Georg Thieme Verlag KG

KlinikenAbsolute IT-Sicherheit gibt es nicht

Nach dem Angriff auf das Netzwerk des Deutschen Roten Kreuzes ist das Thema IT-Sicherheit in aller Munde. Im Gespräch mit kma erläutert Jürgen Flemming, Vorstandsmitglied des Bundesverbands KH-IT, wie sicher die IT-Landschaft in Kliniken und Krankenhäusern ist.

Cybersicherheit
Pixabay

Symbolfoto

Jürgen Flemming
Bundesverband KH-IT e.V.

Jürgen Flemming ist IT-Leiter im Krankenhaus sowie Vorstandsmitglied und Beisitzer der Presse- und Öffentlichkeitsarbeit des Bundesverbands KH-IT e.V.

Herr Flemming, wie steht es, angesichts des jüngsten Sicherheitsvorfalls in den DRK-Kliniken Südwest, generell um die IT-Sicherheit in deutschen Kliniken?

Grundsätzlich ist jede Organisation, die mit ihrem Netzwerk Verbindungen zur Außenwelt unterhält, angreifbar – absolute Sicherheit gibt es nicht. Krankenhäuser sind in weiten Teilen öffentlich zugängliche Organisationen und daher noch viel leichter zu treffen als irgendein Unternehmen. Man kann sich etwa in einem Krankenhaus verstecken, um in den Ruhezeiten offene Netzwerkstellen zu suchen – oder sich einfach in die Nähe des Krankenhauses stellen, um eine Attacke auf dessen WLAN zu versuchen. Solche Angriffe sind schwer zu erkennen, aber im Grunde durch eine abgesicherte Netzwerk-Infrastruktur noch leicht abzuwehren. Einem ausgebildeten Hacker wird es aber immer gelingen, solche Hürden zu überwinden. Ein ganz anderer Angriffsvektor ist der Versuch, per Mail entsprechend präparierte Dateien mit Schadsoftware ins Unternehmen einzubringen. Das ist nur eine Frage der Zeit, irgendwann wird man es schaffen. Sobald die Schadsoftware auf einem Rechner aktiv wird, lädt diese weiteren Schadcode nach und beginnt ihre Arbeit. Wenn die Arbeit im Verschlüsseln von Daten besteht – wie bei den DRK-Häusern – merkt man das relativ schnell. Wenn das Ziel aber im Abgreifen von Daten besteht, kann es ohne weiteres passieren, dass man das niemals bemerkt.

Zur Minimierung der Risiken durch Cyberangriffe empfiehlt der Bundesverband KH-IT unter anderem den Einsatz sogenannter „Next-Generation-Firewalls“. Wie viele Kliniken sind damit denn ausgestattet?

Die Next-Generation-Firewall analysiert auch das Kommunikationsverhalten der einzelnen Netzwerkteilnehmer – etwa den Datenverkehr zwischen den Rechnern im Haus und kritischen Webseiten. So kann man relativ schnell merken, wenn hier plötzlich verschlüsselte Daten ausgetauscht werden. Kaum ein Krankenhaus kommuniziert allerdings, welche Firewalls es einsetzt – was auch verständlich ist, denn je genauer man als Angreifer die gegnerische Landschaft kennt, umso leichter ist es, sie zu knacken.

Ein weiterer Punkt der Empfehlung ist die Sensibilisierung der Mitarbeiter durch Schulungen. Greifen diese Maßnahmen denn?

Diese Sensibilisierung der Mittarbeiter ist sicherlich noch entwicklungsfähig, um es mal freundlich auszudrücken. Viele Pflegekräfte und auch die Ärzteschaft betrachten Sicherheitsanforderungen leider als extrem lästig. Ein automatischer Logout etwa – wenn sie ein paar Minuten nicht an ihren Rechnern sitzen – bedeutet beispielsweise, dass sie sich extra wieder anmelden müssen, wenn sie zurückkommen. Daher ist schon sehr viel erreicht, wenn man in Mittarbeiterschulungen klar macht, grundsätzlich keine E-Mail-Anhänge zu öffnen, von denen der Absender nicht bekannt ist oder die ausführbare Dateien enthalten. Oder niemals auf einen Link in einer Mail mit verdächtigem Inhalt zu klicken. Zudem sollte das Verhalten im Krisenfall geschult werden, etwa was zu tun ist, wenn man auf so einen Anhang geklickt hat.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!