Die digitale Vernetzung in Kliniken sowie der Einsatz von mobilen Endgeräten erhöhen die Angriffspotenziale. Darauf sind Krankenhäuser nicht hinreichend vorbereitet, haben kaum ausreichenden Frühwarnsysteme oder verfügen nicht über geeignete Gegenmaßnahmen. Aufgrund der Organisationsstruktur, einer hohen Endpunktkomplexität und Technologiesättigung, sind Krankenhäuser ein leichtes Ziel für Cyberangriffe. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) bietet Informationsangebote.
lSchwachstellen der Cybersicherheit
Drei Ursachen können bei Healthcare identifiziert werden: Erstens der Einsatz einer Vielzahl medizinischer Geräte, die als gefährdet eingestuft werden. Zweitens eine bislang unzureichende Sensibilisierung des Personals beim Umgang mit digitalen Arbeitsmitteln. Drittens ein geringes Budget zur Cyberabwehr, das sich zwischen 1 bis 2 Prozent für ihre IT im Krankenhaus bemisst. In anderen Sektoren liegt der Durchschnittswert jedoch bei 4 bis 10 Prozent. Die mangelnden Ressourcen in diesem Bereich führen dazu, dass veraltete Systeme im Einsatz sind, keine Mittel für Sicherheitsmaßnahmen zur Verfügung stehen oder Sicherheitslücken zu spät geschlossen werden.
lWiderstandsfähigkeit stärken
Auf organisationaler Ebene müssen Schwachstellen aufgedeckt, Frühwarnindikatoren entwickelt sowie Sicherheitsstandards definiert werden.
Die Berufung eines Managers für IT-Sicherheit ist in jeder Klinik anzustreben, mit weitreichenden Durchgriffsrechten und Entscheidungsbefugnissen. Auf personeller Ebene tragen folgende Maßnahmen zur Verringerung der Verwundbarkeit bei. Die Ausarbeitung eines ausführlichen Cybersicherheitsplans, die Schaffung engagierter Teams zur Gefahrenabwehr sowie die Etablierung einer Schutzrichtlinie innerhalb der Organisation. Regelmäßige Schulungsangebote sind eine konkrete Handlungsempfehlung, um die Mitarbeitenden für die genannten Maßnahmen zu sensibilisieren. Eine optimale Stakeholder-Abstimmung gewährleistet in diesem Zusammenhang, dass verschiedene Interessengruppen effektiv aufeinander abgestimmt sind. In Kliniken ist darauf zu achten, dass medizinisches und pflegerisches Personal keine widersprüchlichen Anweisungen befolgen müssen. Auf der technischen Ebene ist die Reduktion der Endpunktkomplexität entscheidend. Hierbei wäre unter anderem der Umstieg auf Cloud-Hosting Dienste oder ein Erkennungssystem für nicht autorisierte Geräte im Netzwerk denkbar.
Die besondere Rolle der Kliniken als kritische Infrastruktur (§ 8a i. V. m. § 2 Abs. 10 Nr. 1 BSI-Gesetz) erfordert einen expliziten Nachweis, dass Maßnahmen zur Widerstandsfähigkeit gewährleistet werden. Die Einhaltung der IT-Sicherheit nach dem Stand der Technik ist regelmäßig gegenüber dem BSI nachzuweisen. Mit Inkrafttreten der Datenschutzgrundverordnung 2018 wurden höhere Bußgelder bei Verstößen definiert. Demnach könnten bis zu 20 Mio. Euro Strafzahlung (Art. 83 EU-DSGVO) drohen, wenn Datenschutzvorschriften verletzt werden.
Fazit
Die Digitalisierung des Gesundheitswesens bringt große Potentiale mit dem Einsatz innovativer, intelligenter Systeme mit sich. Damit diese Systeme auch zielführend in der Gesundheitsversorgung eingesetzt werden können, ist gleichzeitig ein effektives Cybersicherheitsmanagement der Leistungserbringer notwendig. Die Angriffe auf Kliniken haben die Verwundbarkeit gezeigt und welcher wirtschaftliche Schaden entstehen kann. Die dauerhafte Sensibilisierung der internen Stakeholder sowie eine enge Abstimmung dieser ist einer der entscheidenden Erfolgsfaktoren. Zudem sollte die Endpunktkomplexität reduziert werden, indem Dienstleister mit entsprechendem Know-how in die Cyberabwehr einbezogen werden.
ENISA: Sicherheitskultur für EU-weite Informationsnetze
Die Aufgabe der ENISA besteht darin, in der EU die erforderliche hochgradige Netz- und Informationssicherheit zu gewährleisten, indem sie einzelstaatlichen Behörden und den EU-Institutionen fachkundige Ratschläge zur Netz- und Informationssicherheit erteilt, als Forum für den Austausch bewährter Verfahren fungiert und Kontakte zwischen EU-Institutionen, staatlichen Behörden und Unternehmen erleichtert. Gemeinsam mit den EU-Institutionen und den staatlichen Behörden strebt die ENISA danach, eine Sicherheitskultur für EU-weite Informationsnetze zu entwickeln.
Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) aktualisiert regelmäßig ihre Leitlinien im Umgang mit Informationssystemen sowie zu zahlreichen weiteren Themenfeldern, wie der Vertragsgestaltung von Cloud-Diensten oder zu Zertifizierungsverfahren. Die Durchführung von Penetrationstests ist ein zielführendes Instrument zur Identifikation von Schwachstellen.
Quelle: ENISA
Foto: Adobe Stock / song_about summer
