Auf der einen Seite sind im Gesundheitswesen noch viele Faxgeräte im Einsatz - weil es auch im Jahre 2021 noch keinen allgemein verbreiteten, sicheren Weg gibt, Gesundheitsdaten digital, z. B. zwischen einweisendem Arzt und Krankenhaus, zu übertragen. Auf der anderen Seite sind deutsche Krankenhäuser aber bereits so vernetzt, dass sich die Meldungen über erfolgreiche Cyber-Angriffe, die sich diese Vernetzung zu Nutze machen, sowie damit verbundene IT-Ausfälle und Störungen der klinischen Abläufe häufen. Das verdeutlicht sich in der vermehrten Behandlung des Themas in den Medien, wie z. B. auch folgende Presseartikel zeigen (die Quellen finden Sie am Ende des Artikels):
- „Trojaner im OP - wie ein Krankenhaus mit den Folgen lebt“ (Heise.de)
- „Krankenhaus in Not - Computervirus legt bayerische Klinik lahm“ (Spiegel.de)
- „Ermittlungen nach Todesfall während Hackerangriff auf Uniklinik“ (Zeit.de)
Und dies, obwohl die Digitalisierungswelle in der Gesundheitsbranche in Deutschland ja erst noch bevorsteht. So steht es zumindest im Krankenhauszukunftsgesetz (KHZG), das über den Krankenhauszukunftsfonds (KHZF) mehrere Milliarden Euro bereit stellt, um „[...] eine bessere digitale Infrastruktur, z. B. Patientenportale, elektronische Dokumentation von Pflege- und Behandlungsleistungen, digitales Medikationsmanagement, Maßnahmen zur IT-Sicherheit sowie sektorenübergreifende telemedizinische Netzwerkstrukturen [...]“ zu fördern.
Werden Einrichtungen des Gesundheitswesens also verstärkt angegriffen?
Selbst die schon erwähnten Faxgeräte können eine Gefahr sein, zumindest in der Variante der Multifunktionsgeräte („Faxploit" 2018). Mangels Alternativen nutzen viele Krankenhäuser für die selbstgebaute Vernetzung mit anderen Leistungserbringern das öffentliche Internet, haben dort also zwangsläufig erreichbare Schnittstellen. Diese müssen abgesichert werden, denn auch bei solchen marktüblichen Produkten kommen Sicherheitslücken vor („Shitrix" 2020). Es ist eine große Herausforderung für die IT-Mitarbeiter in den Häusern, die Netze der Krankenhäuser gegen Gefahren aus dem Internet abzusichern.
Im Zuge der Corona-Pandemie und dem Arbeiten von zu Hause, das zumindest z. B. Teile der Verwaltung betrifft, mussten die internen Ressourcen auch von den Heimbüros der Mitarbeiter erreichbar gemacht werden. Falls dazu auch die Groupware zählte, war das ggf. ein weiteres Einfallstor („Proxylogon" 2021). Diese exemplarische Liste ist bei weitem nicht repräsentativ und stellt außerdem keinerlei Wertung dar.
Auch Wartungszugänge zu medizinischen Systemen können Angriffspunkte sein, es reicht aber auch – wie obige Beispiele zeigen – gewöhnliche Ransomware, um in einem nicht optimal segmentierten Netzwerk großflächig Systeme im Krankenhaus lahmzulegen. Mit zunehmender Vernetzung steigt hier das Schadenspotential weiter an. Der Gesetzgeber sieht aber trotz des Gefahrenpotenzials die Notwendigkeit zu mehr Digitalisierung – und dies zu Recht.
Was also tun – gibt es eine Alternative zur Digitalisierung im Gesundheitswesen?
Angesichts eines steigenden Kostendrucks und knapper Personalressourcen ist die Unterstützung der klinischen Prozesse durch digitale Infrastrukturen und Systeme ein Mittel zur Entlastung von Personal und Budget. Dies gilt zumindest bei einer langfristigen Betrachtung, denn selbstverständlich kostet die Etablierung von digitalen Systemen im Krankenhaus erst einmal Geld.
Da ist es ein gutes Signal, dass mit dem KHZF und der Verlängerung des Krankenhausstrukturfonds II Geld bereitgestellt wird, um die Krankenhäuser bei diesen Vorhaben zu unterstützen. Durch solche Vorhaben sollen z. B. manuelle Arbeiten, wie das Übertragen von Werten zwischen Systemen, automatisiert, Schnittstellen zur einfachen Leistungs- und Versorgungsgüteranforderung implementiert, eine sichere Identifikation von Medikationen gewährleistet oder ein schneller und mobiler Zugriff auf die elektronische Patientenakte ermöglicht werden. Weniger Fehlerpotential bedeutet mehr Patientensicherheit, mehr Automatisierung bedeutet mehr Zeit für die Patienten!
Gemessen wird die Digitalisierung im Krankenhaus oft mit dem sog. „Electronic Medical Records Adoption Model“ der „Healthcare Information and Management Systems Society“ in den Stufen 0-7. In Deutschland gibt es bisher nur wenige Häuser auf den Stufen 6 oder 7. Auch wenn es Kritikpunkte am EMRAM-Modell gibt (z. B. schwierige Vergleichbarkeit nationaler Reglementierungen im Gesundheitswesen), ist dieses Modell weit verbreitet.
Aber wird der Betrieb mit all den Schnittstellen und Zugriffsmöglichkeiten dann nicht automatisch anfälliger und angreifbarer?
Nicht unbedingt. Falsch ist es, Informationssicherheit ganz am Ende, wenn alles fertig ist, als Zusatz „anzuflanschen“ und „künstliche Beschränkungen“ auf Grund von Sicherheitsanforderungen aufzuerlegen. Ziel muss sein, IT-Sicherheit in allen Aspekten von der Planungsphase an zu berücksichtigen („Security by default" und „Security by design"). Dies gibt auch das KHZG vor, denn in jeder geförderten Maßnahme müssen mindestens 15 % der Fördersumme zur Verbesserung der Informationssicherheit aufgewendet werden. „IT-Sicherheit" ist zudem als eigener Fördertatbestand aufgenommen, s. auch folgendes Zitat: „Ziel dessen ist es, dass alle geförderten Maßnahmen bereits zu Beginn den Anforderungen und Standards der IT- und Cybersicherheit entsprechen.“ (Förderrichtlinie nach § 21 Abs. 2 Krankenhausstrukturfonds-Verordnung (KHSFV), S. 39 f. der aktualisierten Version vom 03.05.2021)
Ein moderner Klinikbetrieb ist ohne eine gut funktionierende IT aber nicht mehr vorstellbar
Daher fordert § 75c SGB V unter der Überschrift „IT-Sicherheit in Krankenhäusern“, „[...] nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit [...]“ zu treffen. Explizit gilt das für alle Krankenhäuser, nicht mehr nur für die, die zur kritischen Infrastruktur gezählt werden.
Die Häuser, die auf Grund ihrer Fallzahlen der KRITIS-Verordnung unterliegen, kennen diese Anforderungen schon länger. Eine wertvolle Hilfestellung zur Erfüllung dieser Anforderungen gibt hier der branchenspezifische Sicherheitsstandard (B3S) für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus. Die Dokumentation dazu ist abrufbar bei der Deutschen Krankenhaus Gesellschaft e. V. unter: Informationssicherheit im Krankenhaus. Auch dort ist die Feststellung zu finden, dass IT eine Grundvoraussetzung für einen optimalen Krankenhausbetrieb ist.
Der B3S-Standard fordert u. a. den Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Hierzu wird auf die ISO 27001 und insbesondere die ISO 27799 (Medizinische Informatik – Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002) verwiesen. Die Umsetzung des B3S wird vom Gesetzgeber als Maßnahme nach Stand der Technik und damit als Erfüllung der Vorgaben angesehen.
Neben einem ISMS auf administrativ-organisatorischer Ebene sind technische Systeme zur Erhöhung der IT-Sicherheit sinnvoll, hierzu zählen u. a.:
- Security Information and Event Management (SIEM) mit einem Security Operations Center (SOC)
- Systeme zur Netzzugangskontrolle (NAC) – hier ist darauf zu achten, dass diese explizit Medizingeräte unterstützen
- Konzepte zur Segmentierung von Netzen in Zonen unterschiedlichen Schutzbedarfes
- Filterung des ein- und ausgehenden Verkehrs über moderne Firewall-Systeme
Ein allgemeiner Überblick über Schutzkonzepte auf verschiedenen Ebenen findet sich auch in unserem Blog „IT-Security im Wandel“. Diese Konzepte wirken auch im Krankenhaus.
Daher muss die IT-Security die geforderte Verfügbarkeit, Integrität und Vertraulichkeit bieten, die für einen effizienten und rechtssicheren Krankenhausbetrieb nötig sind. DOK SYSTEME kann Sie bei Ihren Vorhaben, Ihr Krankenhaus auf den Stand der Technik zu bringen, sowohl administrativ-organisatorisch (Antragsstellung nach KHZG für den KHZF, Bewertung der Vorhaben) als auch technisch (Beratung zu Infrastruktur- und IT-Sicherheitsmaßnahmen) unterstützen.
Unsere Berater verfügen über alle notwendigen Zertifizierungen und langjährige Erfahrung auch im operativen Krankenhausbetrieb. Wir unterstützen Sie z. B. bei
- dem Aufbau eines ISMS mit unseren ISO 27001-zertifizierten Mitarbeitern
- der Etablierung eines SIEM/SOC-Betriebes
- allgemein bei der Umsetzung von IT-Sicherheit im Krankenhaus (mit nachgewiesener Kompetenz, z. B. CISSP)
Weitere Informationen finden Sie auf unserer Webseite unter dem Technologiefeld „IT-Sicherheit“.
Es ist ein langer Weg bis zu EMRAM Stufe 7 – jetzt ist die Zeit, loszulaufen!
Jochen Kmietsch
Senior Consultant | CISSP
Quellen zu den Presseartikeln (Letzter Abruf 30. April 2021):
https://www.heise.de/newsticker/meldung/Trojaner-im-OP-wie-ein-Krankenhaus-mit-den-Folgen-lebt-3617880.html
https://www.spiegel.de/netzwelt/web/klinikum-fuerstenfeldbruck-computervirus-legt-krankenhaus-lahm-a-1238895.html
https://www.zeit.de/digital/datenschutz/2020-09/duesseldorf-uni-klinik-hacker-angriff-erpressung