Viele Krankenhäuser schützen ihre IT-Systeme nicht ausreichend vor Cyber-Attacken, warnt jetzt die Security Division von NTT und nennt Gründe für das hohe Gefährdungspotenzial.
Bislang sind Angriffe auf Krankenhäuser noch eher die Ausnahme. Einer der letzten größeren Fälle ereignete sich in Rheinland-Pfalz und im Saarland Mitte 2019: Elf Krankenhäuser und vier Altenpflegeeinrichtungen des Deutschen Roten Kreuzes (DRK) wurden damals Opfer einer Ransomware-Attacke. Das Schadprogramm verschlüsselte Datenbanken und Serverdaten und legte so das gesamte Netzwerk des DRK-Klinikverbundes lahm. Es dauerte Tage, bis das DRK die Daten aus einem Backup wiederherstellen und die Server wieder in Betrieb nehmen konnte. Zuletzt sorgte im Dezember 2019 das Klinikum Fürth für Schlagzeilen.
Steigende Gefahr
„Alle Anzeichen deuten darauf hin, dass es künftig nicht mehr bei Einzelfällen bleiben wird“, ist Kai Grunwitz, Deutschland-Geschäftsführer der NTT Ltd. überzeugt. Er rät Kliniken dringend dazu, ihre Cyber-Security-Strategie auf einen modernen Stand zu bringen. Das sei vor allem deshalb wichtig, weil im Gesundheitswesen eine besondere Gefährdungslage vorliege.
Vor allem aus sechs Gründen ist die Bedrohungslage in Krankenhäusern NTT zufolge hoch. So könnte durchaus das Leben von Patienten in Gefahr geraten, wenn Hacker Geräte beispielsweise auf der Intensivstation manipulieren oder per DDoS-Angriff ausschalten.
Auch ohne eine direkte Lebensgefahr für Patienten kann ein Angriff großen Schaden anrichten. So könnten Hacker zum Beispiel Patientendaten ausspähen. Solche Daten sind streng vertraulich und unterliegen einem besonderen Schutz.
Digitalisierung macht angreifbar
Das hohe Maß an Digitalisierung macht Krankenhäuser angreifbar: Die meisten Kliniken verwalten mittlerweile Patienteninformationen, klinische Dokumentationen und Finanzen komplett digital. Sie übertragen Patientendaten über mobile Geräte und steuern Infusionspumpen auf Intensivstationen teilweise zentral. Darüber hinaus sind viele medizinische Geräte oder OP-Systeme sind mit dem Office-Netzwerk oder untereinander vernetzt – und damit potenziell gefährdet. Durch die steigende Zahl an IoT-Geräten vergrößert sich die Angriffsfläche nach Einschätzung von NTT weiter. Ein Beispiel dafür sind tragbare medizinische Geräte zur Fernüberwachung von Patienten, die Vitalwerte wie Blutdruck, Puls oder Blutzucker messen.
Klinik-WLAN als Einfallstor
Krankenhäuser sind für Patienten und Besucher, aber auch für Hacker öffentlich zugänglich. Viele Kliniken Kliniken fungieren inzwischen selbst oft als IT-Service-Provider, wenn sie beispielsweise ihren Patienten WLAN-Zugänge bereitstellen: So öffnet sich ein weiteres Einfallstor für Hacker. „Ein zentrales Problem der Krankenhäuser in Deutschland ist, dass sie medizinisch zwar vielfach auf höchstem technischem Niveau arbeiten, das Thema IT-Sicherheit aber eher vernachlässigen“, so Grunwitz. Er sei eine grundlegende Änderung unverzichtbar.
Maßnahmen für mehr Sicherheit
Um IT-Schwachstellen zu reduzieren, empfiehlt NTT einige Maßnahmen. So sollte bereits bei der Auswahl und beim Einkauf von IT-Lösungen und medizinischen Geräten das Thema IT-Sicherheit berücksichtigt werden.
Das permanente Monitoring der Systeme etwa mit Alerts oder der Analyse von Logdateien, sollte ebenfalls auf der Agenda der Krankenhaus-IT stehen. Um Sicherheitslücken zu schließen, rät NTT zur regelmäßigen Installation von Updates und Patches.
Segmentierung schützt
Zudem ist es sinnvoll, das Krankenhaus-Netzwerk zu segmentieren und Bereiche für die klassische Office-IT, das Patienten-Management-System, den OP-Bereich und das WLAN für Patienten und Besucher zu schaffen. Auf kritischen Systemen in Krankenhäusern sollte das Surfen im Internet grundsätzlich verboten sein.
Außerdem empfiehlt NTT die Implementierung einer IAM (Identity and Access Management)-Lösung für die Verwaltung von Identitäten (Ärzte, Pflegekräfte, Patienten, Besucher, Studenten an Unikliniken) und Zugriffsrechten. Auch die Verschlüsselung sensibler Daten trägt zu einer höheren Sicherheit bei.
Das Risiko von IT-Schwachstellen lässt sich nach Einschätzung von NTT außerdem reduzieren, indem Krankenhäuser Managed Security Services für die Verwaltung der IT-Systeme und Medizingeräte nutzen.
Mithilfe eines Incident-Response-Planes können Kliniken bereits im Vorfeld das Verhalten der einzelnen Abteilungen bei einem Sicherheitsvorfall genau festlegen. Zusätzlich sollten die Mitarbeiter für potenzielle Sicherheitsrisiken sensibilisiert werden.