Die IT-Sicherheit vieler Krankenhäuser ist massiv verbesserungswürdig. Mit dem B3S-Sicherheitsstandard des BSI könnten viele kleinere Kliniken, die nicht als KRITIS-Betreiber reguliert sind, ihr IT-Sicherheitsniveau aber entsprechend erhöhen.
Der B3S-Standard des Bundesamtes für Sicherheit in der Informationstechnik, aktuell führende Technologien zur Überwachung und verschiedene Einzelmaßnahmen könnten dazu beitragen, die Sicherheit in vielen wichtigen Bereichen im Medizinwesen kurzfristig zu erhöhen, sagt mednic-Gastautor Bogdan Botezatu. Er verantwortet den Bereich Bedrohungsanalyse bei dem IT-Sicherheitsspezialisten Bitdefender.
Gastbeitrag von Bogdan Botezatu, Leiter Bedrohungsanalyse bei Bitdefender
Krankenhäuser und andere medizinische Einrichtungen standen im letzten halben Jahr immer wieder im Mittelpunkt gravierender IT-Sicherheitsvorfälle. Häufig handelte es sich um Ransomware-Angriffe und oft waren sensible Patientendaten betroffen. Damit stehen Krankenhäuser und Kliniken gleich zwei Riesenproblemen gegenüber, deren Gefahren sich gegenseitig potenzieren: Die Coronakrise und die Flut an Cyberangriffen auf das Gesundheitswesen. Einige grundlegende Maßnahmen zur Erhöhung der Sicherheit und ein neuer Sicherheitsstandard des Bundesamts für Sicherheit in der Informationstechnik (BSI) für medizinische Einrichtungen können jedoch dabei helfen Sicherheitsvorfälle zu vermeiden.
Bedrohungslandschaft im Gesundheitswesen
Krankenhäuser weltweit stehen seit Beginn der Coronakrise im Mittelpunkt des öffentlichen Interesses. Somit ist es nicht verwunderlich, dass das Gesundheitswesen eine der Branchen ist, die am stärksten von der Zunahme der Cybersicherheitsangriffe getroffen wird. Allein im ersten Quartal 2020 wurden über 100 Vorfälle gemeldet, bei denen Daten von insgesamt mehr als 2,5 Millionen Menschen betroffen waren. Diese Patientendaten werden im Darknet hoch gehandelt und kommen für Angriffe bereits zum Einsatz. Nach Erkenntnissen der US-amerikanischen Universität Maryland findet in den USA alle 39 Sekunden ein Cyberangriff auf Patienten statt. Gesundheitsakten gelten als das neue Gold im Darknet. Eine einzige elektronische Gesundheitsakte kostet auf dem Schwarzmarkt etwa 250 Dollar, und ist damit etwa 50 Mal wertvoller als Kreditkarteninformationen.
Einheitliche Cybersicherheitsstrategie fehlt
Ransomware ist aus offensichtlichen Gründen zu einer der größten Gefahren für das Gesundheitssystem geworden. Im September wurde bekannt, dass ein solcher Lösegeldangriff vom August 2020 sogar einen Todesfall an der Uniklinik Düsseldorf zur Folge hatte. Doch bei der Absicherung gegen diese Angriffe gibt es Verbesserungspotenzial. Laut dem aktuellen Bericht „The Indelible Impact of COVID-19 on Cybersecurity“ sind 65 Prozent der befragten IT-Sicherheitsfachleute der Meinung, dass das Gesundheitswesen aufgrund von Budgetkürzungen nicht ausreichend auf eine solche Welle vorbereitet war. Bisher gab es keine einheitliche Cybersicherheitsstrategie für Anbieter von Gesundheitslösungen.
Sicherheitsstandard B3S des BSI
Im Oktober 2019 hatte das BSI mit dem B3S einen branchenspezifischen Sicherheitsstandard für Krankenhäuser vorgestellt, anhand dessen medizinische Einrichtungen ihre IT-Sicherheitsmaßnahmen am aktuellen Stand der Technik ausrichten können. Denn tatsächlich gelten nur gut zehn Prozent der Krankenhäuser in Deutschland als „Kritische Infrastrukturen“ im Sinne des IT-Sicherheitsgesetzes. Mit dem neuen Sicherheitsstandard des BSI können nun auch die vielen kleineren Kliniken, die nicht als KRITIS-Betreiber reguliert sind, ihr Sicherheitsniveau entsprechend erhöhen. Dies ist wichtig, denn es ist davon auszugehen, dass sich die Bedrohungslandschaft im Gesundheitswesen kontinuierlich zuspitzt und Einrichtungen des Gesundheitswesens in mehrfacher Hinsicht eine besondere Verantwortung für ihre IT-Netzwerke tragen.
Neben der Auseinandersetzung mit dem B3S-Sicherheitsstandard des BSI gibt es drei Maßnahmen, die Gesundheitsorganisationen unbedingt angehen sollten, um ihre Infrastruktur während der Pandemie vor IT-bezogenen Risiken zu schützen:
1. Nutzer-Authentifizierungen aktualisieren
Viele gebräuchlichen Authentifizierungsmethoden bieten nur rudimentäre Sicherheit und es lohnt sich, diese auf den neuesten Stand zu bringen. Eine Multi-Faktor-Authentifizierung gilt heute schon als Standard und erhöht das Sicherheitsniveau gegen Hacker, die infolge von vergangenen Sicherheitsverletzungen häufig bereits Zugang zu legitimen Logindaten haben. Auch schützt sie besser gegen die zunehmenden Phishingkampagnen.
2. Das Risiko neuer Technologien genauer bewerten
Wenn neue Technologien eingesetzt werden, wie etwa neue mobile Anwendungen, Fernsensoren oder Verbindungen zu neuen Büros, ist es wichtig, dass diese Anwendungen und Initiativen in Bezug auf das Risiko modelliert und bewertet werden. Hierbei stellen sich zahllose Fragen, die zu Beginn eines neuen Projektes beantwortet werden sollten: Wie könnte die neue Technologie die Organisation gefährden und wie hoch ist das Potenzial für die Gefährdung von Daten? Welche Angreifer könnten versuchen, sie zu durchbrechen, und worauf würden sie es abgesehen haben? Wie können die Risiken abgeschwächt werden? Ist die Anwendung sicher und frei von Softwarefehlern? Wie wird der Zugriff überwacht und die Datenintegrität gewährleistet?
3. Überwachungsmöglichkeiten verbessern
Die Vorschriften, was die IT-Sicherheit im Gesundheitswesen überwachen muss, sind nicht ausreichend. Um heute adäquate Sicherheit zu gewährleisten, müssen die zuständigen Abteilungen viel mehr überwachen, als es diese Vorschriften verlangen. Dazu gehört nicht nur den Zugang zu Anwendungen und Daten besser zu überwachen, sondern auch den kompletten Netzwerkverkehr. Entsprechende Lösungen sind seit Jahren verfügbar und müssen nun auch im Gesundheitswesen Einzug finden.
Fazit
Modernste Computertechnologie gehört heute genauso zum Krankenhausalltag wie die praktische medizinische Versorgung von Patienten. Dabei muss der Schutz sensibler Patientendaten ebenso zuverlässig gewährleistet sein. Um der Flut an Cyberangriffen standzuhalten, muss die IT-Sicherheit vieler Krankenhäuser und Kliniken deutlich mehr machen als bisher. Ein wichtiger Schritt ist einzugestehen, dass die Verteidigungsfähigkeiten verbesserungswürdig sind. Der neue Standard des BSI, State-of-the-Art-Technologien zur Überwachung und zahlreiche einzelne Maßnahmen können dabei helfen, die Sicherheit in vielen wichtigen Bereichen zu erhöhen.