IT-Sicherheit in Kliniken: Mehr Digitalisierung macht es Cyber-Kriminellen leichter
IT-Sicherheit in Kliniken: Mehr Digitalisierung macht es Cyber-Kriminellen leichter unknown
Ein erhöhtes Bedrohungspotenzial durch den Krieg in der Ukraine, immer straffer organisiertere Cyberkriminalität und eine durch Digitalisierung bedingt wachsende Angriffsfläche – nie war das Risiko für elaborierte Cyberattacken auf Krankenhäuser so hoch wie in der heutigen Zeit. Nicht nur, weil die Krankenhäuser in entsprechenden Kreisen unter dem Ruf leiden, Lösegelder für die Freigabe verschlüsselter Daten und Systeme zu zahlen – sondern auch, weil die prekäre Lage der IT-Sicherheit deutscher Gesundheitseinrichtungen in einschlägigen Kreisen längst bekannt ist.
Zwischen fünf und sieben Prozent des IT-Budgets sollen gängigen Best Practices zufolge in die Cyber Security fließen. In Deutschland investieren Krankenhäuser aber nur einen Bruchteil davon tatsächlich in entsprechende Strukturen. Das spüren auch die Angestellten: Bei einer Studie des Digitalverbands Bitkom aus dem Jahr 2022 gaben 74 Prozent der befragten Ärztinnen und Ärzte an, dass Krankenhäuser in Deutschland ihrer Meinung nach häufig nicht genügend vor Cyberangriffen geschützt sind.
Regulatorisches Umfeld gewinnt an Dynamik
Um das Risiko gefährlicher, IT-bedingter Betriebsunterbrechungen zu minimieren und damit die Versorgungssicherheit der Bürgerinnen und Bürger sicherzustellen, gibt der Gesetzgeber eine Reihe von Mindeststandards für die IT-Sicherheit vor. Auf europäischer Ebene bildet die neue Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS 2) die aktuelle Grundlage dafür. Mit der Richtlinie gibt die EU eine Reihe von Pflichten vor, die dem Schutz von Systemen und Netzwerken kritischer Infrastrukturen dienen.
Die NIS-2-Richtlinie ist noch nicht in deutsches Recht umgesetzt worden. Trotzdem gibt es schon heute verbindliche Vorgaben für die IT-Sicherheit in Krankenhäusern in Deutschland. Gemäß Paragraf 8a BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) treffen die Betreiber kritischer Infrastrukturen umfangreiche Pflichten zum Schutz ihrer informationstechnischen Systeme.
Davon sind Krankenhäuser betroffen, die die in der Kritis-Verordnung genannten Schwellenwerte von 30 000 vollstationären Fällen pro Jahr überschreiten. Problematisch: Solche harten Schwellenwerte führen im Zweifel zu Verzerrungen – etwa, wenn durch Freihaltepauschalen nicht die vollen Behandlungskapazitäten der Krankenhäuser erfasst werden. Ein Grund mehr dafür, dass IT-Sicherheit auch ohne direkte Auflagen ganz oben auf die Agenda der jeweiligen Geschäftsleitungen gehört.
Sobald die NIS-2-Richtlinie in deutsches Recht umgesetzt ist, werden Krankenhausbetreiber – unabhängig vom Erreichen der Schwellenwerte – betroffen sein, wenn sie mehr als 50 Mitarbeitende beschäftigen oder der Jahresumsatz oder die Bilanzsumme zehn Millionen Euro überschreiten.
Branchenspezifischer Sicherheitsstandard (B3S)
Unterstützung und Orientierung bei der Umsetzung der Regularien bietet derweil der branchenspezifische Sicherheitsstandard (B3S) für Krankenhäuser. Er definiert Maßnahmen und Vorkehrungen, die Krankenhäuser für eine resiliente Informationstechnik treffen müssen. Der Standard hilft den Verantwortlichen, die gesetzlichen Vorgaben umzusetzen. Darüber hinaus kann er kleineren Häusern bei der Umsetzung einer belastbaren IT-Sicherheitspraxis helfen, dient er doch der Patientensicherheit im Allgemeinen.
Kritis-Betreiber müssen stets sicherstellen, dass die Folgen eines Hackerangriffes nicht die Versorgungssicherheit gefährden.
Obwohl sich der „B3S Krankenhaus“ an etablierten Sicherheitsstandards wie der ISO 27001 orientiert, ersetzt eine entsprechende Zertifizierung nicht die Erfüllung der Vorgaben aus dem BSI-Gesetz, das durch das IT-Sicherheitsgesetz 2.0 im Jahr 2021 für die Zertifizierung an entscheidenden Stellen geändert wurde. Denn während Normen und Zertifizierungen vor allem innerbetriebliche Faktoren betrachten, adressiert die Kritis-Gesetzgebung die Versorgungssicherheit der Bürgerinnen und Bürger. Daraus leiten sich auch die konkreten Pflichten ab: Während ein gewöhnliches Unternehmen beispielsweise abwägen kann, ob es in eine neue Firewall investiert oder nicht, müssen Kritis-Betreiber stets sicherstellen, dass die Folgen eines Hackerangriffes nicht die Versorgungssicherheit gefährden. Um diese Risiken zu vermeiden, müssen sie Investitionen in Cybersicherheit tätigen.
Identifizierung von Bedrohungen
Das gilt auch für die sogenannten Systeme zur Angriffserkennung (SzA), die Kritis-Betreiber ab dem 1. Mai nachweisen müssen. Dabei handelt es sich nach Definition des BSI um organisatorisch-technische Lösungen, die „geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“. Diese sollen dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen einzuleiten.
Für Krankenhäuser bedeutet das: deutlich aufrüsten – zum Beispiel, indem sie ein Security Information and Event Management (SIEM) implementieren. Dabei handelt es sich um eine Lösung, die kontinuierlich Daten aus IT, Netzwerk und operativen Betriebstechnologien (OT) sammelt, um Sicherheitsereignisse aus verschiedenen Quellen in Echtzeit zu analysieren. Dadurch kann sie Bedrohungen automatisch erkennen und Alarm auslösen, um eine schnelle Reaktion auf Sicherheitsvorfälle zu ermöglichen. Der Nachweis der SzA muss ab dem 1. Mai alle zwei Jahre erfolgen. Die Qualität der eingesetzten Systeme gemäß Paragraf 8a Absatz 1a BSIG lässt sich von erfahrenen Kritis-Prüfern mit Hilfe eines Umsetzungsgradmodells bewerten und in einer durchgeführten Nachweisprüfung testieren.
Um die Prüfung der SzA – und auch darüber hinaus – müssen sich Kritis-Betreiber selbstständig kümmern, sonst drohen hohe Strafen. Darüber hinaus kann das BSI zu jeder Zeit – mit oder ohne Anlass – Sonderprüfungen vornehmen. Weil die Prüfungsqualität je nach Dienstleister stark schwanken kann, sollten betroffene Krankenhausbetreiber auf etwaige Warnsignale achten. So deuten beispielsweise unverhältnismäßig niedrige Kosten oder sehr knappe Abschlussberichte auf eine Prüfungstiefe hin, die den BSI-Standards im Zweifel nicht standhält.
Digitalisierung sorgt für stetig wachsende Angriffsfläche
Weil sich die Krankenhaus-IT immer mehr von einer unterstützenden Rolle zu einer betriebskritischen Funktion wandelt, können Betreiber die Sicherheit ihrer Patientinnen und Patienten nur über eine sichere Digitalisierung gewährleisten. Schon jetzt arbeitet das medizinische Fachpersonal mit modernen OP-Robotern zusammen oder nutzt Augmented-Reality-Headsets, um wichtige Vitalfunktionen während der Operation im Blick zu behalten.
Dieser Digitalisierungsgrad wird in Zukunft deutlich fortschreiten und damit auch die Angriffsfläche für Cyberkriminelle erhöhen. Dazu trägt nicht zuletzt auch der große Anteil von OT (Operational Technology; Betriebstechnologie) in Krankenhäusern bei, die durch die Digitalisierung zunehmend mit der IT vernetzt wird. Beispiel: Die Steuerungssysteme von medizinischen Geräten und der Gebäudeinfrastruktur, die als Einfallstore für gezielte Cyberangriffe dienen können oder auch Schwachstellen für zufällige Kollateral-Infektionen mit Schadsoftware bieten. Damit werden für die Cyber Security wiederum Normen aus dem Umfeld der Prozess- und Automatisierungsindustrie relevant, zum Beispiel die IEC 62443. Dabei handelt es sich um eine Reihe von internationalen Standards für die sichere Konfiguration und den Betrieb von industriellen Kontroll- und Automatisierungssystemen. Diese Standards definieren die Anforderungen an die Cybersicherheit, um die Systeme angemessen vor Angriffen auf IT-Systeme und Prozesse zu schützen.
Wie in anderen Branchen werden auch in deutschen Kliniken und Krankenhäusern immer mehr digitale, intelligente und automatisierte Dienste wichtige Aufgaben übernehmen. Ein hohes Schutzniveau für diese Infrastrukturen ist daher längst auch eine Frage der Patientensicherheit. Resiliente IT-Systeme werden damit zu einem integralen Bestandteil der Geschäftsmodelle und sollten dementsprechend nicht als reines IT-Compliance- oder Regulierungsthema missverstanden werden. Vielmehr braucht es ein Umdenken in den Geschäftsleitungen, Cyber Security auch aus eigener Motivation heraus möglichst robust aufzustellen.
André Glenzer und Jörg Asma (beide PwC Deutschland) 2023. Thieme. All rights reserved.