende Einsatz sogenannter Webapplikationen, die die Zusammenarbeit in der Gesundheitsbranche flexibler gestalten und dadurch auch die Leistungen für den Patienten verbessern sollen. Medizinische Unterlagen und Berichte lassen sich so beispielsweise digital für jede berechtigte Person zugänglich machen – und zwar sowohl vom PC als auch von Tablet, Smartphone oder anderen vernetzten Geräten.

Das Problem: Webanwendungen sind für Hacker leicht zu knacken und bieten ihnen so neue Angriffsmöglichkeiten. Denn das Web – speziell die Protokolle HTTP und HTTPS – wurde nicht für so komplexe Anwendungen konzipiert, wie sie heute üblich sind. Schwachstellen lassen sich daher bei der Entwicklung kaum vermeiden.

Cyberkriminelle nutzen dies gnadenlos aus. Datenbanken zählen dabei zu den beliebtesten Angriffszielen von Hackern. Denn sie halten riesige Mengen von persönlichen Daten in konzentrierter Form bereit. Bei der Speicherung in Cloud-Diensten kommt hinzu, dass nicht nur Benutzer und Administratoren Zugriff auf die Daten haben. Auch Cloud-Provider könnten sich Zugriff verschaffen, wenn Daten ungeschützt und unverschlüsselt abliegen. Finden Cyberkriminelle einen Zugang zu diesen Daten, lassen sich damit Patienten und Krankenhäuser erpressen.

Mangelnde IT-Sicherheit – trotz gesetzlicher Auflagen

Porträtfoto: Falk Herrmann, CEO, Rohde & Schwarz Cybersecurity
© Rohde & Schwarz Cybersecurity

Autor Dr. Falk Herrmann ist CEO von Rohde & Schwarz Cybersecurity.

Dabei ist der Schutz gesundheitsbezogener Daten streng geregelt. Diese unterliegen der EU-weiten Datenschutz-Grundverordnung (EU-DSGVO). Auch das „E-Health-Gesetz“ gibt einen konkreten Fahrplan für den Aufbau einer sicheren Telematik-Infrastruktur und die Einführung digitaler medizinischer Anwendungen vor. Im Falle von Datenverlusten oder Verstößen drohen erhebliche Sanktionen.

Ergänzend gilt für größere Kliniken mit mindestens 30.000 vollstationären Fällen pro Jahr die “Verordnung zur Bestimmung kritischer Infrastrukturen (KRITIS)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese Kliniken müssen seit Juli 2019 ein Mindestniveau an Informationssicherheit nachweisen. Doch auch für kleinere Häuser empfehlen sich diese Vorgaben als Leitfaden für mehr Versorgungssicherheit. Insbesondere auch deshalb, weil sie schon bald unter die KRITIS-Richtlinien fallen könnten. Für das IT-Sicherheitsgesetz 2.0 ist geplant, den derzeitigen Schwellenwert von 30.000 abzusenken. Dann besteht in den betroffenen Kliniken akuter Handlungsbedarf.

Neben rechtlichen und wirtschaftlichen Konsequenzen kann ein erfolgreicher Angriff auch zu einem beträchtlichen Imageschaden und Vertrauensverlust bei den Patienten führen. Das ist aber nicht alles: Bricht im schlimmsten Fall die gesamte gesundheitliche Versorgung durch einen Cyberangriff zusammen, bedroht das unsere ganze Gesellschaft.

Der richtige “Impfschutz“ ist gefragt

Um solch ein Schreckensszenario zu verhindern, ist für Gesundheitseinrichtungen ein geeignetes IT-Sicherheitskonzept entscheidend. Dafür ist es zunächst erforderlich, dass IT-Spezialisten prüfen, ob die Daten gut abgesichert sind und an welcher Stelle nachgebessert werden muss. Auf dieser Grundlage können Gesundheitseinrichtungen dann konkret handeln und individuell geeignete Sicherheitstechnologien anschaffen. Diese Technologien sollten stets von vertrauenswürdigen Herstellern stammen, die BSI-zertifizierte Lösungen anbieten und gleichzeitig auf neue Sicherheitsansätze setzten, mit denen sich auch Angriffe stoppen lassen, gegen die herkömmliche Lösungen machtlos sind. Dazu gehören unter anderem die folgenden Maßnahmen.

Webanwendungen absichern: Um Webapplikationen zu schützen, brauchen Krankenhäuser eine “Web Application Firewall“. Sie verhindert, dass Webanwendungen zum Einfallstor für Schadsoftware werden, indem sie den Datenaustausch zwischen Endgeräten und Webservern analysiert. Dazu prüft die “Web Application Firewall“ alle eingehenden Anfragen an den Webserver sowie dessen Antworten und verhindert den Zugriff, sobald bestimmte Inhalte als verdächtig eingestuft werden.

Daten in der Cloud schützen: IT-Sicherheitslösungen für die Cloud müssen in der Lage sein, die Daten unabhängig von ihrem Speicherort vor dem Zugriff Dritter zu schützen. Technisch umsetzen lässt sich das mit einem datenzentrischen Sicherheitsansatz. Dabei werden die Daten verschlüsselt, fragmentiert und regulatorisch konform gespeichert. Daten, die Europa nicht verlassen dürfen, werden konfigurierbar zum Beispiel in einem europäischen Rechenzentrum abgelegt, obwohl sie virtualisiert in der Cloud vorliegen. Egal, wo ein Angreifer Zugriff erlangt: Er kann keinen großen Schaden mehr anrichten. Diese Art der Speicherung ist nicht nur sicher, sie entspricht auch den strengen Datenschutz- und Sicherheitsvorgaben der EU-DSGVO.

Übertragungswege absichern: Zu einer IT-Sicherheitsstrategie im Gesundheitswesen gehört auch die Absicherung der Übertragungswege – sei es zwischen einem Gerät im Krankenhaus und dem Hausarzt eines Patienten oder dem Krankenhaus und einem Rechenzentrum. Die Herausforderung: Die Übertragung muss trotz hochsicherer Verschlüsselung effizient bleiben. Dazu gibt es spezielle Verschlüsselungsprodukte, die einen hohen Schutz bieten, ohne dass die Übertragungsleistung herabgesetzt wird.

Angriffe aus dem Internet abwehren: Da 70 Prozent der Malware über den Browser in das Netzwerk kommen, ist es ein wichtiger Schritt für Krankenhäuser, Angriffe aus dem Internet abzuwehren. Am gezieltesten ist das möglich mit einem virtuellen Browser. Dieser ist von allen anderen Anwendungen und sensitiven Daten auf dem PC hermetisch getrennt. Eine Malware-Attacke läuft ins Leere, weil sie im Browser “eingesperrt“ bleibt und keinen Zugriff auf das PC-Betriebssystem bekommt. Der Angreifer auf das Klinikum Fürth hätte keine Chance gehabt, wenn ein solcher virtualisierter Browser zum Einsatz gekommen wäre.

Viel mehr als Sicherheit

Mit der Umsetzung dieser Maßnahmen erfüllen Gesundheitseinrichtungen nicht nur wichtige Regularien und Vorschriften – sie bilden auch die Grundlage für weitere digitale Entwicklungen.

Nur mit einer effizienten IT-Sicherheit können IT-basierte Prozesse eingesetzt werden, ohne dass dabei die Datensicherheit auf dem Spiel steht. Das wiederum wirkt sich auch langfristig positiv auf das Vertrauen der Patienten in das „smarte“ Krankenhaus der Zukunft aus.


Dr. Falk Herrmann, CEO, Rohde & Schwarz Cybersecurity

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Die unterschätzte Gefahr
Kein persönlicher Service ohne Authentifizierung
Bereit für die Gefahren der digitalisierten Welt
Samsung-SSD mit Fingerabdruckscanner
Sicherheit und Mobilität in Einklang bringen

Verwandte Artikel

Rohde & Schwarz Cybersecurity