Georg Thieme Verlag KG

KlinikenAbsolute IT-Sicherheit gibt es nicht

Nach dem Angriff auf das Netzwerk des Deutschen Roten Kreuzes ist das Thema IT-Sicherheit in aller Munde. Im Gespräch mit kma erläutert Jürgen Flemming, Vorstandsmitglied des Bundesverbands KH-IT, wie sicher die IT-Landschaft in Kliniken und Krankenhäusern ist.

Cybersicherheit
Pixabay

Symbolfoto

Jürgen Flemming
Bundesverband KH-IT e.V.

Jürgen Flemming ist IT-Leiter im Krankenhaus sowie Vorstandsmitglied und Beisitzer der Presse- und Öffentlichkeitsarbeit des Bundesverbands KH-IT e.V.

Herr Flemming, wie steht es, angesichts des jüngsten Sicherheitsvorfalls in den DRK-Kliniken Südwest, generell um die IT-Sicherheit in deutschen Kliniken?

Grundsätzlich ist jede Organisation, die mit ihrem Netzwerk Verbindungen zur Außenwelt unterhält, angreifbar – absolute Sicherheit gibt es nicht. Krankenhäuser sind in weiten Teilen öffentlich zugängliche Organisationen und daher noch viel leichter zu treffen als irgendein Unternehmen. Man kann sich etwa in einem Krankenhaus verstecken, um in den Ruhezeiten offene Netzwerkstellen zu suchen – oder sich einfach in die Nähe des Krankenhauses stellen, um eine Attacke auf dessen WLAN zu versuchen. Solche Angriffe sind schwer zu erkennen, aber im Grunde durch eine abgesicherte Netzwerk-Infrastruktur noch leicht abzuwehren. Einem ausgebildeten Hacker wird es aber immer gelingen, solche Hürden zu überwinden. Ein ganz anderer Angriffsvektor ist der Versuch, per Mail entsprechend präparierte Dateien mit Schadsoftware ins Unternehmen einzubringen. Das ist nur eine Frage der Zeit, irgendwann wird man es schaffen. Sobald die Schadsoftware auf einem Rechner aktiv wird, lädt diese weiteren Schadcode nach und beginnt ihre Arbeit. Wenn die Arbeit im Verschlüsseln von Daten besteht – wie bei den DRK-Häusern – merkt man das relativ schnell. Wenn das Ziel aber im Abgreifen von Daten besteht, kann es ohne weiteres passieren, dass man das niemals bemerkt.

Zur Minimierung der Risiken durch Cyberangriffe empfiehlt der Bundesverband KH-IT unter anderem den Einsatz sogenannter „Next-Generation-Firewalls“. Wie viele Kliniken sind damit denn ausgestattet?

Die Next-Generation-Firewall analysiert auch das Kommunikationsverhalten der einzelnen Netzwerkteilnehmer – etwa den Datenverkehr zwischen den Rechnern im Haus und kritischen Webseiten. So kann man relativ schnell merken, wenn hier plötzlich verschlüsselte Daten ausgetauscht werden. Kaum ein Krankenhaus kommuniziert allerdings, welche Firewalls es einsetzt – was auch verständlich ist, denn je genauer man als Angreifer die gegnerische Landschaft kennt, umso leichter ist es, sie zu knacken.

Ein weiterer Punkt der Empfehlung ist die Sensibilisierung der Mitarbeiter durch Schulungen. Greifen diese Maßnahmen denn?

Diese Sensibilisierung der Mittarbeiter ist sicherlich noch entwicklungsfähig, um es mal freundlich auszudrücken. Viele Pflegekräfte und auch die Ärzteschaft betrachten Sicherheitsanforderungen leider als extrem lästig. Ein automatischer Logout etwa – wenn sie ein paar Minuten nicht an ihren Rechnern sitzen – bedeutet beispielsweise, dass sie sich extra wieder anmelden müssen, wenn sie zurückkommen. Daher ist schon sehr viel erreicht, wenn man in Mittarbeiterschulungen klar macht, grundsätzlich keine E-Mail-Anhänge zu öffnen, von denen der Absender nicht bekannt ist oder die ausführbare Dateien enthalten. Oder niemals auf einen Link in einer Mail mit verdächtigem Inhalt zu klicken. Zudem sollte das Verhalten im Krisenfall geschult werden, etwa was zu tun ist, wenn man auf so einen Anhang geklickt hat.

Das Bundesinnenministerium hat im Rahmen des IT-Sicherheitsgesetzes alle Kliniken mit über 30 000 vollstationären Fällen pro Jahr verpflichtet, Vorkehrungen gemäß dem Branchensicherheitsstandard UP KRITIS zu treffen. Greift dieser Schutz denn?

Hier muss man zwischen außeruniversitären großen Häusern und den Unikliniken differenzieren. Denn Unikliniken haben immer ein Nebeneinander von Forschung und Lehre auf der einen Seite und dem normalen Klinikbetrieb auf der anderen. Zwar verwendet man hier in der Regel physisch getrennte Netze, aber das funktioniert in der Realität nie hundertprozentig. Denn in Unikliniken sind viel mehr Leute in diesen kritischen Netzen unterwegs als in normalen Kliniken. Wenn zum Beispiel ein Chefarzt einen Lehrstuhl betreibt und seine Fachklinik, lässt er sich von einem IT-Experten oft nicht gerne sagen, wie er sein System zu führen hat. Zudem werden Geräte wie ein CT, ein Nuklearbeschleuniger oder auch Laboranalysegeräte heute in der Regel über das Internet ferngewartet und vom Hersteller überwacht. Dieser Zugang ist dann meist offen – was ganz klar nicht den Datenschutzanforderungen entspricht, aber in der Realität so ist – wodurch das Netz dieses Herstellers quasi ein weiterer Bestandteil des Krankenhausnetzes wird. Das Problem dabei ist: Sie haben auf die Sicherheit des Herstellernetzes keinen Einfluss.

Sollte der KRITIS-Schutz Ihrer Ansicht nach auch auf kleinere Häuser ausgeweitet werden?

Dem Innenministerium und dem BSI war von vornherein klar, dass die Regelung zunächst nur für die großen Häuser gelten kann, weil die kleinen Häuser kurzfristig gar nicht in der Lage sind, diese Forderungen umzusetzen. Es war aber genauso klar, dass sich mittelfristig auch kleine Häuser den gleichen Regeln beugen müssen. Damals wurde davon ausgegangen, dass zwei Entwicklungen greifen: Dass damit erstens das Verständnis für diese Regelungen steigt und damit auch die Bereitschaft, solche Dinge zu finanzieren – seitens der Kostenträger oder seitens der Länder. Zweitens aber auch, dass die Anbieter durch den sich vergrößernden Markt und die Zeit, die damit ins Land geht, gewisse Dienstleistungen und Hard- und Software vielleicht auch etwas günstiger anbieten. Beide Punkte sehe ich heute etwas kritischer. Trotzdem halte ich es für sehr sinnvoll, den KRITIS-Schutz auch auf kleine Häuser auszuweiten. Zumal das Thema auch eine Eigendynamik annimmt: Wenn durch Cyberangriffe kleine Häuser Schäden erleiden, werden die Versicherungen unter Verweis auf die KRITIS-Häuser auch von diesen Häusern verlangen, solche Maßnahmen umzusetzen – oder ihre Prämien erhöhen. Auch die Gerichte werden feststellen, das KRITIS eigentlich der Stand der Technik ist. Seitens der Kostenträger ist das Bewusstsein dafür, dass IT-Sicherheit im Krankenhaus ein entscheidender Faktor ist und daher genauso finanziert werden muss wie alles andere, allerdings noch nicht wirklich durchgedrungen.

Die Gesundheitsministerin von Rheinland-Pfalz fordert ein „Sofortprogramm Bund zur IT-Sicherheit in Krankenhäusern“, das besonders kleinere Krankenhäuser dabei unterstützen soll, verstärkt in die Sicherheit der Krankenhaus-IT zu investieren. Wie sinnvoll ist diese Forderung?

Die Forderung ist absolut sinnvoll, zumal auch seitens des BMI seinerzeit versichert wurde, die Maßnahmen zur Sicherung der IT zumindest teilweise oder sogar voll aus dem Krankenhausstrukturfonds zu finanzieren. Allerdings liegt die Verpflichtung zur Investition der Krankenhäuser bei den Ländern: Eine Unterstützung für die IT-Sicherheit ist eine Investition, das kann man schlecht bei den Betriebskosten unterbringen. Es sei denn, man legt einen gewissen Anteil der IT-Kosten auf die DRGs um, damit hätte man zumindest die nicht unerheblichen Betriebskosten für die IT-Sicherheit abgedeckt. Die Anbieter von IT-Sicherheitslösungen sollten ihre Konzepte spezifisch für die Krankenhäuser weiter entwickeln. Ich empfehle daher, dass sich kleinere Häuser auf der IT-Ebene zusammenschließen, um ein gemeinsames Rechenzentrum zu betreiben. Denn damit hat man nicht nur maximal drei Leute für die IT-Sicherheit, sondern deutlich mehr. Es ist illusorisch zu glauben, einzelne kleine Kliniken auch nur annähernd so gut schützen zu können, wie man es bei den großen Häusern tun kann.

Wie sieht die Zukunft aus, werden sich solche Angriffe verstärken?

In Zukunft wird es mehr Angriffe auf die Krankenhaus-IT geben. Andererseits werden wir hoffentlich in der Lage sein, mehr dieser Angriffe überhaupt aufzudecken. Ich bin überzeugt davon, dass heute viele dieser Angriffe völlig unbemerkt bleiben. Im Moment haben wir noch das Glück, dass Kliniken für Hacker finanziell ein nicht besonderes lohnendes Ziel sind. Allerdings ist etwa die ganze Medizintechnik in punkto IT-Sicherheit ein wahres Desaster. Gleiches gilt auch für die Klimatisierungstechnik im OP – die ebenfalls computergesteuert ist. In Zukunft sehe ich gerade hier ein verstärktes Potenzial für Cyberterrorismus und gezielte Sabotage. Ich glaube also, dass sich nicht nur die Angriffe verstärken werden, sondern dass sich auch die Angriffsvektoren ändern werden. Mit einer einmaligen Investition in die IT-Sicherheit wird es nicht getan sein, man wird sich quasi permanent weiterentwickeln müssen. Denn auch die Technik der Hacker entwickelt sich weiter. Daher rate ich allen Beteiligten hier, endlich zu der Einsicht zu gelangen, dass Unachtsamkeit in Sachen IT-Sicherheit extreme Folgen haben kann. Das ist wie mit den Fingern und der heißen Herdplatte: Oftmals muss man sich selbst verbrennen, um den Zusammenhang zu erkennen. Der gerade vorliegende Fall der DRK-Kliniken zeigt das wieder deutlich, aber auch der Angriff auf die Kliniken in Neuss vor wenigen Jahren. Immerhin gibt es schlaue Leute, die auch aus der Erfahrung anderer lernen können.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!