Georg Thieme Verlag KG

IT-SicherheitKliniken wappnen sich gegen Cyber-Angriffe

Welche Sicherheitsprodukte und -dienstleistungen können gegen Hackerangriffe helfen? Das Förderprojekt MITSicherheit.NRW hat einige für die rund 340 NRW-Kliniken erprobt, um ihre IT-Strukturen nachhaltig zu schützen. 

Cyber Security
New Africa/stock.adobe.com

Symbolfoto

Cyberangriffe auf nordrhein-westfälische Krankenhäuser machen nicht bei der Informations- und Netzwerktechnik Halt, sie bedrohen insbesondere auch ihre Medizingeräte. Zum Schutz der sensiblen Daten und zur Vermeidung unberechtigter Zugriffe gründeten sechs Partner das Förderprojekt MITSicherheit.NRW. Zwischen 2019 und 2021 erprobten unter der Leitung von MedEcon Ruhr die Unternehmen G DATA Advanced Analytics, Visus Health IT und Radprax Gesellschaft für medizinische Versorgungszentren sowie die Ruhr-Universität Bochum und die FH Münster gemeinsam mit der Krankenhausgesellschaft Nordrhein-Westfalen (KGNW) neue Sicherheitsprodukte und -dienstleistungen für die rund 340 NRW-Krankenhäuser.

Dabei untersuchten sie die genutzte Informations- und vernetzbare Medizintechnik in abgeschlossener, sicherer Laborumgebung auf mögliche Schwachstellen und erstellten neue Instrumente zur Verbesserung der medizinischen IT-Strukturen in Krankenhäusern. Die EU und das Land NRW förderten das Projekt mit 1,7 Millionen Euro. Weiterhin flossen Eigenmittel. Inzwischen ist das Projekt erfolgreich beendet.

IT-Expert*innen identifizierten zahlreiche Angriffe

Für die Medizin-IT-Industrie erarbeiteten die Projektbeteiligten die Testumgebung „MedFUZZ“, einen Fuzzer für die medizinischen Protokolle DICOM und HL7. Sie ermöglicht den Unternehmen eine Prüfung auf Sicherheitslücken oder Instabilitäten der eigenen Software. Speziell für die IT-Abteilungen der Krankenhäuser ist der neue Scanner „MedVAS“ entwickelt worden. Er durchsucht die Krankenhausstrukturen bei laufendem Betrieb auf mögliche Verwundbarkeit und bezieht die Ergebnisse aus den MedFUZZ Softwaretests ein.

Bereits während der Projektphase identifizierten die IT-Expertinnen und -Experten über den „Large Scale Scanner“ zahlreiche Angriffspunkte für Angriffe aus dem Internet. Diese beruhten auf fehlerhaften Konfigurationen in der Datenkommunikation mit Partnereinrichtungen oder mit Patientinnen und Patienten. Über die Kooperation mit den zuständigen Behörden ließen sich mehrere hundert konkrete Sicherheitslücken schließen. Damit verbesserte sich das Sicherheitsniveau der NRW Gesundheitswirtschaft insgesamt.

Sicherheitslevel selbstständig erhöhen

Eine umfangreiche Studie zur IT-Sicherheit der NRW-Krankenhäuser diente als Grundlage für die Entwicklung der Instrumente. Basis bildete die Auswertung einer umfangreichen Befragung von rund zehn Prozent der nordrhein-westfälischen Krankenhäuser. Die Studie gibt darüber hinaus direkte Empfehlungen an die Kliniken, um ihren eigenen Sicherheitslevel zu erhöhen (in nicht hierarchischer Reihenfolge):

  1. Verstetigung von IT-Sicherheitsbudgets
  2. Etablierung einer/eines Informationssicherheitsbeauftragte/-n
  3. Qualifizierung des Personals
  4. Einführung eines Informationssicherheitsmanagementsystems (ISMS)
  5. Installation eines Notfallmanagements
  6. Durchführung von Awareness-Schulungen
  7. Prüfung der Kooperation mit externen Dienstleistern
  8. Schaffung gemeinsamer Strukturen

„Nun bedarf es einer Anerkenntnis der vollständigen Kosten, die aus der notwendigen Digitalisierung des Gesundheitswesens entstehen. Die resultierenden Gewinne in puncto Effizienz und Behandlungsqualität kommen nur dann zum Tragen, wenn Informations- und Medizintechnik den Patientinnen und Patienten, den Ärztinnen und Ärzten sowie weiterem Krankenhauspersonal zuverlässig, wie erwartet, zur Verfügung stehen“, forderten Dr. Tilman Frosch, Geschäftsführer G DATA Advanced Analytics, und Burkhard Fischer, Referatsleiter „Qualitätsmanagement, IT und Datenanalyse“ der KGNW, stellvertretend für die Projektbeteiligten.

„Konkret müssen sowohl Landes- und Bundespolitik als auch durch die erste Führungsebene eines jeden Hauses Verantwortung für diese Verfügbarkeit übernehmen. Das Krankenhauszukunftsgesetz sieht erstmalig zweckgebundene Mittel für IT-Sicherheit als Finanzierungsbestandteil vor. Erst eine Verstetigung der relevanten Budgets erlaubt auch die nachhaltige Akquise von IT-Sicherheitsfachleuten und den Aufbau der notwendigen Organisationsstrukturen.“

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!