Cyberattacken im Gesundheitswesen nehmen weltweit zu, die Auswirkungen können verheerend sein. In In seinem Gastbeitrag beleuchtet Frank Becker, Geschäftsführer von Becker Project Consulting, welche Maßnahmen Gesundheitseinrichtungen ergreifen sollten, um sich besser zu schützen.
Gastbeitrag von Frank Becker
Die Einführung digitaler Technologien im Gesundheitswesen führt zu zahlreichen Verbesserungen, geht allerdings auch mit Gefahren einher: Cyberattacken auf Kliniken und medizinische Einrichtungen steigen rasant an. Diese Angriffe stellen nicht nur eine Gefahr für sensible Patientendaten dar, sondern können zudem lebensrettende Maßnahmen beeinträchtigen.
Prävention ist unerlässlich, doch auch die Vorbereitung auf den Ernstfall ist Bestandteil einer umfassenden Sicherheitsstrategie. Daher ist es dringend geboten, sowohl in fortschrittliche Technologien zu investieren, als auch das Personal regelmäßig zu schulen und Notfallpläne zu entwickeln. Um sich effektiv vor vor Cyberbedrohungen zu schützen, sollte jedes Krankenhaus die folgenden präventiven und reaktiven Maßnahmen kennen und umsetzen.
Zwei Ebenen der Prävention: Sicherheitsmaßnahmen auf organisatorischem und technischem Niveau
Krankenhäuser und medizinische Einrichtungen sollten grundsätzlich zwei Ansätze zur Verhinderung von Cyberangriffen verfolgen: organisatorische Vorkehrungen und technische Maßnahmen.
Bezüglich der organisatorischen Ebene ist es zunächst wichtig, kritische Bereiche zu identifizieren, die für den Weiterbetrieb einer Einrichtung unverzichtbar sind. Anschließend sollten Krankenhäuser geeignete Pläne ausarbeiten, die im Ernstfall zur Anwendung kommen. Regelmäßige Sicherheitschecks, vorzugsweise durch externe Audits, sind ebenfalls von entscheidender Bedeutung, um potenzielle Sicherheitslücken aufzudecken und fachgerecht einzuschätzen.
Des Weiteren ist die Durchführung von Schulungen zur Sensibilisierung der Mitarbeiter für Sicherheitsrisiken und die verschiedenen Angriffsarten ausschlaggebend für ein tragfähiges Sicherheitskonzept. Allerdings reicht es nicht aus, Schulungen nur punktuell durchzuführen; es empfiehlt sich vielmehr, Mitarbeiter kontinuierlich fortzubilden, weil die Bedeutung des Themas auf diese Weise tiefer im Bewusstsein aller Beteiligten verankert bleibt.
Technische Schutzmaßnahmen
Technische Schutzmaßnahmen umfassen vielfältige Lösungen zur Sicherung von Daten. Als effektiv – wenngleich aufwendig – hat sich die vorbeugende Verschlüsselung von Daten erwiesen, noch bevor potenzielle Hackerangriffe stattfinden. Diese präemptive Verschlüsselung stellt sicher, dass sämtliche Daten im Netzwerk geschützt sind, einschließlich der sensiblen Informationen, die zwischen dem Krankenhausinformationssystem und der Datenbank ausgetauscht werden. Hierbei gilt es, auch alle Schnittstellenkommunikationen zu verschlüsseln und darauf zu achten, dass Unbefugte keinen Zugriff auf den Verschlüsselungsmechanismus erhalten.
Eine interne Verschlüsselungslösung reduziert die Gefahr von Erpressungen durch die Veröffentlichung persönlicher Daten, wodurch ein Angriff insgesamt unattraktiver wird. Des Weiteren können medizinische Einrichtungen in Betracht ziehen, sich vom öffentlichen Netzwerk abzuschotten, was jedoch in der Praxis sehr aufwendig ist und den Arbeitsablauf massiv beeinträchtigen kann. Insbesondere für Cloud-Anwendungen stellt deshalb die Nutzung einer speziellen Cloud-Architektur eine praktikable Lösung dar. Hier werden Sicherheitsdienste bereitgestellt, die den gesamten Netzwerk-Traffic überwachen.
Sicherheits- und Notfallkonzepte erarbeiten
Generell müssen Krankenhäuser und medizinische Einrichtungen in einem umfassenden Sicherheitskonzept die Sensibilisierung, das Notfallmanagement sowie die gesamte Sicherheitslage beachten und durchdenken. Ein solches Konzept deckt alle Facetten potenzieller Bedrohungsszenarien ab und definiert entsprechende Maßnahmen zur Vorbeugung. Grundlegende Aspekte wie Passwortrichtlinien, Verschlüsselungstechniken und Verhaltensregeln für die Internetnutzung sollten sich in den Richtlinien wiederfinden.
Darüber hinaus ist es ratsam, Prozesse wie Datensicherungen und regelmäßige Überprüfungen der Sicherheitsstandards in die Routine zur Cybersecurity zu integrieren. Denn ein Sicherheitskonzept dient nicht nur als Handlungsanweisung bei der Bewältigung verschiedener Bedrohungslagen, sondern auch als Mechanismus zur Feststellung von Schwachstellen. Vorbeugende Maßnahmen sind das A und O, denn im Ernstfall wissen viele Menschen nicht, wie sie reagieren sollen und neigen dazu, den Schaden zu vergrößern. Häufig gibt es bereits frühe Anzeichen für eine Cyberattacke, auf die reagiert werden sollte. Etablierte Routinen helfen dabei, vermeidbare Fehler zu minimieren und größere Katastrophen zu verhindern.
Wenn der Ernstfall eingetreten ist
Nach einem Angriff ohne Schaden sollte der Vorfall umgehend analysiert werden, um weitere Vorkehrungen zu treffen. Bei der Nutzung einer SASE-Lösung ist außerdem eine eingehende Analyse erforderlich. Ist es tatsächlich zu einem Schaden gekommen, müssen die Verantwortlichen entscheiden, ob sie den Forderungen der Hacker Folge leisten. Für den Fall, dass ein Versicherungsschutz besteht, sollte der Versicherer zügig kontaktiert werden, da spezialisierte Fachabteilungen beim weiteren Vorgehen Unterstützung leisten.
Zudem sind Polizei oder das Cyber Security Center sowie interne und externe Datenschutzbeauftragte über den Vorfall zu unterrichten. Ferner muss das betroffene System sofort vom Netz genommen werden, um weitere Schäden zu verhindern. Gegebenenfalls kann auf alternative Arbeitsweisen umgestellt werden. In einem nächsten Schritt werden die betroffenen Systeme identifiziert und eine Neuinstallation der Daten vorgenommen.
Im Ernstfall ist ein Backup entscheidend, das den spezifischen Anforderungen eines Angriffs gerecht wird. Denn anders als bei kleineren Wiederherstellungsaktionen müssen bei Cyberattacken oft große Datenmengen zurückgespielt werden. Einen umfassenden Schutz erlangen Kliniken sowie medizinische Einrichtungen also durch eine ausgewogene Kombination aus präventiven und reaktiven Maßnahmen.
Über den Autor: