Der blinde Fleck in puncto Sicherheit

OT-Systeme

Veröffentlicht 07.05.2021 08:30, kiw

Ihre IT-Sicherheit haben die meisten Kliniken inzwischen im Blick. Viele vernachlässigen aber die Operational Technology (OT), die Steuerungssysteme von medizinischen Geräten und der Gebäudeinfrastruktur. Das kann bei einem Hacker-Angriff ernste Folgen für das Krankenhaus und seine Patienten haben. Daher ist die OT-Security wichtiger Bestandteil der digitalen Sicherheit eines Hauses. Von Jörg Asma und Dr. Oliver Hanka, PwC Deutschland.

Der Angriff auf eine Münchner Klinik, bei dem sich Hacker Zugriff auf Patientendaten verschafften, oder die Cyberattacke auf das Universitätsklinikum Düsseldorf, bei dem Erpresser die Notfallversorgung stilllegten: Krankenhäuser rücken immer häufiger in das Visier von Cyberkriminellen. Vor einer angespannten Gefährdungslage im Gesundheitswesen warnen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Interpol. Im Fokus von Cyberkriminellen steht allerdings nicht nur die Informationssicherheit. Auch Operational Technology (OT), die Steuerungssysteme von medizinischen Geräten, technischen Anlagen und Gebäuden, können zum Angriffsziel werden. Viele Krankenhäuser sind sich dieser Gefahr nicht bewusst – mit der Folge, dass die Steuerungssysteme vieler Häuser anfällig für Angriffe von außen sind.

Diese neue Variante von Cyberangriffen kann gravierende Folgen haben. Im Ernstfall geht es dabei um das Leben von Menschen, etwa wenn in der Intensivmedizin Geräte ausfallen, Transportsysteme blockieren oder Belüftungssysteme nicht mehr arbeiten. Ein besonders sensibler Bereich für die Sicherheit von Patienten sind Schnittstellen zwischen der IT- und OT-Infrastruktur. Sie kommen dann zum Einsatz, wenn Daten
aus bildgebenden Verfahren an Dokumentations- und Kommunikationssysteme übertragen werden. OT-Systeme, die nicht mehr einwandfrei arbeiten, können damit zur Gefahr für den Patienten werden.

Oftmals fehlt ein Ansprechpartner für das Thema OT-Sicherheit

In vielen Kliniken zählen OT-Cyberrisiken zum blinden Fleck, weil es bisher kaum Angriffe auf diese Art von Infrastruktur gegeben hat. Es ist aber davon auszugehen, dass Cyberkriminelle die Steuerungssysteme von Krankenhäusern, die inzwischen hoch vernetzt arbeiten, künftig ins Visier nehmen – etwa für Lösegeldforderungen. Krankenhäuser stehen damit vor großen Herausforderungen, denn der Schutz der Informationssicherheit und sensibler Patientendaten bindet bereits viele Kräfte. Oftmals gibt es auch keine klare Verantwortlichkeit für dieses Thema, da der Zuständigkeitsbereich des Chief Information Security Officer (CISO) sich vielfach auf den IT-Bereich beschränkt.

Jörg Asma ist Partner bei PwC Deutschland und Experte für
die Themen Digitalisierung und Sicherheit im Krankenhaus.


Um Systeme und Geräte vor Angriffen aus dem Netz zu schützen, ist eine umfassende Sicherheitsstrategie dringend notwendig. Die Bundesregierung unterstützt Krankenhäuser bei diesem Ziel mit dem Krankenhauszukunftsgesetz und stellt zusammen mit den Ländern insgesamt 4,3 Milliarden Euro für Digitalisierungsprojekte bereit. Ein Schwerpunkt liegt dabei auf der Sicherheit: 15 Prozent der Mittel müssen in die Cybersicherheit fließen.

Drei Faktoren für sichere Systeme: Prozesse, Menschen und Technologie

Wie können sich Krankenhäuser am besten vor Angriffen auf ihre OT-Systeme schützen? Ein ganzheitliches Sicherheitskonzept umfasst immer drei Faktoren: Prozesse, Menschen und Technologie. Wird nur ein Faktor vernachlässigt, entstehen gravierende Sicherheitslücken. So bedarf es nicht nur einer zeitgemäßen Technologie, sondern auch einer gut ausgebildeten Belegschaft und ständig optimierter Prozesse, um OT-Systeme wirksam zu schützen. Krankenhäuser können in vier Schritten vorgehen, um eine Sicherheitsstrategie gegen OT-Cyberrisiken zu erstellen:

1 Die Gefahr verstehen: Im ersten Schritt geht es um das Bewusstsein, dass nicht nur die IT-, sondern auch die OT-Systeme eines Krankenhauses ins Visier von Angreifern geraten können. In dieser Phase nehmen Kliniken die Risiken und Schwachstellen in den Blick und entwickeln Gegenmaßnahmen – ein Prozess, in den auch die Krankenhausleitung eingebunden werden sollte.

2 Ein Zielbild für die OT-Security entwickeln: Anhand der Risiken ergeben sich die wichtigsten Fragen, die sich Krankenhäuser stellen sollten: Welche Gegenmaßnahmen müssen wir zunächst angehen? Welche Systeme sind nicht mehr verwertbar – welche dieser Altlasten müssen ausgetauscht werden? Wie kann die OT-Security unter eine Governance- und Managementstruktur gestellt werden?

3 Die OT-Security in die Cyber-Sicherheitsstrategie integrieren: Für den nächsten Schritt benötigen Krankenhäuser ein Cyberteam, das durch weitere Experten für Gesundheitstelematik, Medizintechnik, Gebäudeleittechnik und OT-Security ergänzt wird. Der CISO übernimmt die strategische Konzeption ebenso wie die Koordination. Aufgabe des Teams ist es, die wichtigsten Handlungsfelder zu den Steuerungssystemen in die allgemeine Cyber-Sicherheitsstrategie zu integrieren.

4 IT- und OT-Strategie finanzieren und umsetzen: Je nach Reifegrad der Cybersicherheit gilt es im letzten Schritt, die OT-Sicherheitsstrategie oder die gesamte IT- und OTSicherheitsstrategie umzusetzen. Welche Maßnahmen zuerst angegangen werden, kann sich nach Umfang, Auswirkungen, Kosten oder Umsetzungsgeschwindigkeit richten. Zur Finanzierung bieten sich Mittel aus dem Krankenhauszukunftsfonds
an.

Dr. Oliver Hanka ist Director bei PwC Deutschland im Bereich
Cyber Security & Privacy und Experte für OT- und IoT-Security.

Fazit: Krankenhäuser benötigen dringend eine Kultur der digitalen Sicherheit – und dazu gehört zwingend auch die OT-Security. Auf Ebene der Technologie beginnt es damit, dass Transparenz darüber hergestellt wird, welche Komponenten und Systeme überhaupt im Einsatz sind. Selten wird ein Register aller OT-Assets vorliegen, doch ist das eine Voraussetzung, um ein Bild der Risiken und notwendigen Maßnahmen zu erlangen. Im Anschluss müssen nicht nur Investitionen in die Technik getätigt werden, sondern auch in das Personal. Denn wer soll die Sicherheit von OT zukünftig betreuen? Dazu braucht es gut geschulte und wachsame Fachkräfte. Schließlich braucht es auch noch Prozesse, die für Sicherheit sorgen. Diese Prozesse greifen in viele nicht-technische Bereiche ein. Wird z.B. im Einkaufsprozess beachtet, wie es um die Sicherheit von Medizingeräten steht? Was ist mit Gebäudetechnik als Teil von Ausschreibungen für Neu- oder Umbauten? Sicherheit entsteht nie alleine in einer Abteilung oder Fachdisziplin, das gilt für die medizinische Versorgung genauso wie auch für die IT- und OT-Sicherheit.


Quelle: Krankenhaus-IT Journal, Ausgabe April 2021
Foto: Adobe Stock / dhermendratiwari


Lesen Sie mehr zum Thema "IT-Sicherheit"

Lesen Sie hier die neuesten Beiträge