Vor wenigen Tagen legte eine Welle von Cyber-Attacken Zehntausende Computer von Unternehmen, Behörden und Verbrauchern weltweit lahm. Auch IT-Systeme von zahlreichen Krankenhäusern in Großbritannien wurden in Mitleidenschaft gezogen. Da die Sicherheit von Daten und der entsprechende Zugriff von berechtigten Personen darauf heutzutage einen wesentlichen Bestandteil der Arbeitsabläufe in Krankenhäusern und anderen Einrichtungen ausmachen, fragen sich aktuell zahlreiche Klinikbetreiber, Ärzte sowie Versicherte, ob dies auch in Deutschland möglich sei.
Der Bundesverband Gesundheits-IT – bvitg e.V. hat hierzu Stellung genommen und sieht den Gesundheitsbereich in Deutschland nicht gleichermaßen gefährdet an. „Im Gegensatz zu dem eher zentral organisierten Gesundheitssystem in Großbritannien ist die Gefahr eines flächendeckenden Ausfalls in den deutschen Krankenhäusern deutlich geringer. Durch die dezentralen Organisationsstrukturen bedarf es gezielter Angriffe jeder einzelnen Einrichtung, die dann auch noch die jeweiligen Sicherheitsrichtlinien und technischen Schutzmechanismen außer Kraft setzen müssten. Sollte dennoch eine Einrichtung betroffen sein, sind in der Regel die direkt umliegenden Krankenhäuser, die mit eigenen IT-Systemen ausgestattet, nicht betroffen. Der Vorfall zeigt aber, wie wichtig es ist, dass die aktuellen Attacken zentral ausgewertet und das Wissen drüber zeitnah an die Betreiber kritischer Infrastrukturen weitergegeben werden, damit wir, die Industrie, unsere Systeme auch weiterhin so sicher wie möglich machen können“, erklärt Ekkehard Mittelstaedt, Geschäftsführer des bvitg, die aktuelle Situation. Der bvitg-Verband stehe deshalb auch im aktiven Austausch mit dem Branchenarbeitskreis Gesundheit des UP KRITIS, um gemeinsam einen Branchenstandard mit Maßnahmen zur Bekämpfung von Cyber-Bedrohungen zu entwickeln.
IT-Sicherheit gibt es nicht umsonst
Grundsätzlich ist das Bewusstsein für das Thema IT-Sicherheit gestiegen. Das gilt auch für die Bereitschaft, die notwendigen Investitionen hierfür zu tätigen. „Vor diesem Hintergrund gilt es jedoch weiterhin die Frage zu klären: Wie kann eine solide Finanzierung in Hinblick auf notwendigen Investitionen in IT-Sicherheit kurzfristig und nachhaltig sichergestellt werden?“, so Mittelstaedt.
Leitfaden in Planung
Im Hinblick auf Initiativen in diesem Feld arbeitet momentan der bvitg gemeinsam mit der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS) und ZTG Zentrum für Telematik und Telemedizin GmbH an einem Leitfaden zur Erstellung eines IT-Sicherheitskonzeptes für Gesundheitseinrichtungen.
„Wir dürfen nicht vergessen, dass Erpressungstrojaner vor allem zu einem Problem werden, wenn ein Nutzer einen Link in einer E-Mail anklickt oder einen Anhang öffnet. Deshalb gilt es bei allen Anwendern und nicht nur bei den IT-Mitarbeitern in den Krankenhäusern eine stärkere Sensibilisierung in Bezug auf das Erkennen von potenziellen Gefahrenquellen zu schaffen. Die Anforderungen sollten jedoch stets auf Praktikabilität im Alltag geprüft werden, damit Sicherheitsstandards tatsächlich auch gelebt werden können“, betont Mittelstaedt.
Stichwort UP KRITIS:
Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Der UP KRITIS wurde erstellt, um die im „Nationalen Plan zum Schutz der Informationsinfrastrukturen“ (NPSI) von der Bundesregierung festgelegten Ziele „Prävention, Reaktion und Nachhaltigkeit“ mittels konkreter Maßnahmen und Empfehlungen für den Bereich der Kritischen Infrastrukturen auszugestalten. In der Weiterentwicklung wurde der NPSI durch die Cyber-Sicherheitstrategie abgelöst. Diese wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) betreut und begleitet.