Wenn Cyberangriffe auf Krankenhäuser in die Schlagzeilen geraten, ist die öffentliche Bestürzung groß. Im aktuellen Ausnahmezustand aufgrund von COVID-19 sind Krankenhäuser noch leichter verwundbar und Folgen von Hacker-Attacken noch schwerwiegender. Im Interview mit mednic.de spricht Rico Barth, CEO des IT-Dienstleisters cape IT aus Chemnitz, über Cybergefahren, Risiken für die Krankenhaus-IT, Gesetzeslücken und Lösungsansätze.
mednic.de: Das neuartige Corona-Virus beschäftigt uns momentan alle fast ausschließlich. Welche Konsequenzen hat die einzigartige Situation in den Krankenhäusern auf deren IT-Sicherheit?
Rico Barth: Es gibt vereinzelte Meldungen, dass bestimmte Hackergruppen zurzeit keine Krankenhäuser oder andere medizinische Akteure und Organisationen angreifen wollen. Das mag im ersten Moment hoffnungsvoll klingen. Aber erstens repräsentieren die genannten Gruppen einen Bruchteil der Hackercommunity. Und zweitens: Wer glaubt denn ernsthaft, dass diese Menschen, die für Profit und Vergnügen Schwachstellen anderer ausnutzen, ausgerechnet in dieser Situation ein Gewissen entwickeln?
Krisen öffnen Hackern die Türen
mednic.de: Sie gehen davon aus, dass es mehr Cyberangriffe geben wird?
Rico Barth: Es wäre auf jeden Fall fahrlässig zu glauben, es würde nun ruhiger werden dahingehend. Am 12. März traf es ja bereits ein tschechisches Krankenhaus in Brno, das auch eins der größten COVID-19-Testlabore des Landes beherbergt. Die Verantwortlichen mussten das gesamte Netzwerk offline nehmen, Operationen verschieben und besonders akute Fälle in ein benachbartes Krankenhaus verlegen. Dem Krankenhausdirektor zufolge wird es Wochen dauern, bis alle Systeme wieder voll funktionstüchtig sind. Das kann natürlich auch in Deutschland passieren. Krisen öffnen Hackern die Türen. In der übermäßig angespannten Situation gibt es noch weniger Toleranz für Fehler und Zwischenfälle, gleichzeitig sind die medizinischen Fachkräfte überarbeitet und möglicherweise weniger wachsam. Gerade in Krisenzeiten darf IT-Sicherheit nicht nur ein Nachgedanke sein.
Handlungsbedarf
mednic.de: 2019 gab es zwei sehr medienwirksame Hackerangriffe, im Juli in Rheinland-Pfalz und im Saarland, im Dezember im Klinikum Fürth. Die Gesundheitsministerin von Rheinland-Pfalz hatte daraufhin mehr Geld vom Bund auch für kleinere Krankenhäuser eingefordert und eine Expertenkommission zusammengerufen, die Lösungen für die Branche erarbeiten sollte. Was hat sich seitdem getan? Sind den großen Worten der Politiker auch Taten gefolgt?
Rico Barth: Die finanziellen Forderungen hatte der parlamentarische Staatssekretär des Bundesgesundheitsministeriums bereits im September letzten Jahres abgeschmettert. Auch das IT-Sicherheitsgesetz 2.0, das den KRITIS-Schwellenwert von 30.000 vollstationären Behandlungsfällen im Jahr möglicherweise herabsetzen soll, steckt immer noch in der Ressortabstimmung. Die Expertenkommission hat Mitte März ihre Ergebnisse veröffentlicht und setzt darin vor allem auf höhere Transparenz, eine bessere Nutzung der bestehenden Informations- und Weiterbildungsmöglichkeiten und Mitarbeiterschulungen, aber auch auf eine intensivere Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Und die Kommission erneuert natürlich die Forderung an den Bund nach mehr Geld vom Bund auch für kleinere Krankenhäuser.
Schlanke Systeme gegen Hacker
mednic.de: Was können Krankenhäuser präventiv tun, um sich vor Cyberangriffen zu schützen? Sofort und mittelfristig?
Rico Barth: Die Anforderungen des IT-Grundschutz vom BSI decken schon recht viel ab. Sie müssen nur durchgesetzt werden, was ja auch sukzessiv erfolgen kann. Der spezielle Sicherheitskatalog B3S der Deutschen Krankenhausgesellschaft gibt Kliniken aller Größen einen Fahrplan an die Hand, um diesen Umbruch zu bewältigen. Wichtig ist zum Beispiel die sogenannte Härtung des Serversystems. Das System muss so schlank wie möglich gehalten werden, um Hackern keine Einstiegsmöglichkeiten zu bieten. Der Einsatz von Open Source Software ist dabei unbedingt zu empfehlen, denn so kann jeder Nutzer den Quellcode einsehen und auf Risiken und Schwachstellen überprüfen. Jedes Krankenhaus behält damit seine digitale Souveränität.
Selbstverständlich gehört auch eine Einbeziehung des Personals dazu: Nicht nur im Alltag müssen sie souverän mit der IT umgehen können, sie müssen genau wie auf Brände und Naturkatastrophen auch auf Cyberangriffe vorbereitet werden. Die IT ist oft einfach nur Mittel zum Zweck, sie muss funktionieren und macht eigentlich nur auf sich aufmerksam, wenn es mal Probleme gibt – das ist aber zu kurz gedacht. Der Blick auf die IT sollte sich auch hier wandeln: hin zu einer proaktiven, vorausschauenden Umgangsweise. Da stehen wir noch ganz am Anfang.
mednic.de: Müssen Sie bei Krankenhäusern höhere Sicherheitsstandards einhalten als bei anderen Kunden? Stellt Sie das als IT-Dienstleister vor besondere Herausforderungen?
Rico Barth: Service Management Systeme direkt einzubinden, ist heute absolut gefordert und nicht mehr nur ‚nice to have‘. Mit unserer Software KIX geht es uns darum, sämtliche Prozesse unserer Kunden zu unterstützen und bei Bedarf zu automatisieren, sei es IT, Haustechnik oder auch Medizingerätetechnik. Ziel ist es dabei, alle Bereiche mit individuellen Lösungen abzudecken – eine homogene IT-Monokultur wäre sogar eher eine Gefahr. Jede Klinik verfügt schon jetzt über eine gewachsene IT-Infrastruktur. Es bietet sich an, diese spezialisierten Lösungen über offene Schnittstellen miteinander kommunizieren zu lassen und nahtlos in ein IT-Sicherheitsmanagement zu integrieren, natürlich nach dem BSI-Standard.
mednic.de: Obwohl Einigkeit darüber herrscht, dass IT-Sicherheit immens wichtig ist, scheint es für die meisten Menschen, auch dem Krankenhauspersonal, eher ein lästiges Thema zu sein. Erleben Sie das auch so?
Rico Barth: Zum Teil zumindest. In den letzten Jahren hat da sicherlich aber auch sukzessive ein Umdenken begonnen. Dennoch wünsche ich mir so manches Mal, dass es schneller geht. Der Chefarzt ist und bleibt natürlich in erster Linie Mediziner. Wenn dieser sich ein neues Röntgengerät anschafft, denkt er nicht automatisch daran, was das für Arbeitsprozesse in der IT-Abteilung und beim technischen Personal in Gang setzt. Aber so ein Röntgengerät hat ja auch einen Netzwerkanschluss und muss in ein System eingepflegt werden, die Mitarbeiter müssen eingewiesen, das Gerät muss gewartet und das Ganze muss regelmäßig wiederholt werden. Und natürlich alles mit lückenloser Dokumentation. Hier können wir mit KIX, unserem Service Management System, helfen, strukturierte Arbeitsabläufe und eine sichere Betriebsführung zu ermöglichen. So wird die Dokumentation quasi automatisch erledigt. Spätestens wenn der Auditor seinen jährlichen Besuch im Krankenhaus absolviert und eine 1A-Dokumentationslage vorfindet, werden alle Krankenhausmitarbeiter dankbar für diesen Service sein.
Regelungen anpassen
mednic.de: Medizinische Geräte werden immer häufiger in Netzwerke integriert, so dass etwa Ärzte aus anderen Krankenhäusern Geräte übers Internet steuern können. Sobald sie einmal zertifiziert sind, dürfen sie aber nicht verändert werden, das heißt, auch keine Sicherheitsupdates ausführen. Wie können Krankenhäuser ihre Anti-Viren-Software trotzdem aktuell halten?
Rico Barth: Sicherheitsupdates sind wichtige Vorsorgemaßnahmen in der IT. Da wir digital immer komplexer zusammenwachsen, gilt das auch für alle Bereiche, die durch IT miteinander verbunden sind. Mit diesem Dilemma hat zum Beispiel auch Tesla zu kämpfen, sie dürfen eigentlich keine Sicherheitsupdates an ihren Autos durchführen. Die zentrale Bundesbehörde muss die bisherigen Regelungen dringend auf den Prüfstand stellen und an aktuelle technische Entwicklungen anpassen.