Cybersicherheit im Bereich der kritischen Infrastruktur ist unumgänglich. Auch abseits dessen gibt es viele Kategorien, die gesondert geschützt werden sollten. IT-Sicherheit im Gesundheitswesen ist dabei ein besonders großes Thema, da hier viele private und oft äußerst sensible Daten gehandhabt werden, die mitunter auch von unangenehmer Natur für die Betroffenen sein können. Ein Leak wäre hier daher eine echte Katastrophe.
In unserem heutigen Beitrag zum Thema Cybersicherheit werden wir uns daher das Gesundheitswesen mal ein wenig genauer anschauen. Wie können Cyberangriffe im Gesundheitswesen Menschenleben gefährden, finanzielle Schwierigkeiten verursachen, wichtige Datenübertragungen blockieren und so am Ende für Leben und Tod verantwortlich sein?
Die Notwendigkeit von Cybersicherheit im Gesundheitswesen ist jedenfalls ein heikles Thema, denn sie kostet viel Geld, erfordert oft Umwege in der Verwaltung gesammelter Daten und sorgt auf diese Weise mitunter für zusätzliche Komplikationen im Alltag. Doch gleichzeitig ist sie zwingend notwendig, um die Gesundheit, unser höchstes Gut, bestmöglich schützen und gewährleisten zu können. Doch wie genau sind unsere digitalen Gesundheitsstrukturen überhaupt in Gefahr?
Gesundheitswesen als Angriffspunkt für Ransomware
Schon längst sind Hackergruppen mitunter nicht mehr nur an geschützten Daten interessiert, sondern vielmehr daran, ganze Systeme lahmzulegen. Dazu wird eine sogenannte Ransomware eingeschleust, die IT-Systeme und ganze Netzwerke vollständig verschlüsselt und erst nach der Zahlung eines Lösegelds per Code wieder freigibt. Wer nicht zahlt, bekommt auch keine Möglichkeit, seine Daten zu retten und muss auf Backups zurückgreifen, falls diese überhaupt vorhanden sind.
Weil das viel Zeit benötigt und den Geschäftsbetrieb unangenehm stört, geben Unternehmen den Lösegeldforderungen mitunter immer wieder nach. Mittlerweile gibt es neben Lockbit ALPHV daher noch viele weitere Hackergruppen, die ihre Ransomware als RaaS anbieten, also Ransomware as a Service. Wie Software as a Service können Hacker durch Abgabe eines prozentualen Anteils die ausgeklügelte Ransomware verwenden, um ihre Opfer zu erpressen. Weil Ransomware eine clevere Software ist, die nicht ohne jeden Aufwand programmiert werden kann, wird RaaS gerne genutzt, um Ziele schnell zu infizieren und zu erpressen. Hacker gibt es schließlich eine ganze Menge. Haben die sich erst einmal Zugriff auf ein System verschafft, ist das Einspielen der Ransomware dann kein allzu großer Schritt mehr.
Im Gesundheitswesen ist so etwas besonders heikel, da mitunter wichtige Systeme betroffen sein können. Weil auch Hacker einem gewissen Ethos folgen und nicht immer einfach nur »böse« sind, untersagen viele Anbieter von Ransomware as a Service den Einsatz im Bereich des Gesundheitswesens, also innerhalb von Krankenhäusern, ebenso wie bei Atomkraftwerken und ähnlich kritischen Infrastrukturen. Dennoch bleiben speziell diese ein besonders populäres Ziel, da die Aufrechterhaltung des Betriebs hier tatsächlich viel Geld wert sein kann.
Notwendigkeit der Cybersicherheit im Gesundheitswesen
Mittlerweile sind Gesundheitsinformationen rein digitaler Natur und auch die Patientenakten sind inzwischen digitalisiert verfügbar. Dieser Datenstrom sorgt dafür, dass immer mehr sensible Informationen über einzelne Personen innerhalb des Netzwerks abrufbar sind. Einerseits steigert das die Effizienz im Gesundheitswesen enorm, andererseits sorgt es für eventuelle Lecks, sollte sich ein Angreifer erst einmal Zugriff verschaffen.
Das Bundesministerium für Forschung und Bildung (BMFB) hingegen möchte solche Daten nutzen, um für das Allgemeinwohl zu forschen. Gefordert wird eine Sekundärnutzung von Gesundheitsdaten, die über ein sogenanntes Gesundheitsdatennutzungsgesetz (GDNG) geregelt werden soll. Auch dabei muss jedoch die Sicherheit aller Daten an oberster Stelle stehen, damit diese sensiblen Datensätze gesondert geschützt und anonymisiert werden.
Vor allem die schiere Sensibilität der Daten ist es aber, die ausschlaggebend dafür verantwortlich ist, dass ein besonders hohes Schutzinteresse gilt. Die Notwendigkeit der Cybersicherheit im Gesundheitswesen kann daher gar nicht hoch genug bewertet werden, da hier immer direkt Personen und hochsensible Informationen betroffen sind, die es gesondert zu schützen gilt. Durch die steigende Bedrohung und die Einfachheit, mit der Ransomware verwendet werden kann, ist die Prävention von Cyberangriffen im Gesundheitswesen daher unabdingbar geworden.
Standards und Zertifizierungen im E-Health-Bereich
Geht es darum, die Cybersicherheit im Gesundheitswesen zu stärken, sollte zunächst einmal darauf geachtet werden, welche Standards und Zertifizierungen im E-Health-Bereich derzeit bereits existieren. Diese gilt es zunächst einzuhalten, um einen grundlegenden Schutz gewährleisten zu können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hier verschiedene Standards und Zertifizierungen für den E-Health-Bereich entwickelt, die dafür infrage kommen.
Die entwickelten Standards für den E-Health-Bereich dienen in erster Linie dazu, ein Bewusstsein zu schaffen. Gleichzeitig sorgen sie natürlich auch dafür, dass Gesundheitseinrichtungen ein Mindestmaß an Sicherheitsvorkehrungen erfüllen, welche zudem vom BSI entsprechend vorgeschlagen werden. Damit sind die sensiblen Patientendaten schon einmal umfassend geschützt und es wird für eine grundlegende Cybersicherheit gesorgt, die alle Systeme entsprechend sorgfältig überwacht.
Auch die NIS-2-Richtlinie und die DSGVO sorgen dafür, dass auf EU-Ebene eine Art Pflicht für mehr Datenschutz und erhöhte Cybersicherheit besteht. Außerdem gibt es branchenspezifische Sicherheitsstandards (B3S), die insbesondere für die Gesundheitsversorgung gelten. Selbige wurden von der Deutschen Krankenhausgesellschaft (DKG) und dem BSI entwickelt, um kritische Infrastrukturen wie Krankenhäuser gesondert abzusichern.
Neben den strengeren Standards sind auch gängige Systeme unausweichlich, um die Cybersicherheit im Gesundheitswesen zu verbessern. Ein Informationssicherheitssystem (ISMS) beispielsweise oder ein sogenanntes Business-Continuity-System (BCM). Auch die Reaktion auf Vorfälle, also die Incident Response, gepaart mit einem durchdachten Incident Response Plan, tragen maßgeblich zu mehr Sicherheit im Gesundheitswesen bei.
Sicherheit und Datenschutz sind hohe Güter
Dass Angriffe auf das Gesundheitswesen keine Seltenheit mehr sind, zeigt zuletzt die Attacke auf den Klinik-Verbund Marienhaus-Gruppe (MHG). Kurz vor Weihnachten 2023 kam es dort zu IT-Störungen, als Angreifer versuchten, sich gewaltsam Zugriff zu verschaffen. Dank hoher Cybersicherheit, einer straff organisierten internen IT-Abteilung und einem durchdachten Sicherheitssystem konnte dieser Angriff frühzeitig abgewehrt werden. Eine Infizierung mit einer Ransomware fand demnach nicht statt. Lediglich sechs Server und zwei Arbeitsplätze wurden dabei kompromittiert, konnten aber zeitnah isoliert sowie bereinigt werden.
Mit dem Angriff wird deutlich, wie normal derartige Attacken auch im Gesundheitswesen sind. Mit solchen Angriffen ist demnach längst zu rechnen. Eine Reaktion darauf sollte gut geplant werden und die internen Verantwortlichkeiten müssen bereits vorab geregelt sein. Dass dem Klinik-Verbund die schnelle Erkennung, Isolierung und Abwehr gelungen ist, zeigt auch, wie ernst das interne IT-Team die Vorkommnisse genommen hat und wie gut es auf derartige Attacken vorbereitet war. Der Angriff hätte schlimme Auswirkungen haben können, wäre er zum Beispiel auf die Infrastruktur des Krankenhauses übergegangen, was glücklicherweise jedoch verhindert wurde.
Cybersicherheit im Gesundheitswesen beginnt dabei schon lange vorher. Bei präventiven Maßnahmen sowie strengen internen Richtlinien und einem gut geschulten IT-Sicherheitsteam. Alle Mitarbeiter sollten darüber aufgeklärt werden, wo die tatsächlichen Gefahren lauern. Security Awareness ist ein großer Faktor, wenn es darum geht, Angriffe von vornherein zu vermeiden. Gerne unterstützen wir Sie bei etwaigen Umsetzungsmaßnahmen und hoffen, wir haben Sie mit unserem Beitrag ein wenig über Möglichkeiten und Notwendigkeiten aufklären können.
