IT-Sicherheit in Krankenhäusern

Safety und Security müssen zusammenwachsen

Veröffentlicht 20.04.2020 04:30

Wenn Cyberangriffe auf Krankenhäuser in die Schlagzeilen geraten, ist die öffentliche Bestürzung groß. Diese Vorfälle sind besonders erschreckend, weil die Auswirkungen
konkret und leicht fassbar sind. Und mitunter sogar lebensbedrohlich. Nach solchen Angriffen fordern die Verantwortlichen meist Geld, um die IT in Kliniken besser zu
schützen. Aber wären Finanzspritzen das Allheilmittel? Rico Barth hat mit seinem Unternehmen, dem IT-Dienstleister cape IT aus Chemnitz, schon in mehreren Krankenhäusern
nicht nur die IT aufgebaut, sondern gleichzeitig auch die Cybersecurity auf den neuesten Stand gebracht. Im Interview spricht er über Risiken für die Krankenhaus-IT,
Gesetzeslücken und Lösungsansätze.

Warum sind gerade Krankenhäuser leichte Opfer für IT-Angriffe? Hinkt bei diesen Institutionen der digitale Schutz noch besonders hinterher?
Krankenhäuser sind nun mal grundsätzlich offene Gebäude, die jeder ohne Weiteres betreten kann. In Gerichten und
Gefängnissen gibt es Personenkontrollen und andere Sicherheitsmaßnahmen. Aber der Zweck einer Klinik erfordert eben radikale Offenheit, die trotzdem abgesichert werden
muss. Management, Chefärzte und das gesamte Personal müssen dafür sensibilisiert werden. In der Industrie zum Beispiel lag lange Zeit der Fokus auf der Optimierung der
Produktionsprozesse und erst jetzt, im Zuge von Industrie 4.0, nehmen die Verantwortlichen die IT-Sicherheit in der gesamten Prozesskette ins Visier. In Kliniken liegt dafür der
Schwerpunkt auf Medizinequipment. Die IT ist einfach nur Mittel zum Zweck, sie muss funktionieren und macht eigentlich nur auf sich aufmerksam, wenn es mal Probleme gibt.
Der Blick auf die IT sollte sich auch hier wandeln: hin zu einer proaktiven, vorausschauenden Umgangsweise. Da stehen wir noch ganz am Anfang.
Im Juli 2019 mussten sich DRK-Krankenhäuser in Rheinland-Pfalz und im Saarland gegen einen Hackerangriff zur Wehr setzen. Das komplette Netzwerk des Verbands Süd-West
war betroffen. Die Gesundheitsministerin von Rheinland-Pfalz forderte daraufhin mehr Budget auch für kleinere Krankenhäuser, um in die IT-Sicherheit investieren zu können.

War das der richtige Schritt?
Ja, das war sogar ein notwendiger Schritt. Größere Kliniken, die in einem Verbund organisiert sind, beschäftigen sich schon lange mit dem Thema IT-Sicherheit und sind daher
hier besser aufgestellt: Sie haben mehr IT-Budget, geschultes Personal und das Management ist sensibilisiert, nicht zuletzt durch die vermehrten Hackerangriffe auf Krankenhäuser
in den letzten Jahren. Kleinere Häuser investieren spürbar weniger. Oft, weil ihnen schlicht das Geld fehlt und sie eh schon an allen Ecken und Enden sparen. Bisher waren bei
Angriffen immer sensible Daten beziehungsweise die Verwaltung betroffen. Gar nicht auszudenken, was passiert, wenn Hacker ganze Systeme übernehmen. Da sind sehr
schnell Leben in Gefahr.

Größere Krankenhäuser müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) über ihre Maßnahmen gegen
Cyberkriminalität und Angriffe gegen ihre Systeme Bericht erstatten, erhalten aber auch mehr Geld für die IT-Sicherheit. Wie gestaltet
sich die Situation für kleinere Krankenhäuser?


Kleinere Krankenhäuser in ländlichen Gegenden sind häufig die einzige Notfallversorgung für eine ganze Region. Sie stellen ebenso eine ‚kritische Infrastruktur‘ dar wie größere
und besser ausgestattete Kliniken. Allerdings stuft der Gesetzgeber sie momentan nicht so ein. Sie müssen weniger strenge IT-Auflagen erfüllen, aber ihnen fehlen eben auch
Ressourcen. Im Kampf gegen Cyberkriminalität sind sie deshalb absolut benachteiligt. Vorschriften zur IT-Sicherheit sollten für alle Häuser gelten. In der TÜV-Cybersecurity-
Studie, die der TÜV-Verband Anfang November vorgestellt hat, wird auch genau das und sogar mehr eingefordert: eine Ausweitung des IT-Sicherheitsgesetzes auf alle Bereiche
der Wirtschaft, über die kritische Infrastruktur hinaus. Knapp zwei Drittel der befragten Unternehmer waren sich einig, dass gesetzliche Bestimmungen entscheidend für die
IT-Sicherheit in Deutschland sind. Und natürlich sollten die kleineren Krankenhäuser dann auch entsprechend vom Staat mit Geld ausgestattet werden. Warum sollte man hier
einen Unterschied machen? Am Menschen wird in jeder Klinik gearbeitet, egal ob klein oder groß, in der Stadt oder auf dem Land.

Müssen Sie bei Krankenhäusern höhere Sicherheitsstandards einhalten als bei anderen Kunden? Stellt Sie das als IT-Dienstleister vor besondere Herausforderungen?


Security Management Systeme direkt einzubinden, ist heute absolut gefordert und nicht mehr nur ‚nice to have‘. Mit unserer Software KIX geht es uns darum, sämtliche Prozesse
unserer Kunden zu unterstützen und bei Bedarf zu automatisieren, sei es IT, Haustechnik oder auch Medizingerätetechnik.
Ziel ist es dabei, alle Bereiche mit individuellen Lösungen abzudecken – eine homogene IT-Monokultur wäre sogar eher eine Gefahr. Jede Klinik verfügt schon jetzt
über eine gewachsene IT-Infrastruktur. Es bietet sich an, diese spezialisierten Lösungen über offene Schnittstellen miteinander kommunizieren zu lassen und nahtlos in ein ITSicherheitsmanagement
zu integrieren, natürlich nach dem BSI-Standard.

Was können Krankenhäuser präventiv tun, um sich vor Cyberangriffen zu schützen? Sofort und mittelfristig?
Die Anforderungen des IT-Grundschutz vom BSI decken schon recht viel ab. Sie müssen nur durchgesetzt werden, was ja auch sukzessiv erfolgen kann. Der spezielle Sicherheitskatalog
B3S der Deutschen Krankenhausgesellschaft gibt Kliniken aller Größen einen Fahrplan an die Hand, um diesen Umbruch zu bewältigen. Wichtig ist zum Beispiel die sogenannte Härtung des Serversystems.Das System muss so schlank wie möglich gehalten werden, um Hackern keine Einstiegsmöglichkeiten zu bieten. Der Einsatz von Open Source Software ist dabei unbedingt zu empfehlen, denn so
kann jeder Nutzer den Quellcode einsehen und auf Risiken und Schwachstellen überprüfen. Jedes Krankenhaus behält damit seine digitale Souveränität. Selbstverständlich gehört auch eine Einbeziehung des Personals dazu: Nicht nur im Alltag müssen sie souverän mit der IT umgehen können, sie müssen genau wie auf Brände und Naturkatastrophen auch auf Cyberangriffe vorbereitet werden.

Medizinische Geräte werden immer häufiger in Netzwerke integriert, so dass etwa Ärzte aus anderen Krankenhäusern Geräte übers Internet steuern können. Sobald sie einmal zertifiziert
sind, dürfen sie aber nicht verändert werden, das heißt, auch keine Sicherheitsupdates ausführen. Wie können Krankenhäuser ihre Anti-Viren-Software trotzdem aktuell halten?


Sicherheitsupdates sind wichtige Vorsorgemaßnahmen in der IT. Da wir digital immer komplexer zusammenwachsen, gilt das auch für alle Bereiche, die durch IT miteinander verbunden
sind. Mit diesem Dilemma hat auch zum Beispiel auch Tesla zu kämpfen, sie dürfen eigentlich keine Sicherheitsupdates an ihren Autos durchführen. Die zentrale Bundesbehörde muss die bisherigen Regelungen dringend auf den Prüfstand stellen und an aktuelle technische Entwicklungen anpassen.

Waren Sie vor besondere Herausforderungen gestellt, um bei Ihren Kunden Medizingeräte in die IT-Administration einzubinden? Können Sie da inzwischen auf eine ‚Schablone‘ zurückgreifen
oder ist jeder Fall individuell?


Mittlerweile sind medizinische Geräte und IT-Equipment stärker verwoben als noch vor einigen Jahren. Früher war bei einem Medizingerät nur die Safety zu bedenken, also der Schutz von Mensch und Umwelt vor physischem Schaden. Jetzt müssen wir auch die Security, insbesondere die IT-Security, gewährleisten. Safety und Security wachsen zusammen, genauso wie IT, Medizingerätetechnik und Gebäudeautomation. Das birgt Risiken, aber vereinfacht auch die Konfiguration und die Überwachung. Da Medizingeräte nach identischen Standards kategorisiert sind, haben wir mittlerweile eine gute Blaupause entwickelt, um die
Medizingeräteverwaltung einzurichten. Und das sowohl in den Abläufen wie zum Beispiel der Mitarbeitereinweisung als auch der Dokumentation, also den Geräte-Logbüchern.

Obwohl Einigkeit darüber herrscht, dass ITSicherheit immens wichtig ist, scheint es für die meisten Menschen, auch dem Krankenhauspersonal, eher ein lästiges Thema zu
sein. Erleben Sie das auch so?


Zum Teil zumindest. In den letzten Jahren hat da sicherlich ein Umdenken begonnen, aber manchmal wünsche ich mir, dass es schneller geht. Der Chefarzt ist und bleibt natürlich in erster Linie Mediziner. Wenn der sich ein neues Röntgengerät anschafft, denkt er nicht automatisch daran, was das für Arbeitsprozesse in der IT-Abteilung und beim technischen Personal in Gang setzt. So ein Röntgengerät hat
ja auch einen Netzwerkanschluss und muss in ein System eingepflegt werden, die Mitarbeiter müssen eingewiesen, das Gerät muss gewartet und das Ganze muss regelmäßig wiederholt werden. Und natürlich alles mit lückenloser Dokumentation. Hier können wir mit KIX, unserem Service Management System, helfen, strukturierte Arbeitsabläufe und eine sichere Betriebsführung zu ermöglichen. So wird
die Dokumentation quasi automatisch erledigt. Spätestens wenn der Auditor seinen jährlichen Besuch im Krankenhaus abstattet und eine 1A-Dokumentationslage vorfindet, werden alle Krankenhausmitarbeiter dankbar für diesen Service sein.


Über cape IT:
Die c.a.p.e. IT GmbH ist Hersteller und Dienstleister der eigenen Open Source Service Software KIX, die vielseitigen Einsatz vor allem im technischen Service & IT Service Management
findet. Dabei liegt der Fokus auf der individuellen Unterstützung bei Analyse, Implementierung und Anpassung an kundenspezifische Anforderungen. Das Unternehmen mit
Stammsitz in Chemnitz wurde 2006 als Spin Off eines international tätigen IT-Systemhauses gegründet. c.a.p.e. IT beschäftigt aktuell knapp 50 erfahrene, ITIL-zertifizierte Mitarbeiter an zwei Standorten
und engagiert sich in den Branchenverbänden der Open Source Business Alliance, BITKOM und itSMF.