Es gibt eine Vielzahl von Gründen, warum sich Krankenhäuser immer häufiger Cyber-Attacken ausgesetzt sehen, berichtet Dirk Wolters, Sicherheitsexperte beim IT-Dienstleister Netec.
Dirk Wolters ist Geschäftsführer und Leiter des Geschäftsbereichs Consulting beim IT-Dienstleister Netec.
Netec GmbH
IT-Director: Mit welchen Schäden müssen die betroffenen Einrichtungen im schlimmsten Fall rechnen?
Dirk Wolters: Krankenhäuser, die Opfer von Cyber-Attacken werden, können im schlimmsten Fall mit schwerwiegenden Schäden konfrontiert sein, die sich auf verschiedene Ebenen erstrecken. So können erfolgreiche Cyber-Attacken dazu führen, dass Krankenhäuser den Zugriff auf lebenswichtige Systeme wie Patientenakten, medizinische Geräte oder Kommunikationsplattformen verlieren. Dies kann zu einer erheblichen Beeinträchtigung der Patientenversorgung führen, insbesondere in Notfallsituationen.
Werden sensible Patientendaten kompromittiert oder gestohlen, erschüttert dies das Vertrauen der Patienten und kann auch rechtliche Konsequenzen nach sich ziehen. Krankenhäuser können sich mit Klagen, Geldstrafen und einem Rückgang der Patientenzahlen konfrontiert sehen. Die Wiederherstellung von Systemen nach einem Cyberangriff ist meist sehr zeitaufwendig und mit einem hohen finanziellen Aufwand verbunden. Hinzu können Kosten für eventuelles Lösegeld, forensische Untersuchungen, rechtliche Beratung und PR-Arbeit kommen. Die Schäden, die durch Cyber-Attacken in Krankenhäusern verursacht werden, sind beträchtlich und haben langfristige Auswirkungen auf die Betriebsfähigkeit, Finanzen und Reputation der Einrichtung.
Welche Maßnahmen sind in diesem Bereich erforderlich, um die Abwehr gegen Cyber-Angriffe zu verbessern?
Vorweg: IT-Security ist ein Teil der Informationssicherheit. Im Jahr 2015 wurde das IT-Sicherheitsgesetz verabschiedet – seit 2017 gilt es auch für das Gesundheitswesen. Es definiert, dass alle Häuser mit mehr als 30.000 vollstationären Fällen – die sogenannten KRITIS-Häuser – entsprechende technische und organisatorische Maßnahmen zum Schutz der Informationssicherheit treffen müssen. Mir persönlich hat sich diese Grenze von 30.000 Fällen noch nie erschlossen, da es sich in Summe nur um ca. 150 bis 200 von unseren 1.900 Häusern handelt – als ob die Daten der restlichen Häuser oder gerade auch der niedergelassenen Ärzte nicht schützenswert seien. Dies ist 2020 dann – endlich – mit dem Patientendatenschutz geändert worden. Eigentlich müssen alle Krankenhäuser seit dem 1. Januar 2022 analoge technische und organisatorische Maßnahmen getroffen haben, wie die KRITIS-Häuser. Häufig herrscht in Bezug auf den Themenkomplex Informationssicherheit in Krankenhäusern die Meinung vor: "Die IT macht das schon, schließlich haben wir ja Firewall und Endpoint Protection im Einsatz!" Informationssicherheit ist aber mehr als reine IT-Security – mehr als Firewall und Co.
Informationssicherheit heißt, auch Regelungen zu treffen, wie mit gewissen Dingen umzugehen ist, zum Beispiel ob die private E-Mail- oder Internet-Nutzung erlaubt ist. Es sind Vorgaben zu machen und Vorgaben einzuhalten. Jetzt wird Informationssicherheit auch noch durch den Gesetzgeber vorgegeben – wir alle haben aber immer eine gewisse Abneigung gegen Vorgaben. All das muss von oben – aus der Geschäftsführung – vorgelebt werden. Informationssicherheit geht alle im Unternehmen an. Informationssicherheit kostet – manchmal auch viel. Gerade jetzt, in Zeiten, in denen wir viele Krankenhausinsolvenzen sehen, fehlt einfach das Geld.
Um wirkliche Sicherheit zu schaffen, sind neben dem Einsatz modernster technischer Systeme weitere Punkte zu bedenken:
- Es werden wirkliche Spezialisten benötigt – die sind teuer.
- Ein Schutz montags bis freitags von 8:00 bis 17:00 Uhr ist nicht ausreichend – also braucht es viele Spezialisten – noch mehr Geld, doch woher nehmen?
Was sind aus Ihrer Sicht noch die größten Hürden für die Akteure in puncto "IT-Security"?
Die Engpässe in den Krankenhäusern sind im Grunde bekannt:
- Wir haben definitiv Engpässe im personellen Bereich – nicht nur in der IT. Zu wenig Personal muss sich um zu viele Dinge auf einmal kümmern.
- Es muss aber auch der finanzielle Engpass vieler Kliniken angesprochen werden – wenn kein Geld vorhanden ist, kann nicht in neue und gute Systeme oder Mitarbeiter investiert werden.
Beides zusammen führt dazu, dass wir a) nicht optimal geschützte Systeme von b) zu wenig Personal betreuen lassen. Dies im Regelfall 40 bis 60 Stunden in der Woche – in der restlichen Zeit laufen die Systeme mehr oder weniger unbetreut und unbewacht. Was aber dringend benötigt wird, sind sichere Systeme in einer 24/7-Betreuung oder mindestens -Überwachung. 24/7 bedeutet den Einsatz von mehr Personal und oder anderer modernster Systeme. In diesem Spannungsfeld zwischen Risiko und mangelnden Ressourcen müssen die Unternehmensleitungen eine ganz klare Position einnehmen und den Weg vorgeben. Und seitens des Gesetzgebers müssen nicht nur Forderungen gestellt werden, sondern es muss Unterstützung erfolgen.
Natürlich sind Digitalisierung, Künstliche Intelligenz (KI) und Cyberkriminalität Themen, mit denen sich jede IT-Abteilung auseinandersetzen muss. Aber sind es reine IT-Themen? Ich behaupte nein. Gute Digitalisierung soll ja nicht nur einen analogen Prozess digital abbilden, sondern soll auch Verbesserungen im Arbeitsablauf erzeugen und eine Akzeptanz und Erleichterung bei den Anwendenden erzeugen. Erziele ich das, wenn dies durch die IT-Abteilung vorgegeben wird? Nein. Als IT-ler muss ich die Anwendenden einbinden, ihre Bedürfnisse aufnehmen, ihre Arbeitsweise – die Prozesse – verstehen. Dann und nur dann kann eine gute digitale Unterstützung gefunden und implementiert werden. Muss dies in der Verantwortung der IT-Abteilung liegen? Nein, das sollte es sogar nicht. Die Anwendenden wollen gute Unterstützung, sie haben das Wissen über ihr Tun, haben Vorstellungen davon, was man wie verbessern sollte und kann. Also müssen sie auch die Verantwortung übernehmen – auch für die Informationssicherheit.
Gleiches gilt auch für den Einsatz von KI – natürlich ein IT-Thema – aber auch hier die Frage: Wo muss die Verantwortung liegen – in der IT-Abteilung oder in dem Bereich, wo KI genutzt werden soll? Auch hier lautet die klare Antwort: Die IT-Abteilung unterstützt, die Verantwortung liegt in den Bereichen. Diese haben das Wissen über ihre Daten und Prozesse, die durch KI verbessert werden sollen. Und die Verantwortung für die Sicherstellung der Informationssicherheit.
Wie schaut es mit Cyberkriminalität aus? Der Schutz vor Cyberkriminalität mittels IT-Systemen wie Firewall, Endpoint-Protection, SIEM-SOC-SOAR ist unbestritten ein IT-Thema. Da aber Cyberkriminelle nicht nur technische Lücken suchen, sondern die handelnden Menschen als mögliches Ziel auserkoren haben, ist es wichtig, alle Mitarbeiter in den Schutz vor Cyberkriminalität einzubinden – durch Aufklärung und Awareness-Maßnahmen und durch Etablierung entsprechender Prozesse.