Health Care Management
Cyberangriffe: Zielgruppe Krankenhäuser
Cyberangriffe: Zielgruppe Krankenhäuser
Alexandra Lehmann und David Matusiewicz
Die Anzahl an Cyberangriffen auf Krankenhäuser und anderen Einrichtungen im Gesundheitswesen nimmt kontinuierlich zu. Dies liegt unter anderem daran, dass die Informations- und Kommunikationssysteme komplexer und damit unübersichtlicher für die historisch gewachseneren EDV bzw. IT-Abteilungen werden. Der wohl dramatischste Hackerangriff in Deutschland hat sich im Jahr 2020 an dem Universitätsklinikum in Düsseldorf ereignet. Die Täter haben unzählige Daten der Klinik mithilfe einer Erpressersoftware (sog. Ransomware) verschlüsselt. Aufgrund nicht funktionsfähiger Systeme musste ein Rettungswagen mit einer 78-jährigen Patientin in das 25 Kilometer entfernte Wuppertal umgeleitet werden. Während dieser Fahrt verstirbt die Patientin (Doelfs 2021). Insgesamt konnte das Krankenhaus Düsseldorf 13 Tage lang nicht von Rettungsdiensten angefahren werden, da es so lange dauerte, um den Normalbetrieb wieder aufnehmen zu können. Der Cyberangriff im Frühjahr 2016, bei dem 28 Krankenhäuser in Nordrhein Westphalen betroffen waren, bleibt dabei ebenfalls nachhaltig in Erinnerung. Die Cyberattacke hat dabei knapp eine Millionen Euro Schaden beim Lukaskrankenhaus in Neuss verursacht (Doefls 2016).
5.1 Kosten von Cyberangriffen
Die beiden Beispiele zeigen, welche verheerende Folgen Hackerangriffe im Gesundheitswesen nach sich ziehen. Durch den Ausfall der IT-Systeme können keine Behandlungen durchgeführt werden, wodurch keine Einnahmen generiert werden. Dennoch laufen aber die die fixen Kosten bzw. Betriebskosten weiter, die zu hohen finanziellen Einbußen führen. Der Schaden in der Reputation solcher Häuser lässt sich dabei nur schwer quantifizieren, sollte aber auch mitbedacht werden, da das Vertrauen der Patienten drastisch sinken kann. Diese Vorfälle von Cyberkriminalität sind jedoch leider längst keine Seltenheit mehr. Ähnliche Situationen, bei denen die IT-Systeme des Krankenhauses lahmgelegt wurden, ergaben sich beispielsweise am Klinikum Fürth in Bayern (2020), an der Evangelischen Klinik in Lippstadt (2021) oder erst neulich an dem Klinikverbund „Medizin Campus Bodensee“ Anfang des Jahres 2022. Werden die weltweiten Kosten von Sicherheitslücken im Branchenvergleich betrachtet, schneidet der Gesundheitssektor mit ca. 7 Millionen USD am höchsten ab (s. Abb. 1). Dies spiegelt damit nicht nur die nationale, sondern die internationale Relevanz wider.
Abb.1 Durchschnittliche Kosten von Datenlecks weltweit nach Branchen im Jahr 2020 (in Millionen US-Dollar) (Statista 2021)
Immer häufiger drohen die Täter von Cyberangriffen mit der Veröffentlichung der erlangten Daten. Die Lösegeldforderungen belaufen sich meist auf hohe Millionenbeträge. Zunehmend kommt es auch zu Forderungen nach Bitcoin als Lösegeld. Hierbei ist zu beachten, dass das Nachkommen einer solchen Zahlungsaufforderung als strafbare Unterstützung einer kriminellen Vereinigung gilt. Dabei sind die Daten von Patienten sowie möglichen Vertragspartner des Krankenhauses hochsensibel. Oft sind die IT-Systeme mit denen der Forschungspartner, Lieferanten oder Krankenversicherungen verbunden oder die Daten liegen auf den Servern des Krankenhauses (Orthwein 2020). Falls es nicht nur bei einer Androhung der Datenveröffentlichung bleibt, sondern die Hacker tatsächlich Daten veröffentlichen, kann es zu Schadensersatzansprüchen der Patienten bzw. der Geschädigten kommen. Insbesondere wenn es sich bei den veröffentlichten Daten um Betriebsgeheimnisse oder vertrauliche Forschungsergebnisse von Kooperationsunternehmen oder wissenschaftlichen Instituten handelt, können empfindliche Vertragsstrafen gefordert werden. Dabei muss der Vertragspartner nur glaubhaft darlegen, dass das betroffene Krankenhaus in einer fahrlässigen Weise die streng vertraulichen Daten dem Angriff preisgegeben hat. Geschäftsführern ist mittlerweile bewusst, dass solche Datenvorfalle nach der Datenschutzgrundverordnung (DS-GVO) innerhalb von max. 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden ist. Ebenfalls müssen auch Mitarbeiter und Patienten informiert werden, sofern diese Daten durch den Cyberangriff verschlüsselt sind und möglicherweise veröffentlicht werden. Auch hier drohen hohe Bußgelder, falls dieser Pflicht nicht nachgekommen wird.
5.2 Sicherheitslücken trotz etablierter Standards
Bei den meisten Vorfällen wären die Hackerangriffe vermeidbar gewesen, wenn die branchenüblichen Sicherheitsstandards B3S der Krankenhäuser eingehalten werden würden. Alle Krankenhäuser, die den Schwellenwert von 30.000 vollstationären Fällen pro Jahr überschreiten, unterliegen dem Umsetzungsplan der kritischen Infrastruktur (UP KRITIS) (DKG 2019). In dem Standard wurden von der Deutschen Krankenhausgesellschaft (DKG) in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) etwa 200 Empfehlungen und Anforderungen für Maßnahmen entwickelt, um die kritische Dienstleistung von Krankenhäusern sicherzustellen. KRITIS Häuser müssen nach dem BSI Gesetzes regelmäßig nachweisen, dass ihr IT-Absicherung auf dem aktuellen Stand der Technik ist. Seit dem 01. Januar 2022 sind grundsätzlich alle Krankenhäuser nach § 75c SGB V dazu verpflichtet, entsprechende IT-Sicherheitsvorkehrungen zu treffen. Diese Maßnahmen haben zu einer erhöhten Steigerung des IT-Sicherheit-Awareness der Kliniken geführt sowie den Bestrebungen, die empfohlenen Maßnahmen umzusetzen. Das Krankenhaus-Management sollte dabei klare Verantwortlichkeiten definieren sowie IT-Sicherheitsziele in der Strategie und den Zielen des Unternehmens ausrichten.Neben den in Tabelle 1 dargestellten Zielen, definiert die DKG unter anderem den Begriff der Patientensicherheit. Demnach ist die Patientensicherheit als die Freiheit von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit von Menschen beschrieben. Dabei ist die Vermeidung nachhaltiger psychischer Belastung eingeschlossen (DKG 2021). Die Daten von Patienten haben im Vergleich zu anderen Branchen kein Verfallsdatum und bauen zum Teil aufeinander auf. Das bedeutet, dass Daten aus dem Gesundheitswesen eine viel höhere Lebensdauer als in anderen Branchen haben. Nach der Entwendung von Patientendaten können Hacker diese immer noch nutzen, da weiterhin die Richtigkeit der Daten besteht. Im Vergleich zu anderen Branchen sind Daten nach einem Hackerangriff meist wertlos, da die Informationen verfallen sind. Die ist z.B. bei Daten, wie Passwörtern oder Bankdaten der Fall.
Tab. 1 Ziele des B3S Sicherheitsstandards (DKG 2019)
In den Anforderungen des B3S Sicherheitsstandards des DKG wurde des Weiteren festgelegt, dass Krankenhäuser die Wirksamkeit der Maßnahmen alle zwei Jahre durch Audits überprüfen zu hat. Allerdings ist die Auditierung kritisch als kritisch anzusehen, da der Auditor in der Regel nur das Vorhandensein der erforderlichen Prozesse prüft und z.B. keine Firewall begutachtet (Doelfs 2021). Außerdem bezahlt das Krankenhaus die Auditoren, wodurch ein Interessenkonflikt besteht. Daher tendieren Krankenhäuser einen eher kostengünstigeren Auditor zu wählen. Damit einhergehenden leidet meistens auch die fachliche Expertise der Auditoren. Empfehlenswert wären daher neutrale Prüfer, die beispielsweise von einer Behörde oder einer zentralen Prüfstelle einheitlich gestellt werden.
5.3 Steigende Komplexität der IT-Sicherheit für Krankenhäuser
Da die Entwicklungen zu einem Smart Hospital mit telemedizinischen Lösungen, vernetzen Systemen, roboterassistierten Operationen und digitalen mobilen Endgeräte unvermeidbar sind, ist damit einhergehend auch die Informationssicherheit ein nie endender Prozess. Darüber hinaus hat die COVID-19-Pandemie auch die Anzahl der Zugriffe von mobilen Endgeräten und Heimcomputer von Krankenhausmitarbeitern drastisch erhöht. Durch Homeoffice bzw. remotes Arbeiten ist die Steuerung hausinterner IT-Systeme von externen Standorten aus, eine zusätzliche Aufgabe der Krankenhaus-IT geworden. Jeder remote Zugang auf das krankenhausinterne Netzwerk kann dabei ein potenzielles Eingangstor vor Cyberkriminelle darstellen, wenn die Sicherheitsvorkehrungen nicht adäquat getroffen wurden. Um Sensibilisierung rund im IT-Themen bei den Mitarbeitern zu schaffen, sind Richtlinien und verständliche Anleitungen unabdingbar. Meistens haben die Nutzer noch keine Kenntnisse über den Zugriff mithilfe eins VPN-Zugangs, den Umgang mit Microsoft Office oder weiteren IT-Anwendungen. Daher empfiehlt sich eine verpflichtende Schulung bevor Mitarbeiter solche Möglichkeiten nutzen dürfen.
Die COVID-19-Pandemie hat dabei nicht nur die Anzahl der Homeoffice Arbeitsplätze von Krankenhausmitarbeitern erhöht, sondern auch die Aufmerksamkeit von Cyberkriminellen auf Kliniken gerichtet. Solche Notlagen werden von Hackern zu ihrem Zweck ausgenutzt, da die Folgen im Vergleich zu anderen Bereichen lebensbedrohlich sind. In einer Umfrage des russischen Cybersicherheitsunternehmen Kaspersky wurden 350 Entscheidungsträger im Deutschland, Österreich und der Schweiz zur IT-Sicherheitslage im Gesundheitswesen befragt. Insgesamt 61% der Befragten schätzen demnach die derzeitige digitale Bedrohung als hoch ein (Kaspersky 2021). Die Nutzung von sog. „Bring your own device“ Anwendungen und Software birgt ebenfalls ein stark erhöhtes Sicherheitsrisiko mit sich, sofern dies nicht durch die IT-Abteilung angeschafft und installiert wurde.
Gründe für fehlende IT-Sicherheit
- mehrjährige Luftrettungstätigkeit/versiert im Umgang mit Hubschraubern
- Personalnot von IT-lern sowie Unterbesetzung der IT-Abteilung
- Fehlende regelmäßige Backups„Unterfinanzierung der krankenhausinternen IT-Abteilungen
- Keine regelmäßigen Updates der Hard- und Software aufgrund unterschiedlicher Update Zyklen
- eraltete Hardware aufgrund fehlender IT-Investitionsmittel„Geringe Awareness von Mitarbeitern, um z.B. Phishing E-Mails zu erkennen„Fehlende Segmentierung der IT-Systeme und des IT-Netzes
IT-Abteilungen sind somit unter anderem für die Anschaffung, Installation sowie Überprüfung und Überwachung der vorherrschenden Systeme verantwortlich. Problematisch ist jedoch, dass nur noch sehr wenige Krankenhäuser über eine interne IT-Abteilung mit eigenem Personal verfügen (Moog 2021). Dies hat zur Folge, dass selbst bei der Erkennung von Sicherheitslücken es nicht automatisch behoben werden kann, weil die personellen Ressourcen und damit das entsprechende Know-how fehlt. Wenn solche Lücken nicht schnellstmöglich behoben werden können, kann es zu Vorfällen wie am Uni Klinikum Düsseldorf kommen. In der Studie „Epidemic? The Attack Surface of German Hospitals during the COVID-19 Pandemic“ wurde herausgefunden, dass bei etwas mehr als 36% der 1.555 untersuchten deutschen Krankenhäuser Schwachstellen in der IT-Sicherheit aufweisen. Von den insgesamt 1.931 identifizierten Schwachstellen, waren mehr als 900 als kritisch eingestuft wurden. Immer mehr Krankenhäuser setzen daher auf das Wissen und die Unterstützung von externen Dienstleistern. Doch auch hier müssen sich Krankenhäuser genau absichern, wer die Verantwortung trägt, dass alle IT-Sicherheitsvorkehrungen und Updates immer auf dem aktuellen Stand sind. Denn je größer ein Krankenhaus ist desto zahlreicher und heterogener sind die genutzten IT-Systeme (Doelfs 2021). Damit steigt der Aufwand und das Risiko möglicher Gefahren im operationalen Klinikbetrieb.
5.4 Fazit und Ausblick
Nichtsdestotrotz sollten sich Krankenhäuser der zunehmenden digitalen Transformation nicht entziehen, um den Aufwand der IT-Sicherheit zu entkommen. Ganz im Gegenteil: Das Ziel sollte es sein, durch die Vereinheitlichung der proprietären IT-Strukturen sowie die Etablierung einer Digitalstrategie die Grundlage für ein sicheres Netzwerk zu schaffen (Moog 2021). Um bei der Umsetzung die Krankenhäuser finanziell zu unterstützen, stellen Bund und Länder insgesamt 4,3 Milliarden Euro im Rahmen des Krankenhaus Innovationsfonds bereit. Dadurch soll unter anderem die Vielzahl an IT-Insellösungen abgeschafft werden. Bei der Förderung müssen mindestens 15% der Mittel auf Maßnahmen zur Verbesserung der Informationssicherheit mit Fokus auf IT- und Cybersicherheit ausgerichtet sein.Wichtig ist, dass die Umsetzung neuer IT-Projekte in Krankenhäusern nachhaltig eine Verbesserung für alle Stakeholdergruppen schafft. Es sollte nicht das Ziel sein, auf kurze oder mittlere Frist viele neue Anwendungen einzuführen, die langfristig nicht bestehen können. Dabei ist vor allem zu bedenken, dass die Kosten der Einführung sowie für den Betrieb von IT-Sicherheitssystemen nicht vollständig durch die Gelder des KHZG gedeckt werden können. Daher muss das Krankenhaus-Management neue Strategien entwickeln, um die Digitalisierung und damit einhergehend die IT-Sicherheit bestmöglich nach ihren Anforderungen und Vorstellungen auszugestalten.
Dieser Beitrag ist ein Auszug aus dem Buch "Datenschutz, Informations- und Cybersicherheit im Gesundheitswesen" herausgegeben von Thomas Jäschke. Alle Informationen zum Titel erhalten Sie hier.
