Trendbericht: IT-Sicherheit in Krankenhäusern

Rund um den Globus wird die Digitalisierung im Gesundheitswesen forciert. Aber der wachsende Einsatz komplexer IT birgt auch Gefahren. Denn Cyberkriminalität stellt auch für Krankenhäuser eine echte Bedrohung dar. Kliniken und große Ärztezentren müssen deshalb für die Sicherheit ihrer IT-Infrastruktur sorgen – eine Klinik in Mittelhessen zeigt, wie es geht.

Leitstellen von Rettungsdiensten, mit WLAN-Schnittstellen ausgestattete Rettungswagen, Telemedizin – das alles können Einfallstore sein für Hacker. Denn das ganze Gesundheitssystem ist darauf ausgerichtet, elektronische Daten effizient auszuwerten – von Testergebnissen bis hin zu Krankengeschichten und der Erfassung umfangreicher Datensätze. Problem: Diese Daten sind angreifbar, denn Systeme können gehackt werden. 

Hackerangriffe in Krankenhäusern

Der Einsatz von IT erhöht die Komplexität unseres Lebens aber auch die Verletzlichkeit der Systeme im Gesundheitswesen: Hackerangriffe sind mittlerweile eine globale Angelegenheit, das Risiko eines Cyberangriffs beschränkt sich nicht nur auf ein bestimmtes Land, oder einen bestimmten Hersteller. Kliniken, Arztpraxen und andere Einrichtungen des Gesundheitswesens sind weltweit zur Zielscheibe digitaler Attacken und sogar so genannter Lösegeld-Angriffe geworden. „Je weiter wir in der Digitalisierung voranschreiten, je mehr wir Medizintechnik und IT vernetzen, desto höher ist die Gefahr“, sagt Sebastian Polag, Geschäftsführer des Gießener Agaplesion Evangelisches Krankenhaus Mittelhessen gegenüber der Ärztezeitung.

Das Heimatschutzministerium der Vereinigten Staaten warnte beispielsweise im April 2019 vor Hackerangriffen auf Herzschrittmacher – sie können ebenfalls ein Ziel von Hackern sein.

Auch in Deutschland gab es Hackerangriffe: Die Erfahrung des Lukaskrankenhauses in Neuss hat gezeigt, welche gravierenden Folgen ein solcher Angriff auf die Arbeitsabläufe in einem Krankenhaus haben kann. Ein Trojaner brachte 2016 das gesamte Krankenhaussystem zum Erliegen: Die Notaufnahme musste schließen, Patienten erhielten ihre Medikamente und Therapien nicht, Operationen mussten verschoben werden. Am Ende hat der Kampf gegen den Trojaner das städtische Lukaskrankenhaus in Neuss rund eine Million Euro gekostet.

Und allein dem Hessischen Ministerium für Soziales und Integration wurden seit 2016 zwölf Anschläge gemeldet, beispielsweise im Gesundheitszentrum Wetterau, im Heilig-Geist-Hospital Frankfurt und im Klinikum Hanau. Die tatsächlichen Zahlen dürften sogar höher liegen, da nicht jeder Anschlag gemeldet wird. Um das Problem in den Griff zu bekommen, hat das hessische Innenministerium inzwischen eine Einheit für Cybersicherheit aufgebaut, um die Gesundheitseinrichtungen bei Abwehrmaßnahmen zu unterstützen.

Welche Cyber-Risiken gibt es?

Die heutigen medizinischen Cyber-Risiken lassen sich in drei Kategorien einteilen: Unterbrechungen des Praxisbetriebs, Gefährdung der Sicherheit elektronischer Gesundheitsakten (EHR) und Bedrohungen der Patientensicherheit.  Manchmal kann Lösegeld, das in E-Mails versteckt ist Dateien verschlüsseln und damit unzugänglich machen. Sie können das IT-Netzwerk eines Krankenhauses so schnell unbrauchbar machen. Hacker könnten sich auch Zugang zu Patientendaten verschaffen, indem sie Lücken in der Schutzsoftware ausnutzen und diese zur Erpressung von Patienten nutzen.

Testangriff auf mittelhessisches Krankenhaus

Der Plan geht auf: Im Jahr 2018 führte das Berliner IT-Sicherheitsunternehmen HiSolution einen Testangriff auf das Agaplesion Evangelisches Krankenhaus im mittelhessischen Gießen durch. Die Simulation wurde vom Krankenhaus selbst in Auftrag gegeben. Das Krankenhaus bestand den Praxistest mit Bravour, vor allem Dank der nach 2016 eingeführten Sicherheitsmaßnahmen. Zwei Tage lang versuchten die Berliner IT-Experten vergeblich von außen auf das krankenhauseigene IT-System zuzugreifen. Erst nachdem ihnen der Zugang durch die Bekanntgabe der Passwörter gewährt wurde, konnten die Experten einige Schwachstellen identifizieren, die dann beseitigt wurden.

Der Test beweist, dass es möglich ist, Cyberangriffe abzuwehren – Voraussetzung dafür sind allerdings entsprechende Sicherheitsmaßnahmen, die jedes Krankenhaus im Vorfeld treffen muss. Erst wenn jedes Krankenhaus mit einem guten Sicherheitssystem ausgestattet ist, bergen Cyberangriffe keine Gefahr mehr. 

Möglicherweise könnte das Gesundheitswesen von der Großindustrie lernen: In einer repräsentativen Cybersecurity-Studie hat der TÜV-Verband untersucht, wie es um die IT-Sicherheit deutscher Unternehmen steht. “In der Umfrage geben drei von vier Unternehmen an, dass die Bedeutung der IT-Sicherheit in den vergangenen fünf Jahren für sie gestiegen ist”, sagte Dr. Michael Fübi, Präsident des TÜV-Verbands, bei Vorstellung der „TÜV Cybersecurity Studie“. „Wir wissen heute, dass selbst die besten Schutzmaßnahmen nicht ausreichen, um Cyberangriffe zu verhindern“, sagte Fübi. Organisationen müssten sich auch darauf konzentrieren, erfolgreiche Cyberangriffe möglichst schnell zu erkennen und in den Griff zu bekommen. Fübi: “Dabei helfen Notfallübungen sowie Penetrationstests und spezielle Software für die Erkennung von Angriffen.” Bei Systemen für die Angriffserkennung kommt mittlerweile auch häufig Künstliche Intelligenz (KI) zum Einsatz. Laut Umfrage nutzt bereits jedes achte Unternehmen Künstliche Intelligenz für seinen eigenen Schutz. Die Unternehmen nutzen KI derzeit vor allem, um Schad-Software oder Anomalien in Datenströmen zu erkennen. Eine weitere Anwendung sind moderne Authentifizierungsverfahren, zum Beispiel Gesichts- oder Spracherkennung. Künstliche Intelligenz könnte also auch im Bereich IT-Sicherheit einen wesentlichen Beitrag für die Medizin der Zukunft leisten.

Schreibe einen Kommentar