- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

IT-Sicherheit im Gesundheitswesen


Trotz KRITIS-Verordnung: IT-Sicherheit wird in Deutschland im Vergleich etwa zu USA und Kanada noch stiefmütterlich behandelt
Besonders brisant wird das Thema KRITIS im Gesundheitswesen: Kränkelnde Systeme schaden den Patienten



Von Randolf-Heiko Skerka, Bereichsleiter IS-Management bei der SRC GmbH

Die Gesundheitsbranche ist abhängig von einer sicheren IT. Technologien und Geräte ermöglichen eine Diagnostik und darauf aufsetzend die Therapie des Patienten, andere sichern und unterstützen lebenserhaltende Funktionen. Und nicht zuletzt genießen sensible Patientendaten einen besonderen gesetzlichen Schutz. Funktioniert die IT nicht, hat das im Gesundheitswesen schnell katastrophale Folgen. Deswegen ist ein durchdachtes Risikomanagement von großer Bedeutung.

Für Unternehmen, Organisationen und Einrichtungen, die eine wesentliche Bedeutung für das Gemeinwohl haben und grundlegende Dienstleistungen für Gesellschaft und Gemeinwesen erbringen, gilt die KRITIS-Verordnung zur Bestimmung Kritischer Infrastrukturen. Denn bei ihrem Ausfall können Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen entstehen. Dazu gehören unter anderem die Branchen Energie, Ernährung und Finanzen sowie natürlich Medizin und Gesundheitswesen. Die betroffenen Organisationen und Unternehmen müssen ein Mindestsicherheitsniveau an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Trotz KRITIS-Verordnung: IT-Sicherheit wird in Deutschland im Vergleich etwa zu USA und Kanada noch stiefmütterlich behandelt. Besonders brisant wird das Thema im Gesundheitswesen. Denn eine fehlerhafte, angreifbare oder schlicht nicht zur Verfügung stehende IT-basierte Technologie kann hier schnell zu Personenschäden führen.

IT-Sicherheit im Gesundheitswesen tangiert vor allem zwei konkrete Bereiche: Zum einen betrifft sie die reinen Verwaltungsdaten, also Informationen über den Patienten und seine Krankheitsverläufe. Patientendaten genießen, aufgrund der ärztlichen Schweigepflicht, gesetzlich noch höheren Schutz als die personenbezogenen Daten nach der DSGVO. Zum anderen gibt es die technologische Infrastruktur, die direkt am Patienten zum Einsatz kommt – seien es Herzschrittmacher, Beatmungsgeräte oder Geräte wie Ultraschall, EKG, Computertomographen und Röntgen. In der Diagnostik unterstützt sie den behandelnden Arzt, am Patienten hat sie lebenserhaltende Funktionen.

Die drei konkreten IT-Schutzziele im Gesundheitswesen
Um IT-Sicherheit erreichen zu können, müssen drei Bereiche beachtet werden: Die Verfügbarkeit der Komponente muss gewährleistet, der Schutz von Daten und die Vertraulichkeit sowie die Datenintegrität müssen gegeben sein.

1. Verfügbarkeit der Komponente: Im Worst Case fällt eine technische Komponente oder ein Gerät aus. Wenn während einer OP das Röntgengerät versagt und der Chirurg die eingeführte Sonde im Patientenkörper nicht mehr findet, ist das ein Problem. Wichtig ist es deswegen, Maßnahmen im Vorfeld zu definieren und einen Plan B in der Tasche zu haben: Wenn in der OP das Beatmungsgerät ausfällt, muss der Patient manuell beatmet werden (Beutel-Masken-Beatmung).

2. Schutz der Daten und Gewährleistung von Vertraulichkeit: Auf sensible Daten im Gesundheitswesen dürfen nur Berechtigte Zugriff haben. Um das zu erreichen, kann eine Maßnahme darin bestehen, das EDV-System in den Kern der Verwaltung zu ziehen, so dass Besucher die Bildschirme nicht einsehen können. Außerdem ist es wichtig, die Daten mit Kennwörtern schützen, um nur Autorisierten Zugang zu ermöglichen und die Daten verschlüsselt zu übertragen und idealerweise zu speichern.

3. Datenintegrität: Hier muss sichergestellt werden, dass die mit IT-Unterstützung gewonnenen Daten korrekt sind und ebenfalls richtig angezeigt werden. Im Labor beispielsweise werden die Teststraßen für die Analyse von Blutproben automatisch gesteuert. Auf den Ergebnissen der Blutwerte setzen Diagnosen und Therapien auf – sie müssen unbedingt korrekt sein. Um das sicherzustellen, besteht eine Möglichkeit darin, Proben testweise parallel in zwei Systemen gleichzeitig zu analysieren, um die Ergebnisse zu vergleichen. Eine Doppelbeprobung kann als Maßnahme auf diese Weise Datenintegrität gewährleisten. Ein weiteres Beispiel für ihre Bedeutung: Datenblätter und Informationen müssen dem richtigen Patienten zugeordnet werden, so dass nicht eine falsche Gliedmaße amputiert wird oder falsche Medikamente verabreicht werden. Oder im Fall von portablen Geräten, die zum Beispiel über Sensoren auf der Haut den Blutzucker eines Diabetikers messen und auf deren Werten sich der Patient sein Insulin spritzt: Hier müssen die korrekten Daten richtig dargestellt werden.

Probleme in diesen drei Bereichen und damit die Ursache für Fehler liegen oft in den Abläufen. Diese müssen konkretisiert werden, um die Wahrscheinlichkeit eines Schadens zu minimieren oder seine Auswirkungen zu reduzieren.

Generell gilt: Damit IT-Sicherheit funktioniert, muss sie sowohl in der Herstellung als auch im späteren Betrieb eines Produkts berücksichtigt werden. Ein sicheres Produkt muss also zunächst entwickelt und hergestellt und dann auf eine sichere Art und Weise betrieben werden. Dafür sind grundlegende Funktionen und Spezifikationen genauso wichtig wie kompetentes Personal, das mit den Geräten arbeitet.

Ein großes Problem ist oft das fehlende Know-How der IT. Diese wird in zahlreichen Unternehmen und Organisationen in erster Linie als Kostenfaktor gesehen und entsprechend knapp sind die Ressourcen, mit denen sie ausgestattet wird. Zudem ist der Bewertungsmaßstab in der Regel nur, ob die IT funktioniert. Dabei behält man nicht im Blick, ob die eingesetzten Technologien eventuell Tür und Tor für den Missbrauch öffnen: Denn das, was möglich ist, darf nicht immer möglich sein. Etwa, wenn sich der gelangweilte 12-Jährige mit dem gebrochenen Bein ins WLAN hacken und Einsicht in die Chefarzt-Dokumente nehmen kann. Um das zu verhindern, muss die IT sicher betrieben werden und die Herstellervorgaben kennen und beachten.

Risikomanagementsystem mit bewusstem Sicherheitsniveau
Wegen der Gefahr für Leib und Leben ist das Risiko in der Medizin-IT höher als in anderen Branchen. Doch 100-prozentige Sicherheit gibt es nicht. Deswegen ist es wichtig, die IT gegen gängige Gefährdungen abzusichern. Denkbare Schadensszenarien sind zum Beispiel ein Stromausfall, ein Erdbeben, Feuer, Hochwasser oder ein Hackerangriff.

Um ein Risikomanagementsystem aufzubauen, müssen diese Bedrohungen definiert, bewertet und ihre Eintrittswahrscheinlichkeit festgestellt werden. Im Anschluss werden die Auswirkungen untersucht und evaluiert, so dass in der Folge beschlossen werden kann, welche Risiken ggf. akzeptiert und welche Maßnahmen eingeleitet werden können, um sie zu minimieren. Auf diese Weise kann ein bewusstes Sicherheitsniveau definiert und mit den Maßnahmen das angestrebte Level an IT-Sicherheit erreicht werden.

Fazit
Zentral bei dem Erlangen von IT-Sicherheit im Gesundheitswesen ist die Frage, gegen welche Bedrohungen man sich schützen will. Herrscht hier Klarheit, müssen in einer Risikoanalyse die Gefahren definiert, bewertet und mit entsprechenden Gegenmaßnahmen gekontert werden. Außerdem muss die IT mit dem Know-How ausgestattet sein und die technischen Erfordernisse kennen, um die Infrastruktur sicher zu betreiben. (SRC: ra)

eingetragen: 17.12.19
Newsletterlauf: 13.02.20

SRC: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.

Tipps zum Schutz vor bösartigen Mobile-Apps Digitale Piraten kapern Schiffe