Der digitale Patient Krankenhaus

Die Gesundheitsversorgung in Deutschland allgemein und Krankenhäuser im Speziellen stehen vor der Herausforderung, sich immer mehr zu einem digitalen Gesundheitssektor 4.0 zu entwickeln. Denn die bestmögliche Versorgung der Patienten beruht letztlich auch auf der zunehmenden Vernetzung von Medizingeräten, Verwaltungsprozessen, Anlagen und Anwendungen. Daten sollen schneller verfügbar sein, Managementsysteme organisieren die Patientenversorgung und IoT-Geräte in der medizinischen Versorgung liefern alle relevanten Informationen zu jeder Zeit auch in der Cloud quasi an jeden Ort. Damit lassen sich Vorgänge beschleunigen und die medizinische Versorgung Dank Datenaustausch individuell auf die Bedürfnisse der Patienten abstimmen. Die Kehrseite dieser digitalen Revolution ist dabei dieselbe, wie in anderen Sektoren auch – mehr Vernetzung bedeutet häufig auch mehr Angriffsvektoren für Cyberkriminelle.

Seit Ausbruch von Covid-19 ist weltweit eine Zunahme von Cyberattacken auf Gesundheitseinrichtungen und insbesondere Krankenhäuser zu beobachten. Es gibt eine Reihe von Bedrohungen, auf die sich Krankenhäuser einstellen sollten (Kasten). Im Oktober 2020 hat die US-amerikanische Cybersecurity & Infrastructure Security Agency vor einer erhöhten Bedrohungslage durch Ransomware-Angriffe auf Krankenhäusern in den USA gewarnt. Dem vorausgegangen war ein landesweiter erfolgreicher Angriff auf einen Anbieter von Krankenhaus- und Gesundheitsdienstleistungen, infolge dessen über 250 Einrichtungen betroffen waren.

Auch in Deutschland hat es vermehrt Vorfälle gegeben, ein tragischer ereignete sich im September 2020 an der Uni Klinik Düsseldorf. Dort wurden 30 Server der Uniklinik durch einen Angriff auf eine Sicherheitslücke verschlüsselt. Aufgrund des Ausfalls der Systeme verstarb eine Patientin, deren Rettungswagen umgeleitet werden musste. Bereits 2016 wurde ein Fall bekannt, bei dem das Neusser Lukaskrankenhaus durch einen Cyberangriff lahm gelegt worden war. Die Zahl der Angriffe auf Einrichtungen im Gesundheitswesen soll sich laut Bundesregierung von 2019 bis 2020 nahezu verdoppelt haben. US-Sicherheitsbehörden beobachten dabei auch eine Zunahme der Lösegeldforderungen, auch was die Summen betrifft. So wurden 2018 im Schnitt etwa 5.000 US-Dollar Lösegeld zur Entschlüsselung der Computersysteme verlangt, während 2020 bis zu 200.000 Dollar verlangt wurden, Tendenz bis zu Beträgen im Millionenbereich steigend.

Dass Krankenhäuser während der Pandemie und auch davor schon für Cyberkriminelle lukrative Ziele darstellen, hat mehrere Gründe. Das Gesundheitssystem in Deutschland ist einer der Kritis-Sektoren und dabei besonders sensibel. Da die Versorgung von Menschen im Mittelpunkt steht, ist eine hohe und zuverlässige Verfügbarkeit aller notwendigen Dienste unabdingbar. Dieser Anspruch stellt besondere Herausforderungen an die IT-Sicherheit, weswegen etwa das BSI einen eigenen Leitfaden „Risikoanalyse Krankenhaus-IT“ erstellt hat. Denn die Cyber-Risiken sind vergleichsweise hoch. IT-gestützte Prozesse finden sich heute überall in Krankenhäusern, von der Verwaltung bis hin zur digitalen Patientenakte. Gerade die Patientendaten stellen ein sehr hohes Gut dar, das es besonders zu schützen gilt, denn anders als etwa Kreditkarten ist ihre „Lebensdauer“ um ein vielfaches höher, da sich die Daten nicht einfach ändern lassen – es gibt kein Verfallsdatum. Aufgrund der Sensibilität der Daten einerseits und der gebotenen Versorgung andererseits sind Krankenhäuser daher eher geneigt, im Erpressungsfall zu zahlen.

Ein weiteres, generelles Problem betrifft häufig öffentlich zugängliche Hard- und Software-Schnittstellen. Ein konsequentes Zutrittsmanagement fehlt häufig, PCs oder medizinische Geräte in Krankenzimmern sind oftmals unbeaufsichtigt. Ebenso existiert vielerorts ein Mix aus verschiedenen IT-Komponenten, nicht immer mit der neuesten Software. Bei Medizingeräten ist das Problem, dass Updates zwar Sicherheitslücken schließen, damit aber auch eine erneute Zertifizierung des Geräts notwendig werden kann. Ferner sind Betriebssysteme, deren Pflege durch den Hersteller nicht mehr gewährleistet wird, Schwachstellen in jeder IT-Landschaft. Und schließlich mangelt es wie in anderen Branchen auch, häufig am notwendigen Fachpersonal. Gerade während der Pandemie ist aufgrund der außerordentlichen Belastung des Klinikpersonals das Thema IT-Sicherheit nicht unbedingt Top-Priorität. Cyberkriminelle können sich dies zur Nutze machen, etwa mit Phishing-Emails vom RKI oder anderen Behörden, Zugang zu Systemen zu erlangen, wenn die Aufmerksamkeit des Personals aufgrund des Stresses nachlässt.

Die EU-Agentur für Cybersicherheit (Enisa) hat die Entwicklung im Gesundheitssektor aufmerksam beobachtet und auf die steigenden Fallzahlen von Cyberkriminalität mit einer eigenen Leitlinie für Krankenhäuser reagiert. Diese ergänzt die bisherigen Kritis-Leitfäden und gibt den Verantwortlichen Best-Practice-Cases als Hilfestellung an die Hand. Die Cybersicherheit in Krankenhäusern soll durch drei Phasen verbessert werden. In der Planphase werden die mit einer neuen Beschaffung verbundenen Cybersicherheitsrisiken bewertet und die spezifischen Anforderungen an die Cybersicherheit für die neue Beschaffung werden festgelegt. Die Anforderungen müssen anschließend in der Beschaffungsphase in technische Spezifikationen und Produktsicherheitsmerkmale umgesetzt und die Verantwortlichkeiten der Lieferanten für die Produkte geklärt und in die Verträge aufgenommen werden.

Die Palette der Dinge, die ein Krankenhaus benötigt und die aus Sicht der Cybersicherheit relevant sind, ist groß. Im Prinzip jegliche Art von Software, sei es für Geräte, Datenbanken, Verwaltung oder Dienstleistung fällt darunter. Alle Arten medizinischer Geräte, die Daten in irgendeiner Form austauschen können, ebenso. Hinzu kommen noch alle Gewerke rund um die notwendigen Netzwerke, Fernzugänge, mobile Anwendungen, Identifikationssysteme (Zutrittskontrolle, RFID, Smartcards) sowie alle Gewerke, die der Infrastruktur dienen (Strom, Wasser, Notstrom, Haustechnik). Die Verwaltungsphase schließlich dient der Überwachung von Cybersicherheitsaspekten, wie Vorfälle und neue Schwachstellen. Korrekturmaßnahmen, wie Patches, werden angewendet, um ein hohes Sicherheitsniveau aufrechtzuerhalten. Ebenso ist am Ende des Produktlebenszyklus eine sichere Entsorgung aus Gründen des Datenschutzes erforderlich, da auf den Geräten häufig Patientendaten gespeichert sind. „Letztlich bräuchten wir in Deutschland eine überordnete sichere und vertrauenswürdige Plattform, die alle Beteiligten im Gesundheitssektor vereint und die gemeinsam Standards entwickeln, die dann überall im Gesundheitswesen Anwendung finden“, erläutert Prof. Norbert Pohlmann, Geschäftsführender Direktor des Forschungsinstituts für Internet-Sicherheit.

Dass Eile geboten ist, hat auch die Bundesregierung erkannt und im Oktober 2020 das Krankenhauszukunftsgesetz (KHZG) beschlossen, mit dem Krankenhäuser leichter an Fördermittel, auch für ihre IT-Sicherheit, kommen sollen. 15 Prozent der beantragten Mittel sind für Maßnahmen, die zur Verbesserung der Informationssicherheit führen zu verwenden, allerdings nur im Rahmen geförderter Neuanschaffungen nach dem KHZG. Dazu gehören auch die Absicherung der Gesundheitsdaten der Patienten. Damit wird sichergestellt, dass nur solche Digitalisierungsprojekte gefördert werden, bei denen nachweislich Datenschutz und IT-Sicherheit von Anfang an mitgedacht werden. Eine Vermeidung von Störungen der Verfügbarkeit, der Integrität und der Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse muss sichergestellt sein.

Gleiches gilt für die Authentizität der Informationen, um die Patientensicherheit zu gewährleisten. Förderfähig sind etwa Vorhaben zur Prävention gegen Vorfälle der Informationssicherheit, wie Systeme zur Zonierung von Netzwerken, Next Generation Firewalls oder sichere Authentisierungssysteme. Ferner gibt es auch Fördermittel für Detektionssysteme (Security Operation Center), Backup-Systeme sowie regelmäßige Risikoanalysen, Schulungsmaßnahmen und Informationskampagnen zur Sensibilisierung der Mitarbeiter für Cyberrisiken. Gemäß der Förderrichtlinie nach § 22 Abs. 1 Krankenhausstrukturfonds-Verordnung (KHSFV) kommen nun auch Krankenhäuser in den Genuss von Mitteln zur Verbesserung der IT-Sicherheit, die nicht zu den Kritischen Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) gehören. Diese wiederum fallen unter den neu aufgelegten Krankenhausstrukturfond II. Es gibt aber ein Problem, wie Markus Holzbrecher-Morys, Geschäftsführer des Dezernats III für IT, Datenaustausch und eHealth bei der Deutschen Krankenhausgesellschaft e.V., erläutert. „Wer Geld aus dem Krankenhausstrukturfonds II bekommen könnte, bekommt nichts aus dem Zukunftsfonds, mit Ausnahme der Uni-Kliniken. Das führt dazu, dass viele Kliniken für IT-Sicherheit weder aus dem einen noch aus dem anderen Topf Geld bekommen.“

Technisch gesehen gibt es bereits heute viele Möglichkeiten, die IT-Infrastruktur im Gesundheitswesen und in den Krankenhäusern bestmöglich abzusichern. Allerdings fehlt es wie so häufig an den Mitteln und dem notwendigen Fachpersonal zur Umsetzung. Das Gesundheitswesen ist ein hochkomplexer Sektor mit einer Vielzahl an Akteuren, angefangen von den medizinischen Einrichtungen zur Versorgung über die Krankenkassen, die Pharmaindustrie und Herstellern von medizinischen Geräten. Sie alle sind in den zunehmenden Datenaustausch involviert und müssen sicherstellen, dass vor allem die Patientendaten sicher sind, denn hier geht es auch um das Vertrauen in die Systeme und Prozesse. Nicht umsonst begleiten Datenschützer die Entwicklung in diesem Bereich mit kritischem Auge, denn jede weitere Vernetzung von Daten kann neue Fragen der Sicherheit aufwerfen.