Dringender Handlungsbedarf

Die mögliche Gefahr, vor der Experten stets gewarnt hatten, ist in den letzten Wochen Realität geworden: Immer wieder sind Krankenhäuser Ziel von Cyberattacken geworden. Mit Erfolg. In der Branche weiß man schon länger, dass die IT-Systeme der meisten Krankenhäuser vor Angriffen nicht ausreichend geschützt sind. Die Gründe dafür sind vielfältig. So sind die IT-Abteilungen nicht selten personell unterbesetzt und unterfinanziert. Hinzu kommt, dass das Thema zu lange von Herstellern und Krankenhäusern nicht ernst genug genommen wurde. Zu Unrecht, wie auch eine aktuelle Studie des Unternehmens Gemalto zeigt. Die Firma wertete weltweite Angriffe aus und kam zu dem Ergebnis, dass in 2015 das Gesundheitswesen am zweithäufigsten Ziel von Cyberkriminellen war. Noch häufiger wurden nur Regierungsbehörden attackiert. Zwar ist Amerika Spitzenreiter bei den am häufigsten angegriffenen Ländern. In Europa jedoch belegt Deutschland hinter Großbritannien einen bedenklichen zweiten Platz.

Die Studie stellt jedoch auch dar, dass es oft hausgemachte Datenlecks sind, die potenziellen Angreifern in die Hände spielen. Beispielsweise gehen regelmäßig Patientenakten verloren oder werden gestohlen. Und auch eine fehlende oder nur unzureichende Verschlüsselung der Daten ist eine vermeidbare Angriffsfläche. Das Fazit des Unternehmens: Es besteht dringender Handlungsbedarf.

Sicherheitsstrategien entwickeln

Künftig werden Krankenhäuser nicht darum herum kommen, eine IT-Sicherheitsstrategie zu entwickeln. Die sollte dann unbedingt Themen wie eine umfassende Datenverschlüsselung, genau definierte Zugangsrechte zu Informationen, sowie klare Nutzerauthentifizierungen beinhalten. Auch die Einführung eines IT-Risikomanagements dürfte beim Erkennen von Schwachstellen und deren Beseitigung helfen.

Und auch was den Umgang mit Cyberangriffen angeht, sollte sich in Zukunft etwas ändern. Viele Krankenhäuser verfolgen bei derartigen Vorfällen nicht gerade einen transparenten Umgang mit der Öffentlichkeit und den Ermittlungsbehörden. Mit dieser Strategie werden sich jedoch langfristig keine weiteren Attacken verhindern lassen.

Es bleibt zu hoffen, dass das Mitte letzten Jahres in Kraft getretene IT-Sicherheitsgesetz die IT-Sicherheit in den Krankenhäusern stärken wird. In dem Gesetz werden Betreiber so genannter „Kritischer Infrastrukturen“ – dazu gehört auch der Gesundheitsbereich – verpflichtet, ihre IT nach dem Stand der Technik abzusichern und erhebliche IT-Sicherheitsvorfälle zu melden. Die Regelung wird dann wirksam, wenn das Bundesministerium des Innern in einer Rechtsverordnung festgelegt hat, welche Einrichtungen als Kritische Infrastrukturen im Sinne des IT-Sicherheitsgesetzes gelten. Bisher ist das jedoch noch nicht klar. Eine Arbeitsgruppe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat gerade die Arbeit aufgenommen und wird im Laufe dieses Jahres Umsetzungsvorschläge präsentieren. Es ist aber davon auszugehen, dass zumindest die großen Kliniken künftig mit zentralen Meldestellen arbeiten und Sicherheitsvorfälle ab einer bestimmten Größenordnung an das BSI und/oder Bundesnetzagentur melden müssen. Vor der Notwendigkeit, sich stärker um die IT-Sicherheit kümmern zu müssen, wird in Zukunft aber niemand mehr die Augen verschließen können.