Georg Thieme Verlag KG
Der kma Entscheider-Blog

kma Entscheider BlogCybersicherheit muss Chefsache sein!

Cyberrisiken bedrohen die Versorgungssicherheit und gefährden Menschenleben. Die zunehmende digitale Vernetzung führt zu neuen Angriffspunkten. Das Management von Gesundheitsbetrieben muss die Widerstandsfähigkeit gegen Cyberangriffe aktiv gestalten!

Philipp Köbe

Philipp Köbe ist freiberuflicher Dozent und Unternehmensberater im Gesundheitswesen.

Spätestens seit dem Jahr 2016 sind deutsche Kliniken im Fokus von Cyberkriminellen, die mithilfe von Ransomware Kliniken lahm legten. Besonders hart wurde das Lukaskrankenhaus in Neuss getroffen. Erpresser verschlüsselten die Daten, die nur gegen Zahlung von Lösegeld den Leistungserbringern verfügbar gemacht wurden. Auch in den Vereinigten Staaten waren zahlreichen Kliniken betroffen. Die Fälle belegten die hohe Anfälligkeit der Krankenhäuser und zeigten zugleich, dass die Versorgung einer ganzen Region kurzfristig gefährdet sein könnte. Auch die Manipulation von Devices, kann zu lebensbedrohlichen Folgen führen, wenn Messergebnisse verfälscht werden oder Patienten nicht die richtige Therapie erhalten.

Cybersicherheit benötigt ausreichend Ressourcen

Der Segen der digitalen Transformation bringt neue Risiken mit sich. Auch die Schattenseiten eines voll digitalisierten Krankenhauses müssen daher in den Blick genommen werden. Die Cyberangriffe aus dem Jahr 2016 haben die Bundesregierung veranlasst, kritische Infrastruktur besonderen Regelungen zu unterwerfen. Seit 2017 mussten die Kliniken bei der Cybersicherheit aufrüsten. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind die Maßnahmen zur Widerstandsfähigkeit gegen Cyberattacken nachzuweisen.

Es stellt sich jedoch die Frage, woher die Kliniken die zusätzlichen Mittel nehmen sollen. Ein wesentlicher Grund für die mangelnden Sicherheitsvorkehrungen bis 2016 war eine veraltete Infrastruktur in den Kliniken. Für einen erfolgreichen Angriff reichen bereits kleine Schwachstellen aus. Es ist jedoch auch ein großer personeller Aufwand erforderlich, um Risiken zu identifizieren, die Belegschaft zu sensibilisieren und Gegenmaßnahmen kontinuierlich zu monitoren. Es wäre höchste Zeit, dass die Bundesländer mit zusätzlichen Mitteln die IT-Sicherheit finanzieren.

Schwachstellen identifizieren und überwachen

Ist ein Hackerangriff erfolgreich, kann das für ein Klinikum erheblichen finanziellen Schaden mit sich bringen und die Reputation nachhaltig schädigen. Der tagelange Ausfall von IT-Diensten oder der eingeschränkte Abruf von Daten, verlängern administrative Tätigkeiten und machen Diagnostik und Behandlung in einigen Fällen unmöglich. Die Absage von Terminen bis hin zu Operationen, kann für Krankenhäuser ein erheblicher wirtschaftlicher Einschnitt sein. Die Investition in eine bessere IT-Sicherheit auf der einen Seite sowie eine laufende Überwachung der Maßnahmen zur Cyberabwehr auf operativer Ebene, müssen in jeder Gesundheitseinrichtung Pflichtprogramm sein. Gerade jetzt, wo in Projekten und Arbeitsgruppen zahllose Digitalisierungsmaßnahmen geplant und umgesetzt werden.

Das Schwachstellen-Management stellt daher einen wesentlichen Baustein zur Widerstandsfähigkeit dar, um bei einem Cyberangriff weitestgehend handlungsfähig zu bleiben. Ein Beispiel ist das Geräte-Management. Ältere Geräte mit veralteter Software sollten möglichst außer Betrieb genommen werden. Zudem sollte ein Überblick vorhanden sein, welche Geräte überhaupt am Netz sind und möglicherweise ein Sicherheitsrisiko darstellen. Die Schulung des Personals ist ein weiterer wesentlicher Aspekt. Viele Mitarbeiter wissen nicht, welche Folgen das unbedachte Öffnen von E-Mail-Anhängen oder Links hat. Bei dem hektischen Arbeitsalltag des medizinischen und pflegerischen Personals wundert dies wenig. Eine hinreichende Vorsicht und Sensibilität für mögliche Cyberrisiken muss schrittweise an das Personal herangeführt werden und kontinuierlich aktualisiert und aufgefrischt werden. Auch in anderen Ländern wurde mit Schulungsmaßnahmen ein besonders großer Effekt erzielt.

Die IT-Sicherheit muss Chefsache sein

Betrachtet man die Auswirkungen, die ein Cyberangriff mit sich bringen kann, darf das IT-Sicherheitsmanagement nicht auf die unteren Ebenen delegiert werden. Eine Cybersicherheits-Strategie muss im Top-Management entstehen. Das notwendige Know-How muss vorhanden sein und ein damit verbundenes Verständnis über die Notwendigkeit gezielter Interventionen. Während in Maßnahmen zum Datenschutz umfängliche Ressourcen fließen, darf die Cyberabwehr keine geringere Bedeutung haben.

Der Markt für Anbieter von Sicherheitslösungen wächst seit 2016 stark. Fehlen Kompetenz oder personelle Ressourcen, können Kliniken bestimmte Dienste outsourcen. Auch eine engere Zusammenarbeit mit den Herstellern von Medizinprodukten oder anderen Devices bei der Cyberabwehr oder der Nutzung von Cloud-Diensten kann eine Maßnahme zur Erhöhung der Widerstandsfähigkeit sein. In jedem Fall muss dem Management eines Klinikums die Tragweite bewusst sein und dass eine breite Facette an Lösungen zur Verfügung steht.

Nutzungs­bedingungen

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!