Die COVID-19-Pandemie hat gezeigt, wie anfällig die Gesundheitsstrukturen sind: Da war der Cyberangriff gegen die Bayerische Krankenhausgesellschaft (BKG), deren Mailserver im Dezember 2021 mit einer Schadsoftware infiziert wurde; da gab es Hackerangriffe auf den Medizin Campus Bodensee und das Klinikum in Bad Säckingen. Solche Attacken wiegen schwer – denn es dauert im Durchschnitt 28 Tage, bis die normalen Aktivitäten fortgesetzt werden können. Doch was macht Krankenhäuser heute noch so anfällig?
Die Anfälligkeit der Gesundheitseinrichtungen ist keine Überraschung und bereitet Experten schon seit Jahren Sorgen. Denn ein Cyberangriff im Gesundheitswesen kann letztlich über Leben und Tod eines Patienten entscheiden.
Grundsätzlich ist der Umgang mit Gesundheitsdaten in Österreich und Deutschland durch einem strenges Gesetzeskorsett geregelt. Spezifische Regelungen gelten darüber hinaus für den Gesundheitsdatenschutz. Neben der nationalen Ebene gelten auch die europäischen Cybersicherheitsvorschriften wie die NIS-Richtlinie, die DSGVO oder der Cybersecurity-Act. Aber sind die europäischen und nationalen Maßnahmen wirklich ausreichend?
Begehrtes Ziel
Trotz dieser Initiativen scheinen Gesundheitseinrichtungen immer noch ein begehrtes Ziel für Cyberkriminelle zu sein. Einer der Gründe: Die langsame Erneuerung des IT-Equipments. Vielerorts sind obsolete Maschinen im Einsatz, wodurch sich Cyberkriminelle häufig Zugang zur Krankenhausinfrastruktur verschaffen können.
Anders als das technische Equipment für Unternehmen aus anderen Branchen, wo man in der Regel IT-Geräte innerhalb von fünf Jahren ersetzt, haben im Krankenhaus eingesetzte Geräte einen Lebenszyklus von 15 Jahren. Es handelt sich um veraltete Maschinen, die nur in Kombination mit älteren Betriebssystemen betrieben werden können. So ist es nicht verwunderlich, dass Systeme wie Windows XP, das seit 2014 nicht mehr unterstützt wird, und manchmal sogar noch betagtere Windows-Versionen, für die es keine Sicherheits-Patches mehr gibt, verwendet werden. Das stellt eine beträchtliche Sicherheitslücke dar. Darüber hinaus legt die für Hersteller obligatorische CE-Kennzeichnung der Systeme dem Gesundheitssektor massive Einschränkungen auf, darunter zum Beispiel, dass keine Änderung an der Software der Geräte vorgenommen werden darf: Schon die bloße Aktualisierung mit Sicherheits-Patches führt zum Verlust der CE-Kennzeichnung. Um die Risiken von veralteten Betriebssystemen zu vermeiden, muss die Strategie zum Schutz von EDV- oder IT-nahen Geräten flexibel sein und sowohl einen Plan zur Gewährleistung der Betriebskontinuität und Disaster-Recovery als auch Failover-Verfahren umfassen.
Zur angemessenen Absicherung der IT-Ressourcen in Krankenhäusern ist es außerdem empfehlenswert, das Netzwerk zu segmentieren und Zero-Trust-Modelle zu implementieren. Bei letzteren werden der Zugang, die Identität und die Berechtigungen an jedem Netzzugangspunkt und direkt auf dem Gerät überprüft – unabhängig davon, ob es sich um eine feste oder mobile Arbeitsstation handelt. Damit der Zero-Trust-Ansatz wirksam ist, muss er die Identifizierung von Benutzern und Geräten, die Multi-Faktor-Authentifizierung und die Zugangsverwaltung einschließen. Da der Grad des Vertrauens, der jedem Benutzer gewährt wird, je nach Art des verwendeten Geräts, der Art der auf dem Computer installierten Software und der Aktualität des Geräts variiert, müssen die Sicherheitslösungen für Arbeitsgeräte das gebotene Sicherheitsniveau an den jeweiligen Nutzungskontext anpassen. Die Lösung „Stormshield Endpoint Security“ (SES) ist dafür ein hervorragendes Beispiel.
Optimierung anstatt Sicherheit
Nicht zuletzt stellt auch das Krankenhauspersonal eine Risikoquelle dar. Das Bewusstsein für Cybersicherheitsthemen ist hier noch zu begrenzt, als dass die Mitarbeitenden in der Lage wären, Cyberrisiken vorherzusehen und zu vermeiden. Die IT-Abteilung selbst, die in Krankenhäusern oft unterbesetzt ist, konzentriert sich in erster Linie auf die Optimierung der Infrastrukturen für die schnelle Übermittlung von Informationen zwischen den Abteilungen. Dabei vernachlässigt sie manchmal die Segmentierung der Netze und die Absicherung der einzelnen Geräte mit Lösungen, die deren CE-Zertifizierung oder Leistung nicht beeinträchtigen. Unter diesen Bedingungen kann sich ein Ransomware-Angriff leicht ausbreiten und die gesamte Infrastruktur lahmlegen, sodass das Krankenhauspersonal, das keinen Zugang mehr zu Daten und Diagnosen hat, dazu gezwungen ist, auf Papier- bzw. analoge Methoden zurückzugreifen. Das wiederum wirkt sich negativ auf die Fähigkeit aus, eine angemessene Behandlung zu gewährleisten.
Veraltete Geräte, unzureichendes Risikobewusstsein, Personalmangel: In den Krankenhäusern gibt es noch viele Probleme zu lösen, um eine wirksame IT-Sicherheit für eine so wichtige Infrastruktur zu gewährleisten. Die Gründe für die Anfälligkeit des Sektors sind jedoch komplex und beruhen auf strukturellen Problemen und Einschränkungen aufgrund der Zertifizierung von Maschinen, die nicht innerhalb weniger Monate gelöst werden können. Um technische Erbsünden zu beseitigen, Personalprobleme zu lösen und die Angriffsfläche zu verringern, muss der Gesundheitssektor daher schnell handeln und Krankenhäuser in sichere digitale Räume transformieren. Dabei kann die Branche auf die Unterstützung durch europäische Regulierungsbehörden und nationale Regierungen vertrauen.
