IT-Sicherheit – Das »smarte« Krankenhaus richtig absichern

Die Digitalisierung bietet der Gesundheitsbranche enorme Chancen. Doch immer öfter kommt es zu einer Störung der digitalen Abläufe. Mit gravierenden Folgen: Erst kürzlich legte ein Hacker-Angriff den gesamten Krankenhausbetrieb im Klinikum Fürth lahm. Um sich besser vor solchen Attacken schützen zu können, brauchen »smarte« Krankenhäuser neue IT-Sicherheitskonzepte und den Einsatz innovativer IT-Sicherheitslösungen.

Es ist der »Worst Case«: Kurz vor Weihnachten musste das Klinikum Fürth Operationen aussetzen und konnte keine neuen Patienten aufnehmen. Der Grund war ein Hackerangriff auf das IT-System. Offensichtlich war ein Virus über eine E-Mail eingeschleust worden. Vorsorglich wurde daher die Internetverbindung des Klinikums getrennt, um eine Verbreitung der Schadsoftware zu verhindern.

Die Digitalisierung ist in der Gesundheitsbranche auf dem Vormarsch: Patienten können Rechnungen für die Krankenkasse bequem in Apps hochladen oder Termine über die Webseiten von Ärzten vereinbaren. Vernetzte medizinische Geräte vereinfachen die Zusammenarbeit von Ärzten. Gesundheitsminister Jens Spahn möchte ab 2021 sogar eine digitale Patientenakte einführen, die Patientendaten gebündelt bereitstellt. Das Ziel: Doppeluntersuchungen vermeiden oder Unverträglichkeiten bei Arzneimitteln besser beachten. Das soll auch das Vertrauen der Patienten steigern.

Keine Seltenheit: Angriffe auf den Gesundheitssektor. Das »smarte Krankenhaus« wird allerdings zunehmend attraktiver für kriminelle Hacker. Eine Studie der Roland-Berger-Stiftung ermittelte, dass 2017 bereits 64 Prozent aller Kliniken in Deutschland Opfer eines Cyberangriffs waren. Krankenhäuser sind gegen Angriffe häufig nicht ausreichend geschützt. Der Grund: Viele Kliniken stehen unter enormem Finanzdruck. Hinzu kommt, dass vor allem der zunehmende Einsatz sogenannter Webapplikationen neue Angriffsmöglichkeiten für Hacker bietet. Solche Anwendungen, die über den Browser zugänglich sind, machen die Zusammenarbeit in der Gesundheitsbranche erheblich flexibler und verbessern dadurch auch die Leistungen für den Patienten. Medizinische Unterlagen und Berichte lassen sich beispielsweise digital für jede berechtigte Person zugänglich machen – und zwar sowohl vom PC als auch von Tablet, Smartphone oder anderen vernetzten Geräten. Das Vertrauen der Patienten wird durch diese Anfälligkeit der Krankenhäuser jedoch erheblich geschwächt.

Das Problem: Webanwendungen sind für Hacker leicht zu knacken. Denn das Web, speziell das Protokoll HTTP und auch das etwas sicherere HTTPS, wurde nicht für die heute üblichen komplexen Anwendungen konzipiert. Schwachstellen lassen sich bei der Entwicklung kaum vermeiden. Vor allem sehr komplexe Anwendungen sind anfällig für Sicherheitslücken.

Cyberkriminelle nutzen dies gnadenlos aus. Datenbanken zählen dabei zu den beliebtesten Angriffszielen von Hackern. Denn sie halten riesige Mengen von persönlichen Daten in konzentrierter Form bereit. Bei der Speicherung in Cloud-Diensten kommt hinzu, dass nicht nur Benutzer und Administratoren Zugriff auf die Daten haben. Auch Cloud-Provider könnten sich Zugriff verschaffen, wenn Daten ungeschützt und unverschlüsselt abliegen. Finden Cyberkriminelle einen Zugang zu diesen Daten, lassen sich damit Patienten und Krankenhäuser erpressen.

 

 

Mangelnde IT-Sicherheit trotz gesetzlicher Auflagen. Dabei ist der Schutz von gesundheitsbezogenen Daten streng geregelt: Diese unterliegen der EU-weiten Datenschutzgrundverordnung (EU-DSGVO). Zusätzlich gibt das »E-Health-Gesetz« einen konkreten Fahrplan für den Aufbau einer sicheren Telematik-Infrastruktur und die Einführung digitaler medizinischer Anwendungen vor. Im Falle von Datenverlusten oder Verstößen drohen erhebliche Sanktionen. Ergänzend gilt für größere Kliniken mit mindestens 30.000 vollstationären Fällen pro Jahr die »Verordnung zur Bestimmung kritischer Infrastrukturen (KRITIS)« des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese Kliniken müssen seit Juli 2019 ein Mindestniveau an Informationssicherheit nachweisen. Doch auch für kleinere Häuser empfehlen sich diese Vorgaben als Leitfaden für mehr Versorgungssicherheit. Insbesondere auch deshalb, weil sie schon bald unter die KRITIS-Richtlinien fallen könnten. Für das IT-Sicherheitsgesetz 2.0 ist geplant, den derzeitigen Schwellenwert von 30.000 abzusenken. Dann besteht in den betroffenen Kliniken akuter Handlungsbedarf.

Neben rechtlichen und wirtschaftlichen Konsequenzen kann ein erfolgreicher Angriff auch zu einem beträchtlichen Imageschaden und Vertrauensverlust bei den Patienten führen. Das ist aber nicht alles: Bricht im schlimmsten Fall die gesamte gesundheitliche Versorgung durch einen Cyberangriff zusammen, bedroht das unsere ganze Gesellschaft.

Um diese Szenarien zu verhindern, ist ein geeignetes IT-Sicherheitskonzept für Gesundheitseinrichtungen entscheidend. Zunächst müssen IT-Spezialisten prüfen, ob die Daten gut abgesichert sind und an welcher Stelle nachgebessert werden muss. Auf dieser Grundlage können Gesundheitseinrichtungen konkret handeln und individuell geeignete Sicherheitstechnologien anschaffen. Diese Technologien sollten von vertrauenswürdigen Herstellern wie beispielsweise Rohde & Schwarz Cybersecurity kommen, die BSI-zertifizierte Lösungen anbieten können. Der IT-Sicherheitsspezialist setzt bei seinen Produkten auf neue Sicherheitsansätze, mit denen sich auch Angriffe stoppen lassen, gegen die herkömmliche Lösungen machtlos sind. Dies sind einige Beispiele:

              

Webanwendungen absichern
Um Webapplikationen zu schützen, brauchen Krankenhäuser eine »Web Application Firewall«: Die Web Application Firewall verhindert, dass Webanwendungen zum Einfallstor für Schadsoftware werden, indem sie den Datenaustausch zwischen Endgeräten und Webservern analysiert. Sie prüft alle eingehenden Anfragen an den Webserver sowie dessen Antworten. Sobald bestimmte Inhalte als verdächtig eingestuft werden, verhindert die Web Application Firewall den Zugriff.

Daten in der Cloud schützen
IT-Sicherheitslösungen für die Cloud müssen in der Lage sein, die Daten unabhängig von ihrem Speicherort vor dem Zugriff Dritter zu schützen. Technisch umsetzen lässt sich das mit einem datenzentrischen Sicherheitsansatz: Dabei werden die Daten verschlüsselt, fragmentiert und regulatorisch konform gespeichert. Daten, die Europa nicht verlassen dürfen, werden konfigurierbar etwa in einem europäischen Rechenzentrum abgelegt, obwohl sie virtualisiert in der Cloud vorliegen. Egal, wo ein Angreifer Zugriff erlangt: Er kann keinen großen Schaden mehr anrichten. Diese Art der Speicherung ist nicht nur besonders sicher, sie entspricht auch den strengen Datenschutz- und Sicherheitsvorgaben der EU-DSGVO.

Übertragungswege absichern
Zu einer IT-Sicherheitsstrategie im Gesundheitswesen gehört auch die Absicherung der Übertragungswege – sei es zwischen einem Gerät im Krankenhaus und dem Hausarzt eines Patienten oder dem Krankenhaus und einem Rechenzentrum. Die Herausforderung: Die Übertragung muss trotz hochsicherer Verschlüsselung effizient bleiben. Dazu gibt es spezielle Verschlüsselungsprodukte, die einen hohen Schutz bieten, ohne dass die Übertragungsleistung herabgesetzt wird.

Angriffe aus dem Internet abwehren
Da 70 Prozent der Malware über den Browser in das Netzwerk kommen, ist es ein wichtiger Schritt für Krankenhäuser, Angriffe aus dem Internet abzuwehren. Am gezieltesten ist das möglich mit einem virtuellen Browser. Dieser ist von allen anderen Anwendungen und sensitiven Daten auf dem PC hermetisch getrennt. Eine Malware-Attacke läuft ins Leere, weil sie im Browser eingesperrt bleibt und keinen Zugriff auf das PC-Betriebssystem bekommt. Der Angreifer auf das Klinikum Fürth hätte keine Chance gehabt, wenn ein solcher virtualisierter Browser zum Einsatz gekommen wäre.

 

Mit diesen Maßnahmen erfüllen Gesundheitseinrichtungen nicht nur wichtige Regularien und Vorschriften – sie bilden auch die Grundlage für weitere digitale Entwicklungen. Denn nur mithilfe einer effizienten IT-Sicherheit können IT-basierte Prozesse eingesetzt werden, ohne dass dabei die Datensicherheit auf dem Spiel steht. Das wiederum wirkt sich auch positiv auf das Vertrauen der Patienten in das »smarte« Krankenhaus der Zukunft aus.


Dr. Falk Herrmann,
CEO bei Rohde & Schwarz Cybersecurity

 

 

 

Illustrationen: © everthing possible, Who ist Danny/shutterstock.com

 

457 Artikel zu „IT-Sicherheit Gesundheit“

Gesundheitswesen als chronischer Patient in Sachen IT-Sicherheit – Herausforderungen und Lösungswege

Automatisierung ist einer der entscheidenden Schritte, um IT-Sicherheitspersonal zu entlasten und das Sicherheitsniveau zu verbessern. Die IT-Sicherheitsexperten von Vectra Networks haben im aktuellen (2017) Verizon Data Breach Investigation Report [1] bemerkenswerte Ergebnisse zur Cybersicherheit im Gesundheitswesen ausgemacht. Als Anbieter für die automatisierte Erkennung von laufenden Cyberangriffen nehmen die Spezialisten die aktuellen Erkenntnisse zum Anlass, die…

IT-Sicherheitsreport: Gesundheitsdaten ziehen Kriminelle besonders an

Cyber Security Intelligence Index 2016: Gesundheitsbranche das weltweit attraktivste Angriffsziel für Cyberkriminelle. Gefahren durch Insider in Organisationen steigen weiter an. Fast zwei Drittel mehr schwere Sicherheitsvorfälle als noch 2014. Ein aktueller IT-Security-Report von IBM listet detailliert die größten Cybergefahren des vergangenen Jahres auf: So geht aus dem neuen »Cyber Security Intelligence Index 2016« hervor, dass…

Gesundheitscheck: Ausblick für 2015 zur IT-Sicherheitslage im Gesundheitswesen

2015 wird ein Jahr der Veränderungen für die Cyber-Sicherheit in der Gesundheitsversorgung, denn die Branche muss in dieser Hinsicht aufholen [1]. Dies betrifft das gesamte Ökosystem: kleine bis große Krankenhäuser, Krankenversicherungen, Anbieter von Healthcare-Applikationen, Hersteller medizinischer Geräte und teilweise auch Pharma- und Biotechnologie-Unternehmen. »Der Bereich der Gesundheitsvorsorge ist gekennzeichnet durch eine Technologie- und Informationsflut, ohne…

Mit fortschreitender Pandemie überwiegt die finanzielle Unsicherheit die gesundheitlichen Bedenken

Der Nachrichtenkonsum steigt und die Menschen gestalten ihren Alltag achtsamer.   Die aktuelle Analyse des COVID-19-Barometers, der globalen Verbraucherstudie von Kantar, untersucht, wie die Menschen im Verlauf der Pandemie reagieren und sich an die »neue Normalität« anpassen. Die zweite Welle der Befragung von mehr als 30.000 Verbrauchern in über 50 Ländern zeigt unter anderem folgende…

Datenstrategie: Voraussetzungen für digitale Gesundheitsinnovationen »Made in Germany« schaffen

In seiner Stellungnahme äußert sich der Bundesverband Gesundheits-IT (bvitg) zum derzeitigen Entwurf der Datenstrategie der Bundesregierung. Darin würdigt der Verband die Strategie als wichtige Wegmarke, verweist aber gleichzeitig auf den weiterhin großen Regelungsbedarf bei der Verfügbarkeit und Verarbeitung von Gesundheitsdaten.   Um am Standort Deutschland die Verfügbarkeit und -bereitstellung von Daten zu erhöhen und datengetriebene…

IT-Sicherheit für das Arbeiten zuhause: 10 goldene Regeln für ein sicheres Home Office

Ein großer Teil der deutschen Angestellten arbeitet derzeit von zuhause aus – vom Sachbearbeiter bis zum Geschäftsführer. Das bringt in vielen Fällen neue IT-Sicherheitsrisiken mit sich. Auch Hacker nutzen die aktuelle Unsicherheit verstärkt aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits Alarm geschlagen.   Die Anbindung des Heimarbeitsplatzes erfolgte in den meisten…

Künstliche Intelligenz ist wichtiges Thema im Gesundheitswesen

Die Bedeutung von Technologie im Gesundheitswesen ist aktuell allgegenwärtiger denn je. Egal ob Telemedizin, die schnelle Auswertung von Befunden oder schlichtweg das Datenmanagement – moderne Informations- und Datentechnik spielt im Gesundheitswesen eine zentrale Rolle. Der Einsatz von künstlicher Intelligenz im Gesundheitswesen nimmt ebenfalls rasch zu, wie Pure Storage berichtet. KI wird bereits zur Verbesserung der…

 Verschärfte Gefahrenlage der IT-Sicherheit durch COVID-19

Aufgrund der aktuellen Ausgangslage der Home-Office-Regelungen ausgelöst durch COVID-19 wird die bisherige Gefahrenlage in der IT-Sicherheit zusätzlich strapaziert. Das German Competence Center against Cyber Crime sieht die wesentlich gestiegene Gefahr einer Zunahme von Cybercrime. Durch bestehende Schwachstellen und weitere Kommunikationswege kann die bisherige IT-Sicherheit zusätzlich durch DDoS-Angriffe, Ransomware oder Phishing strapaziert wer-den. Der gemeinnützige Verband…

Was den Gesundheitssektor so anfällig für Angriffe auf die Cybersicherheit macht

Der Gesundheitssektor ist wie jeder andere Industriezweig essentiell auf Software angewiesen. Sie spielt in praktisch allen Bereichen eine entscheidende Rolle. Bei der Diagnose, bei sämtlichen bildgebenden Verfahren und Messungen, der Überwachung, der Verabreichung von Medikamenten und beim Führen von Krankenakten. Ganz zu schweigen von administrativen Funktionen wie Terminplanung und Abrechnung. Leider ist die Cybersicherheit dabei…

Gesundheitssystem: Auf 1.000 Deutsche kommen 4,3 ÄrztInnen

In Deutschland kommen laut Angaben der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) auf 1.000 EinwohnerInnen 4,3 ÄrztInnen. Damit ist die Bundesrepublik im Vergleich mit anderen Corona-Krisengebieten gut versorgt, wie der Blick auf die Grafik zeigt. In den USA kommen beispielsweise auf 1.000 Menschen nur 2,6 ÄrztInnen mit Patientenkontakt. Indes sagten diese Zahlen wenig über…

Sicherheitslücke Home Office? Herausforderung IT-Sicherheit in Krisenzeiten

Das Corona-Virus sorgt von Tag zu Tag für immer höhere Infektionszahlen, was drastische Gegenmaßnahmen zur Folge hat: Um der weiteren Ausbreitung entgegenzutreten, müssen Geschäfte, Restaurants sowie sonstige öffentliche Einrichtungen schließen. Unternehmen senden ihre Mitarbeiter ins Home Office. Aufgrund der ohnehin außergewöhnlichen und teilweise überfordernden Situation sollten Unternehmen und Arbeitnehmer sich nicht noch zusätzliche Sorgen um…

Corona: Unternehmen, Mitarbeiter und Home Office – worauf man in puncto IT-Sicherheit achten sollte

Plötzlich spielt sich das ganze Leben online ab. Nie zuvor waren die vernetzte Welt und die Möglichkeit, online zu kommunizieren, Kontakte zu knüpfen, zu arbeiten und Geschäfte zu tätigen, so präsent und entscheidend wie heute. Auch wenn dieses neue Vermögen auf den ersten Blick beeindruckend erscheint, muss man sich der Realität stellen: Egal wo wir…

Corona: Mehr Angst um Unternehmenserfolg als um Gesundheit

Wie groß ist die Angst der Deutschen vor dem Coronavirus (SARS-CoV-2)? Wie beeinflusst die aktuelle Situation den Arbeitsalltag in deutschen Büros und Fabriken? Und welche Maßnahmen ergreifen Unternehmen bislang? Die Jobplattform StepStone hat am Dienstag (3.3) mehr als 4.000 Menschen befragt, um herauszufinden, wie sich das Virus bislang auf die Arbeitswelt auswirkt. Demnach macht sich…

5G und IT-Sicherheit: Cybersicherheit soll das Potenzial von 5G nicht einschränken

Da immer mehr »Dinge« digitalisiert werden, gilt es immer größere Datenmengen zu bewegen – und 5G ist dafür die mobile Technologie. 5G ist dabei weit mehr als nur ein besseres Mobilfunksignal, es ist ein technologischer Schritt, vergleichbar mit dem Beginn des Jet-Zeitalters, und wird den Unternehmen große neue Umsatzmöglichkeiten eröffnen. Gleichzeitig ist 5G in der…

Geistige Gesundheit (eigentlich) genauso wichtig wie körperliche

Die meisten Deutschen (84 %) halten die eigene geistige Gesundheit für genauso wichtig wie ihr körperliches Wohlbefinden. Gleichzeitig haben weniger als vier von zehn Bundesbürgern (39 %) den Eindruck, dass das derzeitige Gesundheitssystem psychischen Erkrankungen denselben Stellenwert einräumt wie körperlichen Beschwerden. Das ist das Ergebnis einer globalen Studie des Markt- und Meinungsforschungsinstituts Ipsos im Auftrag…

Steigende Gehälter in der IT-Sicherheit

Die Nachfrage nach IT-Security ebbt nicht ab und die Gehälter für die Sicherheitsexperten steigen kontinuierlich. Laut einer aktuellen Auswertung der Vergütungsanalysten von Compensation Partner verdienen Beschäftigte in der IT-Security über 63.000 Euro (brutto) jährlich. Führungskräfte bekommen in diesem Bereich über 100.000 Euro im Jahr. Die lukrativste Stadt ist München und im Branchenvergleich dominieren das Verkehrs-…

Umgang mit Passwörtern bleibt Hauptproblem für IT-Sicherheit in Unternehmen

Dritter jährlicher »Global Password Security Report« belegt weit verbreitete Wiederverwertung von Passwörtern trotz höherer Investitionen in Sicherheitstools wie Multifaktor-Authentifizierung.   Die Studie von LastPass von LogMeIn liefert Einblicke, wie Mitarbeiter mit Passwörtern umgehen und zeigt neue Trends im Bereich Identitäts- und Zugriffsmanagement in Unternehmen weltweit auf. Zu den wichtigsten Ergebnissen des diesjährigen Reports gehört, dass…

Das Erkennen von IT-Sicherheitsbedrohungen ist Aufgabe des Managements

Die Zunahme und Komplexität an Angriffen erfordern mehr Fachkräfte für IT-Sicherheit. Die IT-Sicherheit in Unternehmen muss Aufgabe des Managements und der Führungsetage werden. Das fordern die IT-Sicherheitsexperten der PSW GROUP: »In Deutschland mangelt es an Fachkräften, während die Angriffe auf sowie die Bedrohungen für die IT-Sicherheit weiter steigen. Die Chef-Etage muss deshalb mit anpacken, denn…