Immer wieder haben es in letzter Zeit Cyberattacken auf Krankenhäuser bis in die Boulevard-Medien geschafft. Insbesondere das Jahr 2016 stach in dieser Hinsicht hervor. Es kam zu einer Serie so genannter Ransomware-Attacken auf wahrscheinlich mehrere Dutzend Krankenhäuser mit dem Ziel, Geld - in der Regel in Form von Bitcoins - zu erpressen. Wer nicht zahlt, hat den Schaden und muss unter Umständen weite Teile des IT-Systems neu aufsetzen. Patienten kommen dadurch normalerweise nicht zu Schaden, aber es ist ein erheblicher Aufwand für die betroffenen Häuser, und relevante Kosten sind die Folge. Aber sind Krankenhäuser wirklich besonders unsicher?

Cyberattacken nehmen zu - in allen Branchen

Für die Antwort auf diese Frage hilft ein Blick in den Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland 2016. Dort wird betont, dass im Jahr 2016 die Zahl bekannter Schadprogrammvarianten auf mehr als 560 Millionen gestiegen sei. Vor allem die Bedrohung durch Ransomware habe sich verschärft. "Dies betrifft alle Nutzer: Private, Unternehmen, Staat und Verwaltung", betont Bundesinnenminister Thomas de Maizière. Insgesamt nähmen die "Komplexität der Bedrohungslage ebenso wie damit einhergehenden Gefahren für die fortschreitende Digitalisierung" zu, so das BSI. Der Zugriff auf digitale Daten werde für Unternehmen und Bürger zunehmend essentiell. Entsprechend verwundbarer werde das alltägliche Leben.

Michael Thoss, Sprecher des Bundesverbands der Krankenhaus-IT-Leiterinnen/Leiter (KH-IT), betont, dass die genaue Zahl der Cyberattacken auf Krankenhäuser in Deutschland weiterhin kaum zu ermitteln sei: "Viele neigen dazu, solche Ereignisse nicht zu melden statt offensiv mit ihnen umzugehen." Dass Krankenhäuser stärker bedroht sind als andere Einrichtungen, glaubt Thoss nicht. Würden rein die gemeldeten Zwischenfälle zugrunde gelegt, dann komme man für das Jahr 2016 auf etwa 60 Cyberattacken auf Krankenhäuser. Bei rund 2000 Krankenhäusern wäre das ein Anteil von 3 Prozent - ähnlich hoch oder niedrig wie in anderen Branchen.

Insgesamt ist aber auch Thoss überzeugt, dass die Bedrohungen zugenommen haben: "Krankenhäuser sind einfach online sehr viel präsenter als früher. Das liegt nicht zuletzt an gesetzlichen Vorgaben wie jenen zur intersektoralen Kommunikation oder zur Qualitätssicherung. Je stärker Krankenhäuser digital präsent werden, umso stärker tauchen sie als Bedrohungsgruppe auf, da geht es dem Gesundheitswesen nicht anders als anderen Branchen."

IT-Sicherheitsgesetz auch im Gesundheitswesen in der Umsetzung

Klar ist, dass es im Gesundheitswesen genauso wie in anderen Branchen in Zeiten der Online-Vernetzung keine absolute Sicherheit geben kann. Es kann und sollte aber alles getan werden, um eine bestmögliche Sicherheit zu erreichen. Dazu sind Hersteller, Anwender und Politik bzw. Regulierungsbehörden gleichermaßen gefordert. "Die Gesundheits-IT-Hersteller haben die IT-Sicherheit fest im Blick und sorgen dafür, dass die von ihnen angebotenen Software-Lösungen sicherheitstechnisch auf dem aktuellen Stand sind. Seitens des bvitg beteiligen wir uns außerdem intensiv an politischen und regulatorischen Arbeitskreisen, etwa im Kontext der Umsetzung und Konkretisierung des IT-Sicherheitsgesetzes", betont bvitg-Geschäftsführer Ekkehard Mittelstaedt.

Das im Jahr 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ("IT-Sicherheitsgesetz") zielt darauf ab, bei Betreibern kritischer Infrastrukturen Defizite im IT-Bereich abzubauen. Zu den Betreibern kritischer Infrastrukturen gehören Einrichtungen aus neun Branchen, darunter die Energiewirtschaft, die Transportwirtschaft, die Wasserwirtschaft und auch das Gesundheitswesen. Derzeit wird in individuellen Branchenarbeitskreisen konkretisiert, welche Einrichtungen genau als kritisch anzusehen sind. "Bei Krankenhäusern dürfte das an der Fallzahl festgemacht werden. Die Details sind noch in der Diskussion", so Thoss.

Am Ende dieses Prozesses, wohl noch in dieser Legislaturperiode, wird es eine Rechtsverordnung geben, die festlegt, wen genau das IT-Sicherheitsgesetz betrifft. "Dadurch wird das Gesetz quasi erst mit Leben erfüllt", so Thoss. Eine Komponente ist eine strenge Meldepflicht für betroffene Einrichtungen. Hier können Krankenhäuser freilich heute schon aktiv werden: "Wir empfehlen Krankenhäusern, sich unabhängig von der Rechtsverordnung für die öffentlich-private UP KRITIS-Kooperation zwischen dem BSI und den Betreibern kritischer Infrastrukturen zu akkreditieren. So werden sie in die Informationsflüsse eingebunden und können Cyberattacken vertraulich melden."

Personalmangel macht Umsetzung von Sicherheitsanforderungen schwierig

Für Krankenhäuser wie für alle anderen Einrichtungen, die sich in der Online-Welt bewegen, gilt, dass IT-Sicherheit nicht nur eine technische, sondern auch eine organisatorische Komponente aufweist. Das gilt beim Schutz vor Cyberattacken, aber auch bei Umgang mit Angriffen, die erfolgt sind. So ist für die Vorbeugung von Zwischenfällen im Kontext der Einbindung von Medizingeräten in IT-Infrastrukturen von Krankenhäusern ein Risikomanagement nötig, das die Einbindung und die Kontrolle der eingebunden Geräte beinhaltet und das idealerweise schon im Beschaffungsprozess neuer Medizingeräte greifen sollte.

Wie so etwas organisatorisch aussehen kann, beschreibt die DIN-Norm 80001. "Krankenhäuser müssen aber nicht nur das Risikomanagement umsetzen, sondern auch organisatorisch reagieren. Die IT muss auch sagen dürfen, wenn ein Produkt aus Sicherheitsgründen nicht gekauft werden sollte", betont Thoss. Für den Umgang mit Cyberattacken, zu denen es trotz aller Vorsichtsmaßnahmen kommen kann, ist auf Anwenderseite zudem ein belastbares Notfallkonzept erforderlich, mit dem die Patientenversorgung auch dann aufrechterhalten werden kann, wenn die IT als Folge einer Cyberattacke ausfällt.

"Solche Konzepte müssen ausformuliert werden und auch getestet werden, und es müssen die dann nötigen analogen Ressourcen zur Verfügung stehen", so Thoss. Klar ist, dass mehr IT-Sicherheit nicht umsonst ist. Gerade personell seien viele Einrichtungen heute nicht in der Lage, organisatorische Sicherheitsmaßnahmen umzusetzen oder sich an Arbeitskreisen wie UP KRITIS zu beteiligen. "Ohne Anhebung der IT-Budgets dürften viele Sicherheitsanforderungen, die auf die Krankenhäuser zukommen, nur schwer umsetzbar sein", so Thoss.

Quelle: Messe Berlin GmbH (ots)