Suchen

Intrinsic Security IT-Security im Krankenhaus

| Autor / Redakteur: Carsten Kramschneider* / Susanne Ehneß

Medizingeräte mit dem Internet zu verbinden, verringert den Arbeitsaufwand des medizinischen Personals, ist aber gleichzeitig ein umstrittenes Thema. Viele Geräte erfassen hochsensible Patientendaten, die auf keinen Fall in unbefugte Hände geraten dürfen.

Firmen zum Thema

Patientendaten auf Medizingeräten sind oft nur unzureichend abgesichert
Patientendaten auf Medizingeräten sind oft nur unzureichend abgesichert
(© VMware)

Die aktuelle Situation stellt Unternehmen aus allen Branchen vor bisher unbekannte und sich ständig ändernde Herausforderungen – besonders davon betroffen sind kritische Infrastrukturen im Gesundheitswesen. Doch genau diese Notsituation wird aktuell von Cyberkriminellen ausgenutzt.

Dies zeigt ein Vorfall vom März 2020 in der Uniklinik Brno, Tschechische Republik, wo Hacker den Betrieb vorübergehend lahmlegten. Die Wiederaufnahme des Betriebs dauerte nach Angaben der Klinik Wochen – ein fataler Vorfall in Zeiten, in denen ein funktionierendes Gesundheitssystem unabdingbar ist. Doch was können Krankenhäuser tun, damit die IT für die aufkommenden Herausforderungen gerüstet ist und Angriffe in Zukunft abwehren kann?

Eine entscheidende Rolle für einen einwandfreien Betrieb spielt die IT: Ärzte und Pflegekräfte an der vordersten Front müssen technisch bestmöglich ausgerüstet sein, und Datenaustausch, Informationsfluss und Prozesse müssen unter massiven Druck reibungslos ablaufen.

Dashboards und Apps

Für Krankenhäuser ist es in der derzeitigen Lage essentiell zu wissen, wie viele Intensivbetten bzw. medizinische Geräte zur Verfügung stehen und wie viele Intensivpatienten versorgt werden müssen. Dafür wurden in kürzester Zeit Dashboards entwickelt und beispielsweise kostenlose Apps zur Verfügung gestellt, die Einrichtungen dabei unterstützen, diese Informationen und Daten schnell abzurufen.

Weitere Beispiele sind Apps, die anhand der eingegebenen Symptome eine Risikoanalyse durchführen, ob eine Person an COVID-19 erkrankt sein könnte. Falls dies der Fall sein könnte, wird ein Barcode generiert und die Daten der Person werden direkt an das Krankenhaus übermittelt, so dass die Angaben sofort elektronisch verfügbar sind und nicht neu angegeben werden müssen.

In Deutschland kam eine Corona-Tracing-App Mitte Juni auf den Markt, die die Nutzer frühzeitig über einen Kontakt zu einer infizierten Person informiert und somit hilft, die Infektionskette zu verfolgen. Doch all diese Apps sind anfällig für Angriffe von außen, da sie mit wichtigen persönlichen und gesundheitsbezogenen Daten arbeiten, die auf dem Schwarzmarkt für hohe Summen angeboten werden können.

Home-Office in der Krankenhausverwaltung

Die landesweiten Abstandsregelungen und Kontaktbeschränkungen hatten vom einen auf den anderen Moment zur Folge, dass alle Betriebe, soweit möglich, Heimarbeit für ihre Mitarbeiter ermöglichen mussten. Diese Regelungen betrafen auch die Mitarbeiter der Krankenhäuser, die nicht dringend vor Ort gebraucht wurden, wie beispielsweise die Verwaltung.

Wie in allen anderen Branchen müssen Mitarbeitern, die nicht präsent sein müssen, einwandfrei und sicher von zu Hause arbeiten können. Denn die Gefahr von Cyberkriminalität lauert nicht nur im IT-System und bei den Endgeräten, sondern auch in E-Mails, die beispielsweise als offizielle Nachrichten getarnt sind – im Endeffekt stellen diese aber getarnte Viren oder Trojaner dar, die die ganze Krankenhaus-IT lahmlegen können, wie das Beispiel aus Brno eindrücklich zeigte.

Größe der Krankenhäuser darf kein Maßstab für die Sicherheitsstandards sein

Aktuell werden kleinere Krankenhäuser und Einrichtungen mit unter 30.000 vollstationären Behandlungsfällen pro Jahr nicht zu den kritischen Infrastrukturen gezählt, für welche strenge Sicherheitsregularien für IT-Systeme, Endgeräte und Informationsaustausch gelten. Aber hier liegt das Problem: Die Größe der Einrichtungen darf kein Maßstab dafür sein, ob ein Krankenhaus über einen hohen Sicherheitsstandard verfügen sollte oder nicht. Ganz gleich, wie groß das Krankenhaus ist oder wie viele Patienten behandelt werden, alle Patientendaten sind enorm sensibel und schützenswert.

Zu geringe Sicherheitsstandards stellen ein hohes Risiko für Cyberangriffe dar, was besonders in ländlichen Gebieten zu einem großen Problem führen kann. Denn gerade in solchen Gebieten sind nur selten große Einrichtungen vorhanden, die die Kriterien erfüllen, um als KRITIS zu gelten. Kommt es also dort zu einem Cyberangriff, kann es im schlimmsten Falle in einer kompletten Region zu einem Engpass der medizinischen Versorgung kommen.

Ist es sicher, Medizingeräte mit dem Internet zu verbinden?

Medizingeräte mit dem Internet zu verbinden, verringert den Arbeitsaufwand des medizinischen Personals, ist aber gleichzeitig ein umstrittenes Thema. Oftmals ist IT-Verantwortlichen gar nicht klar, welche medizinischen IT-Geräte beispielsweise mit externen Wartungsservern kommunizieren. Viele Geräte erfassen hochsensible Patientendaten, die auf keinen Fall in unbefugte Hände geraten dürfen.

Ein Beispiel ist die Verbindung von Herzschrittmachern oder Blutzuckermessgeräten mit der Cloud. Kann bei dieser Verbindung keine 100-prozentige Sicherheit gewährleistet werden, sind Hacker im schlimmsten Fall in der Lage, die Medikamentenzufuhr oder Frequenz zu verändern – dies kann im schlimmsten Falle das Leben des Patienten kosten. Diesen Mangel an ausreichender Sicherheit nutzen Hacker aus und sehen es als leicht zugängliches Einfallstor zum gesamten Krankenhaus-Netzwerk – eine Lücke, die dringend geschlossen werden muss.

Intrinsic Security: ein Konzept für sichere Infrastrukturen und Medizingeräte

Die Lösung des Problems mangelnder IT-Sicherheit und somit die Schließung des Einfallstors liegt in dem Konzept der „Intrinsic Security“. Hierbei handelt es sich um einen ganzheitlichen End-to-End-Ansatz, der auf Mikrosegmentierung basiert. Dieser hat zum Ziel, eine durchgehende Sicherheit vom Datensatz bis hin zum Endgerät zu gewährleisten. Damit umgeht man die Absicherung jedes einzelnen medizinischen IT-Gerätes individuell, was ein Flickwert unterschiedlichster Security-Konzepte bedeuten würde.

Das Netzwerk wird in verschiedene Schutzklassen unterteilt: Neben besonders schützenswerten Daten, die von außen nicht zugänglich sind, gibt es außerdem Schutzklassen mit mittlerem Schutzbedarf. Diese gelten für Verwaltungsdaten oder Abrechnungen. Zu dem weniger kritischen Segment zählt beispielsweise das Entertainment-System in Patientenzimmern. Für Medizin-IT-Geräte gibt es ein spezielles Segment, das Angreifer hindert, ins Netzwerk zu gelangen.

Carsten Kramschneider
Carsten Kramschneider
(© VMware)

Das Gesundheitswesen muss beim Aufbau sicherer Infrastrukturen, der Entwicklung neuer Applikationen für medizinische Zwecke und dem Schutz medizinischer IT-Geräte auf bewährte Konzepte und zuverlässige Partner setzen, die viel Erfahrung im Gesundheitswesen mit sich bringen. Die Sicherheit und Zuverlässigkeit kritischer Infrastrukturen im Gesundheitswesen ist für die Gesellschaft überlebenswichtig. Und gerade schwierige Zeiten, wie die letzten Monate, haben noch einmal verdeutlicht, dass das Gesundheitswesen jetzt dringend in Sicherheit und die dahinterstehenden Konzepte investieren muss.

*Der Autor: Carsten Kramschneider, Manager, Solution Engineering – Public, Healthcare und Commercial, Deutschland, VMware

(ID:46676198)