Um Krankenh\u00e4user und Kliniken, aber auch Arztpraxen ist es nicht gut bestellt \u2013 zumindest in Hinblick auf IT-Sicherheit und Datenschutz. In j\u00fcngerer Zeit tauchen wieder vermehrt Meldungen zu IT-Vorf\u00e4llen im Gesundheitswesen auf. Nachdem wir \u00fcber diese berichten, blicken wir im heutigen Beitrag auf die E-Health-Pl\u00e4ne der Bundesregierung, auf Gefahren, aber auch L\u00f6sungsans\u00e4tze.<\/p>\n
Die Digitalisierung im Gesundheitswesen ist \u2013 so zeigt sich gerade innerhalb der Pandemie \u2013 sinnvoll: Wege sollen f\u00fcr Patient*innen k\u00fcrzer werden, Patient*innen k\u00f6nnen sich \u00fcber den digitalen Weg in die Praxis vor Ansteckungen sch\u00fctzen und die elektronischen Patientenakte (ePA) soll Informationen schneller verf\u00fcgbar machen. So weit, so gut? Nun ja, es hakt noch an vielen Ecken und Enden. Abgesehen von der technischen Ausr\u00fcstung ist auch die Cybersicherheit mehr als mangelhaft. Schon mehr als einmal haben wir den desastr\u00f6sen Zustand der IT-Sicherheit im Gesundheitswesen bem\u00e4ngelt:<\/p>\n
Steigende Infektionszahlen f\u00fchren aktuell zu steigenden Downloads der Corona-Warn-App, die von SAP und der Deutschen Telekom entwickelt wurde. Offiziellen Angaben zufolge<\/a> erh\u00f6hte sich die Zahl der Downloads auf 20,3 Millionen. Laut einer aktuellen Civey-Umfrage im Auftrag der WirtschaftsWoche<\/a> w\u00fcnscht sich jeder dritte App-Nutzende weiterf\u00fchrende Informationen, jeder sechste Umfrage-Teilnehmende beurteilt die Informationen der App als \u201eunzureichend\u201c.<\/p>\n Die Umfrage ergibt au\u00dferdem, dass sich viele Nutzer*innen vom Datenschutz abgeschreckt sehen. \u201eSo w\u00e4re die Mehrheit der App-Nutzer laut der Umfrage bereit, zu Lasten des Datenschutzes deutlich mehr pers\u00f6nliche Informationen von der App aufzeichnen zu lassen, um daf\u00fcr umgekehrt konkretere Angaben zu den Umst\u00e4nden eventueller Risikokontakte zu bekommen\u201c, schreibt die WiWo.<\/p>\n Die breite Akzeptanz der App ist lobenswert, und auch die Tatsache, dass sich Datensch\u00fctzer hierzulande durchsetzen konnten und die App so entwickelt wurde, dass Datensch\u00fctzer jetzt zufrieden sind. Kritik gibt es jedoch nach wie vor: So kontaktieren die Google Play-Services beispielsweise Google-Server, wie unter anderem heise online berichtete<\/a>.<\/p>\n Das Robert-Koch-Institut (RKI), Herausgeber der App, denkt seit geraumer Zeit offen dar\u00fcber nach, verschiedene Apps zu b\u00fcndeln<\/a>. Alle Online-Anwendungen, wie die Corona-Warn-App oder die Datenspende-App des RKI, k\u00f6nnten in einer App zusammengef\u00fchrt werden \u2013 Heise vergleicht dies im Beitrag mit einem \u201eSchweizer Messer f\u00fcr die digitale Epidemiologie\u201c. So lie\u00dfen sich Warnungen gezielter aussprechen, man verf\u00fcge \u00fcber einen direkten Kanal zur Bev\u00f6lkerung und k\u00f6nne diese allumfassende App auch als Informationsquelle verwenden. Befragungselemente sowie Orientierungsempfehlungen k\u00f6nnten integriert werden. Ob eine B\u00fcndelung dieser Art kommt, bleibt abzuwarten.<\/p>\n Im September 2020 wurde das Uniklinikum der Universit\u00e4t D\u00fcsseldorf Opfer eines Cyberangriffs<\/a>. Dieser Fall zeigt auf dramatische Weise, wie wichtig die IT-Sicherheit im Gesundheitswesen ist: Der Ransomware-Angriff k\u00f6nnte zum Tod einer Patientin beigetragen haben.<\/p>\n Da der Cyberangriff massiv die hauseigenen Systeme st\u00f6rte, sah sich das Uniklinikum gezwungen, mitzuteilen, man k\u00f6nne keine neuen Patient*innen aufnehmen, bis die Lage gekl\u00e4rt w\u00e4re und der Betrieb wieder normal laufen k\u00f6nne. Eine Frau, die dringend auf medizinische Hilfe angewiesen war, konnte aufgrund dieser Situation nicht in D\u00fcsseldorf aufgenommen werden und sollte nach Wuppertal gefahren werden. Noch bei Ankunft verstarb die Frau \u2013 30 zus\u00e4tzliche Minuten, die sich als t\u00f6dlich erwiesen.<\/p>\n Malware aus der Familie DoppelPaymer schmuggelten die Angreifer unter Ausnutzung einer Schwachstelle in Citrix-VPNs in die Systeme. Das Krankenhaus selbst war keineswegs Ziel der Angreifer, der Angriff galt der Universit\u00e4t D\u00fcsseldorf. Da das Krankenhaus dieser angeh\u00f6rt, wurde es mitgetroffen. Nachdem die Angreifer erfahren hatten, dass das Krankenhaus ihnen ebenfalls zum Opfer gefallen war, \u00fcbergaben sie kostenfrei den Entschl\u00fcsselungscode. Dennoch sollte es \u00fcber zwei Wochen dauern, bis das Krankenhaus sich wieder in der Lage sah, Patient*innen aufzunehmen.<\/p>\n Das \u201eKrankenhauszukunftsgesetz\u201c (KHZG) wurde vom Bundestag Mitte September 2020 beschlossen. Der Bund wird 3 Milliarden Euro bereitstellen, um Krankenh\u00e4user zukunftsf\u00e4hig zu machen: Sie sollen die M\u00f6glichkeit haben, in moderne Notfallkapazit\u00e4ten zu investieren, aber auch in die Digitalisierung im Gesundheitswesen sowie in ihre IT-Sicherheit. Auch die L\u00e4nder sind gefragt; sie sollen 1,3 Milliarden Euro als Investitionsmittel aufbringen. Das Krankenhauszukunftsgesetz ist das Resultat des am 3. Juni 2020 durch die Koalition beschlossenen \u201eZukunftsprogramms Krankenh\u00e4user\u201c.<\/p>\n Zur Umsetzung des Krankenhauszukunftsgesetzes wird beim Bundesamt f\u00fcr Soziale Sicherung ein Krankenhauszukunftsfonds eingerichtet. \u00dcber die Liquidit\u00e4tsreserve dieses Gesundheitsfonds sollen die 3 Milliarden Euro vom Bund ab Januar 2021 zur Verf\u00fcgung gestellt werden. 30 Prozent der jeweils geplanten Investitionskosten m\u00fcssen die L\u00e4nder bzw. die Krankenhaustr\u00e4ger \u00fcbernehmen. Bereits seit Anfang September 2020 k\u00f6nnen Krankenhaustr\u00e4ger mit dem Umsetzen ihrer Vorhaben beginnen, der jeweilige F\u00f6rderbedarf kann bereits bei den L\u00e4ndern angemeldet werden. Das Gesetz soll zum 31.12.2021 in Kraft treten; ab diesem Zeitpunkt haben die L\u00e4nder die M\u00f6glichkeit, F\u00f6rderantr\u00e4ge ans Bundesamt f\u00fcr Soziale Sicherung zu stellen.<\/p>\n Krankenh\u00e4user, aber auch Arztpraxen stehen derzeit vor gro\u00dfen Herausforderungen in Hinblick auf die Absicherung von IT-Systemen, -Komponenten sowie \u2013Prozessen. Der Gro\u00dfteil der Krankenh\u00e4user f\u00e4llt unter die Anforderungen aus dem BSI-Gesetz (BSIG), aber auch unter die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV<\/a>). Doch auch Krankenh\u00e4user und Kliniken, die unterhalb des Schwellenwerts der BSI-KritisV liegen, m\u00fcssen sich mit Datenschutz und IT-Sicherheit besch\u00e4ftigen, denn die Digitalisierung im Gesundheitswesen schreitet voran.<\/p>\n Das Gesundheitswesen mit all seinen Akteuren ist in einer schwierigen Lage: Personelle und finanzielle Engp\u00e4sse machen nicht nur die Digitalisierung, sondern auch die daf\u00fcr zwingend notwendige IT-Sicherheit schwer. Es gibt jedoch Tipps, die jedes Krankenhaus, jede Arztpraxis umsetzen kann. So erh\u00f6hen Sie effizient die IT-Sicherheit im Gesundheitswesen:<\/p>\n Webanwendungen sch\u00fctzen<\/strong><\/p>\n Plattformunabh\u00e4ngige, browserbasierte Anwendungen erleichtern die Zusammenarbeit immens. Portale und Apps erlauben es, dass medizinische Unterlagen und Berichte vom Rechner, Tablet, Smartphone oder anderen vernetzten Ger\u00e4ten eingesehen werden k\u00f6nnen. Aber: Webanwendungen sind ein leichtes Spiel f\u00fcr Hacker, wenn sie nicht entsprechend gesch\u00fctzt werden. Verschl\u00fcsselung ist daf\u00fcr ein Weg. Ein weiterer ist die \u201eWeb Application Firewall\u201c (WAF), die den Datenaustausch zwischen Clients und Webservern analysiert. Werden Inhalte als verd\u00e4chtig eingestuft, l\u00e4sst sich der Zugriff verhindern.<\/p>\n Sichern von Internetzug\u00e4ngen sowie \u00dcbertragungswegen<\/strong><\/p>\n Emotet- und andere Ransomware-Angriffe sind besonders schwerwiegend f\u00fcr Krankenh\u00e4user, wie der oben beschriebene Fall der Uniklinik D\u00fcsseldorf auf tragische Weise zeigte. Einen effizienten Schutz vor Ransomware bringt das Absichern von Internetzugang und \u00dcbertragungswegen. Ersteres l\u00e4sst sich mit einem virtuellen Browser umsetzen. So arbeiten Nutzer*innen mit einer Maschine, die vom Betriebssystem separiert ist. Eine komplett virtuelle Surfumgebung ist hierf\u00fcr entscheidend, denn so gelingt die konsequente Netzwerktrennung.<\/p>\n Das Absichern der \u00dcbertragungswege sollte vollumf\u00e4nglich erfolgen: Gesch\u00fctzt werden m\u00fcssen beispielsweise sowohl Wege zwischen dem Krankenhaus und seinem Rechenzentrum als auch Wege zwischen Ger\u00e4ten im Krankenhaus und dem Hausarzt eines Patienten. Moderne Verschl\u00fcsselungsl\u00f6sungen<\/a> bieten einen hohen Schutz, ohne die Performance der \u00dcbertragung negativ zu beeinflussen.<\/p>\n Backups als Ransomware-Schutz<\/strong><\/p>\n Ransomware-Akteure haben es insbesondere aufs Gesundheitswesen abgesehen. Dieser Gefahr kann man jedoch verh\u00e4ltnism\u00e4\u00dfig einfach und kosteng\u00fcnstig begegnen: Mit Backups. Sicherungen aller Daten sind tats\u00e4chlich die effizienteste und wichtigste Verteidigungsstrategie gegen Ransomware. Cyberkriminelle wachsen jedoch ebenfalls mit ihren Herausforderungen \u2013 immer h\u00e4ufiger zielen Ransomware-Angriffe nun auch auf Backups ab. Sinnvoll ist es daher, Backups verschl\u00fcsselt aufzubewahren und sie nicht in Lese-\/Schreibformat verf\u00fcgbar zu machen. Findet ein Ransomware-Angriff statt, durch den die Systeminhalte verschl\u00fcsselt werden, l\u00e4sst sich das gesch\u00fctzte Backup einspielen und der \u201esaubere\u201c Zustand wiederherstellen.<\/p>\n Awareness: Mitarbeiterschulungen<\/strong><\/p>\n Ein Krankenhaus kann das beste und ausgekl\u00fcgeltste Sicherheitskonzept haben: Anwendende der Systeme sind und bleiben die gr\u00f6\u00dfte Schwachstelle. Mitarbeiter*innen \u00f6ffnen arglos Phishing-Mails, laden Anh\u00e4nge herunter, verschusseln Sicherheits-Updates oder geben unbedarft Passw\u00f6rter an Unbefugte, die sich als Mitarbeiter der IT-Abteilung ausgeben. Technik ist eben nicht alles \u2013 sie muss auch angewandt werden k\u00f6nnen. Deshalb ist die Sensibilisierung von Mitarbeitenden<\/a> eine der Hauptma\u00dfnahmen, um die IT-Sicherheit im Gesundheitswesen erfolgreich zu steigern.<\/p>\n Risikomanagement mit Notfallpl\u00e4nen<\/strong><\/p>\n Alle m\u00f6glichen und unm\u00f6glichen Gefahren f\u00fcr die IT-Sicherheit ausr\u00e4umen zu wollen, ist relativ unrealistisch: 100-prozentige Sicherheit gibt es nirgends. Vielmehr geht es in der IT-Sicherheit im Gesundheitswesen darum, vorausschauend zu denken und sich durch entsprechende Planungen f\u00fcr den Umgang mit Sicherheitsvorf\u00e4llen zu r\u00fcsten. Unabh\u00e4ngig davon, ob der IT-Vorfall durch eine Sicherheitsverletzung durch Mitarbeiter verursacht wurde oder durch einen Cyberangriff von Kriminellen: Ein Plan ist immer notwendig. Denn wenn alle Beteiligten wissen, was wann durch wen zu tun ist, l\u00e4sst sich wertvolle Zeit bei der Systemwiederherstellung gewinnen. Erstellen Sie deshalb verschiedene Pl\u00e4ne f\u00fcr unterschiedliche Szenarien, beispielsweise Datenschutzverletzungen, Cyberangriffe mit Ransomware oder auch Phishing. Mitarbeiterschulungen sorgen im Anschluss daf\u00fcr, dass alle Mitarbeiter*innen vertraut sind mit den konkreten Schritten.<\/p>\nKrankenhaus-Hackerangriff mit Todesfolge<\/h2>\n
E-Health-Pl\u00e4ne der Bundesregierung<\/h2>\n
Mehr IT-Sicherheit im Gesundheitswesen<\/h2>\n