Cybersicherheit im Gesundheitssektor

Bei Risiken und Nebenwirkungen fragen Sie Ihren IT-Support

Cybersicherheit ist derzeit weltweit immer wieder ein für Schlagzeilen sorgendes Thema: Immer häufiger treten neue Fälle von Cyberkriminalität auf, die über das „bloße“ Hacken privater Endgeräte hinausgehen und zu großen Schäden führen.

Gesundheitsbranche im Visier der Hacker

Ein beliebtes Ziel der Angriffe ist vor allem auch der Gesundheitssektor. Nachdem erst kürzlich die Europäische Arzneimittelagentur (EMA) einem größeren Angriff mit weitgehenden Folgen unterlag, fand Mitte Mai 2021 eine weitere signifikante Ransomware-Attacke auf den irischen Gesundheitsdienst Ireland’s Health Services (HSE) statt.[1] Die Angreifer verwendeten dabei eine ähnliche Software, wie es eine Woche zuvor bei dem Pipeline-Angriff in den USA der Fall gewesen war. Als mutmaßliche Täter von letzterem Angriff steht die Hackergruppe Darkside im Verdacht, die es vor allem auf größere Unternehmen abgesehen hat und bei ihren Coups Hunderttausende bis hin zu Milliarden von Dollar erpresst. Diese Gruppe könnte für den Angriff auf die irische Gesundheitsbehörde ebenfalls verantwortlich gewesen sein. Durch den Angriff auf die HSE musste am 14.05.2021 deren komplettes Computersystem abgeschaltet werden. Zwar bestand keine ernsthafte Sicherheitsgefährdung der PatientInnen in den Kliniken, insbesondere die Corona-Impfungen waren durch die Vorgänge nicht betroffen. Doch in der Rotunda-Entbindungsklinik Dublin konnten als Folge des Angriffs nur noch Notfälle und Frauen in der mindestens 36. Schwangerschaftswoche aufgenommen werden. Die Attacke hatte auf die Patientendaten abgezielt, die in den betroffenen Systemen gespeichert werden. Durch das Herunterfahren der Systeme zum Schutz dieser Daten musste vorübergehend auf Papierunterlagen zurückgegriffen werden, was die Abläufe in der Klinik verlangsamte und zu Verzögerungen führte.[2]

IT-Sicherheit und Datenschutz unerlässlich

Diese vermehrt auftretenden Angriffe auf die IT-Systeme von Klinken und Gesundheitsdiensten zeigen einmal mehr, wie wichtig auch ein erhöhter Schutz des Gesundheitssektors vor Cyberkriminalität ist. Die Digitalisierung hat im Gesundheitswesen zahlreiche Vorteile mit sich gebracht und durch elektronische Patientenakten und Rezepte, digitale Gesundheitsanwendungen oder medizinische Beratung per Telefon zu einer effizienteren und flexibleren Patientenbetreuung geführt.[3] Genau dies macht den Sektor allerdings angreifbarer als je zuvor: Im Gesundheitswesen sind besonders schutz- und vertrauenswürdige Daten im Verkehr, die häufig nicht nur zwischen PatientInnen und Klinik ausgetauscht, sondern auch an Dritte, wie etwa Forschungsdatenzentren, weitergeleitet werden. Diese digitalen Übermittlungen machen es für Cyberkriminelle einfacher, unberechtigt auf die Daten zuzugreifen und die Computersysteme zu sperren oder zu verschlüsseln. Im Ergebnis können sie so die Freigabe der Systeme gegen hohe Geldsummen von den Betroffenen erpressen. Deutlich wird diese Gefahr vor allem am Beispiel des kürzlich erfolgten Angriffs auf die EMA, bei dem sogar Daten, die für die bevorstehende Zulassung des Impfstoffs von Biontech/Pfizer eingereicht worden waren, betroffen gewesen sein sollen.[4]

Zudem ist auch die Integrität der IT-Systeme durch die Angriffe gefährdet, sollten wie beschrieben die Computersysteme blockiert werden. Für die Gewährleistung einer funktionierenden und sicheren Gesundheitsversorgung müssen diese jedoch reibungs- und unterbrechungslos arbeiten.[5] Genau das zeigte erst im vergangenen Jahr folgender Vorfall: Bei einem anderen Cyberangriff auf das Düsseldorfer Universitätsklinikum im September 2020 konnte eine Patientin wegen der stillgelegten IT-Systeme des Krankenhauses kurzfristig nicht dorthin transportiert werden und verstarb noch auf der Fahrt im Krankenwagen zu einer anderen Klinik, die zwar nicht von dem Hacker-Angriff betroffen, dafür jedoch deutlich weiter von der Unfallstelle entfernt war.[6]

Veraltete IT als Herausforderung für die IT-Sicherheit

Dass die IT-Infrastruktur in Krankenhäusern oft nicht systematisch und gleichmäßig mit den technischen Anforderungen und den damit verbundenen IT-Sicherheitsaspekten gewachsen ist, trägt zu einem erhöhten Risiko bei.[7] Neben finanziellen Aspekten spielen hierbei auch die kontinuierliche Nutzung im 24/7-Betrieb und die damit verbundenen Auswirkungen auf die Wartungsintervalle eine Rolle. Die – häufig berechtigte – Annahme, dass die IT-Sicherheit der Krankenhäuser sich nicht auf dem aktuellen Stand der Technik befindet, führt zudem dazu, dass sie für kriminelle Akteure ein weithin sichtbares Ziel abgeben.[8] Die für Angreifer höchst attraktive Kombination aus der immensen Bedeutung für eine funktionierende Gesellschaft bei gleichzeitig schwach geschützten Systemen resultiert darin, dass medizinische Einrichtungen regelmäßig zu den am meisten angegriffenen Branchen gehören.

Ist der rechtliche Rahmen zukunftsfähig?

Auch der Gesetzgeber ist der Ansicht, dass es erforderlich ist, den Gefährdungen im Gesundheitssektor durch Hackerangriffe durch neue Regelungen entgegenzuwirken. Als Reaktion auf die vielen verschiedenen Cyberattacken wurde im Oktober 2020 die Einfügung eines neuen Paragrafen in das Sozialgesetzbuch V sowie die Schaffung eines zweiten Gesetzes für die Sicherung von IT-Systemen beschlossen.[9]

Schon seit Juni 2017 verpflichtet § 8 BSIG die Betreiber kritischer Infrastrukturen im Sektor Gesundheit dazu, technische und organisatorische Vorkehrungen zu ergreifen, damit deren IT-Systeme nach dem Stand der Technik abgesichert sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte dabei den branchenspezifischen Sicherheitsstand der Deutschen Krankenhausgesellschaft (BS3) als geeignete Umsetzung der Anforderungen dieser Norm bezeichnet. Diesen nutzen Krankenhäuser mit mindestens 30.000 vollstationären Fällen zur Nachweiserbringung und Gewährleistung ihrer IT-Sicherheit entsprechend den gesetzlichen Anforderungen.[10]

Gemäß dem neuen § 75c SGB V sollen Krankenhäuser ab dem 01.01.2022 nun dazu verpflichtet sein, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Verhinderung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit einzuführen, soweit sie nicht ohnehin schon als Betreiber kritischer Infrastrukturen entsprechende technische Vorkehrungen zu treffen haben. Dies bedeutet konkret, dass sie verpflichtet sind, jegliche derartige Störungen zu vermeiden, um die Funktionsfähigkeit des Krankenhauses und die Sicherheit der Patienteninformationen zu wahren.[11] Kritische Infrastrukturen im Sinne dieser Norm stellen gem. § 2 Abs. 10 BSIG i.V.m. § 6 und Anhang V KritisV beispielsweise die Produktion von Blut- und Plasmakonzentraten sowie unmittelbar lebenserhaltenden Medizinprodukten, die stationäre medizinische Versorgung oder Laboratoriumsdiagnostik dar.[12] Als erweiterte Pflichten haben Krankenhäuser damit künftig zusätzlich zu den Vorkehrungen, die bereits zur Vermeidung von Störungen der Vertraulichkeit ihrer Systeme existieren, auch Systeme zur Angriffserkennung zu installieren.[13] Dies könnte nach Erachten der Bundesregierung eine effektive Methode darstellen, um den Cyber-Angriffen entgegenzutreten und daraus resultierende Schäden zu minimieren.

Dazu sind die IT-Systeme spätestens alle zwei Jahre an den jeweils aktuellen Stand der Technik anzupassen. § 75c SGB V empfiehlt insofern die Einsetzung des Branchenstandards BS3 und eine Orientierung an diesem, während der Bund im Gegenzug die digitale Ausstattung der Krankenhäuser mit mehreren Milliarden Euro fördern will.[14]

Fazit

Die Cybersicherheit in der Gesundheitsbranche ist ein sensibles und wichtiges Thema. Um das notwendige Schutzniveau zu erreichen, ist dabei ein angemessener rechtlicher Rahmen unerlässlich. Neben den bestehenden Vorschriften enthält auch das nach langjähriger Beratung von der Bundesregierung im Januar 2021 vorgelegte Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)[15] verschiedene Regelungen, die den Gesundheitssektor betreffen. Dabei unterfallen nicht nur Gesundheitseinrichtungen wie insbesondere Krankenhäuser, die Kritische Infrastrukturen vorhalten, den neuen Bestimmungen, sondern auch weitere Unternehmen, die der neuen Kategorie der „Unternehmen im besonderen öffentlichen Interesse“ angehören. Für eine zukunftsfähige und sichere IT-Infrastruktur muss sich bei Unternehmen in der Gesundheitsbranche und anderen medizinische Einrichtungen daher die Erkenntnis durchsetzen, dass die IT-Abteilung nicht ein bloßer Annex zum Kerngeschäft (z.B. der Betreuung von Patienten), sondern eine unabdingbare Ergänzung dessen ist – und die Allokation von finanziellen und personellen Ressourcen an dieser Stelle das Fundament für die Sicherheit sowohl der Systeme als auch der Patienten und Kunden darstellt.

Julia Schwegler

Dieser Beitrag erschien erstmals im BayWiDI-Magazin 2/2021. Die vollständige Ausgabe finden Sie hier.

[1] Cyberangriff auf irischen Gesundheitsdienst, Tagesspiegel.de, Update vom 14.05.2021.

[2] Irland fährt IT-System des Gesundheitsdienstes nach Hackerangriff herunter, Welt.de, 14.05.2021.

[3] Sachs/Voland/Vogel, Mehr Prävention verordnet, LTO.de, 11.03.2021.

[4] von Westernhagen, Nach Cyberangriff auf EMA: E-Mail-Korrespondenz zu Corona-Impfstoffen geleakt, Heise Online, 21.01.2021.

[5] Sachs/Voland/Vogel, Mehr Prävention verordnet, LTO.de, 11.03.2021.

[6] Kerkmann/Nagel, Todesfall nach Hackerangriff auf Uni-Klinik Düsseldorf, Handelsblatt.de, 18.09.2020.

[7] Hierzu und zum Folgenden vgl. BSI, KRITIS-Sektor Gesundheit: Informationssicherheit in der stationären medizinischen Versorgung – Rahmenbedingungen, Status Quo, Handlungsfelder, 2020, S. 10.

[8] Vgl. Werner, Krankenhaus-IT im Rahmen Kritischer Infrastrukturen, Healthcare Computing, 16.09.2020, dort auch zum Folgenden.

[9] Götz, IT-Sicherheit im Krankenhaus: Ab 2022 für alle verpflichtend, DQS.de, 30.03.2021.

[10] Götz, IT-Sicherheit im Krankenhaus: Ab 2022 für alle verpflichtend, DQS.de, 30.03.2021.