Immer wieder werden Krankenhäuser und andere medizinische Einrichtungen zum Opfer von Cyber-Angriffen. Laut einer Studie des Ponemom Instituts, ist der Bereich Gesundheit sogar eine der Branchen, die am häufigsten von IT-Sicherheitsvorfällen betroffenen ist – kein Wunder, denn hier lassen sich sensible Patientendaten ergaunern und anschließend teuer verkaufen.

Der wohl prominenteste Fall ist die WannaCry-Welle im Mai vergangenen Jahres. Hacker verschafften sich über eine Sicherheitslücke Zugriff auf das IT-System der britischen Gesundheitsbehörde National Health Service (NHS) und verschlüsselten mithilfe einer Ransomware eine große Zahl von Daten, um Lösegeld zu erpressen.

Die Folge: Insgesamt mussten 6912 Termine verschoben werden, darunter auch zahlreiche Operationen. Doch Cyber-Attacken können noch frappierendere Folgen haben: Durch die zunehmende Vernetzung der IT-Infrastrukturen in Gesundheitseinrichtungen droht die Gefahr, dass Hacker sich – etwa über einen Bürocomputer – Zugriff auf medizinische Geräte oder Systeme verschaffen und deren Funktion einschränken.

Widerstandsfähig gegen Cyber-Angriffe werden

Einrichtungen im Bereich Gesundheit müssen ihre IT-Infrastruktur also so gut wie möglich vor Angreifern schützen. Denn hier geht es letztlich nicht nur um finanzielle Einbußen, sondern um Menschenleben. In der EU sind Unternehmen im Gesundheitssektor sogar gesetzlich dazu verpflichtet, für ein Mindestmaß an Sicherheit zu sorgen.

Zielvorgabe ist, auch im Falle eines erfolgreichen Hacker-Angriffs, handlungsfähig zu bleiben, damit sich etwa Operationen nicht verschieben oder wichtige Untersuchungen aufgrund von Fehlfunktionen der erforderlichen medizinischen Geräte nicht ausfallen.

Sustainable Cyber Resilience

Herkömmliche reaktive IT-Sicherheitsmaßnahmen reichen dafür jedoch nicht mehr aus. Vielmehr müssen Krankenhäuser und Co. vorsorgen und ihre Angriffsfläche auf ein Minimum reduzieren, um widerstandsfähig gegen Cyber-Angriffe zu werden.

Dieser Zustand nennt sich Sustainable Cyber Resilience. Dahinter verbirgt sich ein Konzept, das weit über klassische IT-Schutzmaßnahmen hinausgeht. Eines der Kernelemente ist hierbei Schwachstellenmanagement (engl. Vulnerability Management). Denn letztlich sind es Schwachstellen im IT-System, über die sich Hacker Zugriff zu den Systemen verschaffen.

Sicherheitslücken erkennen, priorisieren und beheben

Um Schwachstellenmanagement im Rahmen eines Cyber-Resilience-Ansatzes effektiv umzusetzen, ist es zunächst wichtig, sich einen Überblick über alle eingesetzten Systeme zu verschaffen. In Krankenhäusern und Kliniken sind dies etwa Patienten-Management-Systeme (PMS), in denen sensible Patientendaten gespeichert sind oder digitale Bildarchivierungs- und Kommunikationssysteme (PAC), die Bilddaten und Befunde verwalten.

Zunehmend halten auch mobile Endgeräte Einzug in den Klinikalltag. So verwenden Ärzte bei der Visite beispielsweise iPads, um direkt auf die Krankenakte des Patienten zuzugreifen. Angesichts der Vielzahl an Betriebssystemen, Applikationen, brandneuen Geräten und komplexen Legacy-Systemen ist es nicht verwunderlich, dass sich hier eine Reihe von Angriffspunkten für Hacker bieten.

Da sich IT-Infrastrukturen kontinuierlich verändern und weiterentwickeln, lässt sich ein Zustand der vollständigen Sicherheit zu keinem Zeitpunkt erreichen. Daher müssen sich Verantwortliche im nächsten Schritt darüber klar werden, welche Systeme sie wie intensiv schützen wollen beziehungsweise müssen – sprich, an welcher Stelle ein Angriff besonders fatal wäre und wie hoch die Wahrscheinlichkeit dafür ist.

Fazit: Risiken lassen sich managen

Anschließend stellt ein Vulnerability-Scan fest, welche Schwachstellen die IT-Infrastruktur derzeit aufweist, priorisiert sie und gibt Hinweise, wie sie sich beheben lassen. Auf diese Weise können Verantwortliche das Risiko von Hacker-Angriffen um ein Vielfaches reduzieren.

Mithilfe von Schwachstellenmanagement können sich Krankenhäuser und Co. nachhaltig gegen Hacker-Angriffe schützen. Um einen Zustand der Sustainbable Cyber Resilience zu erreichen, gibt es jedoch noch weitere Faktoren zu berücksichtigen. So müssen sich etwa alle Klinikmitarbeiter im Klaren über Risiken wie Malware sein und im Rahmen von Schulungen sensibilisiert werden. Letztlich geht es darum, Risiken zu managen und das richtige Maß an Sicherheit und Risikobereitschaft abzuwägen.