Illustration Absmeier foto freepik
Aggressive Cyberattacken auf Krankenhäuser und Kliniken häufen sich und bedrohen zunehmend den deutschen Gesundheitssektor. Für Benedikt Ernst, Consult Leader bei Kyndryl, liegen »Diagnose« und »Behandlung« klar auf der Hand. Das Problem: Die notwendige »Medizin« wird den Gesundheitseinrichtungen nur schleppend verabreicht. Das muss sich dringend ändern.
Müsste ein IT-Arzt eine Diagnose zur Systeminfrastruktur deutscher Gesundheitseinrichtungen stellen, würde sie eine lange Liste an Symptomen beinhalten. Zum einen weist die Krankenhaus-IT häufig veraltete Strukturen und eine unregelmäßige Systemlandschaft auf. Aufgrund von weitestgehend strategielosen OpEx-Investitionen verfügen Krankenhäuser und Co. selten über eine einheitliche und standardisierte IT. Branchenspezifische Standards und Vorgaben sind ihnen gemeinhin bekannt. Allerdings hapert es oftmals bei der Umsetzung dieser. Zum anderen fehlt es in vielen Einrichtungen an redundanten Systemen, Notfall- und Wiederherstellungsplänen sowie ganzheitlichen Sicherheitssystemen.
Die Folge dieses Krankheitsbildes: Nahezu im Wochentakt machen Fälle von gehackten und lahmgelegten Klinikbetrieben Schlagzeilen. Die Gefahr durch Cyberkriminelle hat sogar ein so kritisches Niveau erreicht, dass sich die Deutsche Krankenhausgesellschaft (DKG) vor Kurzem zu Wort gemeldet und vor der wachsenden Bedrohung gewarnt hat. »Die technische Infrastruktur gerade großer Krankenhäuser ist heute unglaublich komplex«, brachte es Gerald Gaß, Vorsitzender der DKG, auf den Punkt. Die Systeme in Gesundheitseinrichtungen haben über die Jahre hinweg immense Ausmaße angenommen; vielerorts fehlt es an Überblick, einer klaren Technologiestrategie und einheitlichen Standards. »Diese stark heterogenen Systeme abzusichern, erfordert einen immensen personellen und auch finanziellen Aufwand«, so Gaß weiter. Damit hat er nicht unrecht, weshalb Benedikt Ernst von Kyndryl den folgenden Sechs-Schritte-Behandlungsplan empfiehlt:
- IT-Systeme inventarisieren
Grundsätzlich gilt: Man kann nur jene Systeme und Daten schützen, von denen man weiß, dass sie existieren und wo sie sich befinden. Daher ist der erste wichtige Schritt, das gesamte Inventar der IT-Landschaft exakt zu erfassen. Das schließt sowohl die Identifizierung unautorisierter Anwendungen und Daten (Schatten-IT) als auch die Ermittlung von Schnittstellen und Abhängigkeiten mit ein. Ziel ist es, Standardisierung zu fördern, um die Komplexität zu reduzieren.
- Schwachstellen erkennen, Risiken bewerten
Dieser vorangegangene IT-Healthcheck, wie ihn zum Beispiel die Universitätsmedizin Mainz durchgeführt hat, dient dann als Grundlage für die folgende Schwachstellenanalyse [2]. Dafür geht man zunächst mithilfe einer Schwachstellenmanagement-Lösung in der eigenen IT-Infrastruktur auf die Suche nach Mängeln – wie beispielsweise Legacy- und Auslaufsysteme sowie Sicherheitslücken. Diese sollten im Nachgang schnellstmöglich geschlossen werden.
- Relevante Expertise und Stakeholder einbinden
Es gilt, die anvisierte Digitalstrategie sowie die notwendigen Maßnahmen gemeinsam mit allen Fachbereichen zu erarbeiten. Darüber hinaus sollten Gesundheitseinrichtungen in Betracht ziehen, externe Partner zu konsultieren. Schließlich fließen im Rahmen einer medizinischen Behandlung die umfassenden Kenntnisse von Fachärzten und anderen Spezialisten ebenfalls in die Planung mit ein. Das sollte im IT-Umfeld nicht anders gehandhabt werden. Gerade im Bereich der IT-Sicherheit und -Resilienz tragen Fachwissen und jahrelange Erfahrung von Managed Service Providern zur professionellen Modernisierung, Stärkung und Absicherung der IT-Infrastruktur bei.
- Auf den Ernstfall vorbereiten
Wenn es im Krankenhaus zu einem Notfall kommt, muss das medizinische Personal schnell und fehlerfrei zusammenarbeiten. Auch das IT-Team muss bei einem sicherheitsrelevanten Vorfall eingespielt sein und wissen, was zu tun ist. Jeder Handgriff muss sitzen. Dafür eignet sich am besten eine klar definierte Roadmap aller notwendigen Maßnahmen, an die sich involvierte Mitarbeiter im Ernstfall zu halten haben.
- In die Notfallvorsorge investieren
Für eine gut ausgestattete Notfallvorsorge brauchen Gesundheitseinrichtungen verschiedene Konzepte, Prozesse und technische Systeme. Allerdings ist von einem Alleingang abzuraten, da selbst die kleinsten Fehler die Modernisierung zurückwerfen können. Um dies zu vermeiden, empfiehlt es sich, die Expertise eines erfahrenen Managed Service Providers heranzuziehen, der sich mit dem IT-Betrieb in einer sicheren Hybrid- und Multi-Cloud-Umgebung auskennt. Dieser erstellt auf Basis der Schwachstellenanalyse einen Implementierungsplan sowie Wiederanlauf- und Disaster-Recovery-Konzepte, die regelmäßig auf Herz und Nieren getestet werden. Darüber hinaus übernimmt er den Aufbau und die Inbetriebnahme moderner Security-Systeme wie ein Security Operation Center.
- Sicherheitsvorfälle (gemeinsam) bewältigen
Zu guter Letzt braucht es Integrationsplattformen, die alle wichtigen, sicherheitsrelevanten Systeminformationen zentral zusammenführen. Auf diese Weise erhalten IT-Teams Echtzeiteinblicke in die IT-Umgebung und können bei potenziellen Bedrohungen umgehend die besten Maßnahmen ergreifen. Daneben bieten sich auch hier Kollaborationen mit ausgebildeten Sicherheitsexperten an, damit diese bei Bedarf bei der Systemwiederherstellung unterstützen können.
Trotz dieses detaillierten Behandlungsplans müssen sich Gesundheitseinrichtungen über einen wichtigen Fakt im Klaren sein: Beim Thema Cybersicherheit geht es nicht ausschließlich um die technische Modernisierung der IT-Infrastruktur. Es gehören ebenfalls sowohl die Aus- und Weiterbildung aller Mitarbeitenden als auch die Einführung von Standardprozessen dazu, um eine sichere und gesetzeskonforme IT-Nutzung gewährleisten zu können.