Kliniken als Teil kritischer Infrastrukturen
Neue Vorgaben für Cyber-Security im Gesundheitssektor
Das IT-Sicherheitsgesetz nimmt künftig auch medizinische Versorger in die Pflicht: Voraussichtlich im Frühjahr 2017 werden die zuständigen Stellen im Bundesinnenministerium entscheiden, welche Einrichtungen konkret betroffen sind und welche Security-Standards ihre Netzwerke und IT-Systeme nach einer zweijährigen Übergangsfrist erfüllen müssen. So lange jedoch sollten weder Krankenhäuser noch Labore oder Pharmazeutik-Unternehmen warten – sondern sich möglichst bald mit der Thematik auseinandersetzen.
Die Digitalisierung erzeugt neue Abhängigkeiten: Je weiter sie vorankommt, desto anfälliger wird unsere Gesellschaft für Störungen oder gar Totalausfälle wichtiger Netzwerk- und IT-Systeme. Einen besonderen Schutzbedarf solcher digitalen Lebensadern sieht die Bundesregierung für sogenannte Kritische Infrastrukturen – kurz KRITIS. Damit gemeint sind Einrichtungen und Organisationen, die von großer Bedeutung sind „für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ – wie es in der offiziellen Definition von KRITIS heißt.
Abwarten ist keine Option
Seit Juli vorigen Jahres verpflichtet das IT-Sicherheitsgesetz alle KRITIS-Betreiber, geeignete Maßnahmen zu ergreifen, um die Funktionstüchtigkeit ihrer informationstechnischen Systeme auch in Ausnahmesituationen gewährleisten zu können. Als Konkretisierung dieser gesetzlichen Rahmenvorgabe gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Mai 2016 den ersten Teil der „Verordnung zur Bestimmung Kritischer Infrastrukturen“ (BSI-KritisV) heraus. Seither ist klar, welche Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung dem IT-Sicherheitsgesetz unterliegen und welche fachlichen Auflagen sie nach Ablauf von 24 Monaten erfüllen müssen. Für die Sektoren Finanzen, Verkehr und Gesundheit sollen entsprechende Fachvorgaben als Teil II von BSI-KritisV im kommenden Frühjahr folgen. Es ist davon auszugehen, dass sie als Mindestanforderung ein sogenanntes Information Security Management System (ISMS, siehe Kasten) verbindlich vorschreiben werden.
Auf viele Kliniken, Medizinlabore und Pharmahersteller kommen somit voraussichtlich ab Frühjahr 2019 partiell zwar abgeschwächte, im Prinzip aber gleichartige IT-Sicherheitsanforderungen zu, wie sie ein Jahr zuvor schon für betroffene Unternehmen aus der ersten Sektorengruppe gelten. Momentan steht noch nicht fest, welche Kriterien bei der KRITIS-Einstufung von Gesundheitseinrichtungen zur Anwendung kommen. Gleichwohl sollten die IT-Verantwortlichen insbesondere größerer Häuser nicht untätig bleiben, sondern so früh wie möglich auf die zu erwartenden Anforderungen reagieren. Denn angesichts der Umsetzungskomplexität ist die vom Gesetzgeber eingeräumte Zweijahresfrist eine durchaus sportliche Zeitvorgabe.
Was aber, wenn eine Krankenhaus- oder Pflegeheimgruppe dann doch nicht unter die BSI-KritisV-Kriterien fällt? Entpuppen sich Aufwand und Kosten für die Planung und Einführung eines ISMS am Ende womöglich als Fehlinvestition? Nein, denn ein erhöhtes IT-Sicherheitsniveau zahlt sich gerade im Gesundheitsmarkt ganz unabhängig von rechtlichen Verpflichtungen aus. Und dies betrifft nicht nur vermiedene Schäden dank höherer Systemresistenz gegenüber Cyber-Gefahren, sondern auch und vor allem den Reputationsgewinn, der sich zum Beispiel aus einem nachweislich sorgsamen Umgang mit sensiblen Patientendaten ergibt. Im Wettbewerb der digitalen Ära wirkt ein ISMS gleichsam wie ein Gütesiegel, das Vertrauen schafft.
Vernetzte Medizintechnik potenziert die Herausforderung
Auf den ersten Blick scheint nicht unbedingt ersichtlich, warum die ISMS-gestützte Absicherung der IT nach dem Stand der Technik im Gesundheitswesen eine solche Herkules-Aufgabe sein sollte. Die Erfahrungen beispielsweise im KRITIS-Sektor Energie zeigen indes, dass die Schwierigkeiten vielerorts bereits bei der Begriffsbestimmung beginnen: Was gehört alles zur IT und was nicht? In der Vergangenheit waren technische Mess-, Steuer- und Regelsysteme in Kraftwerken und Versorgungsnetzen eine klassische Ingenieursdomäne. Die IT-Abteilung hatte mit dieser sogenannten Operational Technology (OT) kaum etwas zu tun. Im Zuge der fortschreitenden IP-Vernetzung unterliegen solche OT-Systeme jedoch denselben Sicherheitsrisiken wie ein Office-PC oder ein Datenbankserver.
Eine vergleichbare Entwicklung lässt sich bei medizintechnischen Anwendungen in Krankenhäusern beobachten – zum Beispiel bei radiologischen Diagnosesystemen: Häufig sind diese teuren Investitionsgüter schon viele Jahre im Einsatz und wurden erst nachträglich in das IP-basierte Klinikinformationssystem eingebunden, um digitale Röntgen- oder MRT-Bilder in die elektronische Patientenakte einzufügen. Ähnlich wie bei vielen industriellen OT-Systemen sind regelmäßige Sicherheits-Patches bei der klinischen OT oftmals schwierig, weil dadurch unter Umständen die Herstellergewährleistung oder die Gerätezulassung gefährdet ist.
Solche Sicherheits-Upgrades wären nicht zuletzt auch aufgrund vermehrter Ransomware-Angriffe wichtig. Bei bislang bekannten Angriffen auf Krankenhäuser handelte es sich um relativ ungezielte Attacken auf klassische IT-Systeme. Auch in deutschen Häusern hatten per E-Mail versandte Erpressungstrojaner Anfang des Jahres den Klinikbetrieb tagelang weitgehend lahmgelegt. Insgesamt waren zwischen November 2015 und April 2016 laut BSI rund ein Drittel aller Unternehmen in der Bundesrepublik von dieser „konventionellen“ Form der Cyber-Kriminalität betroffen – wobei es in 22 Prozent der Fälle zu erheblichen Systemausfällen kam.
Ungleich dramatischer wären die Folgen einer gezielten Attacke auf die OT-Systeme einer Klinik nach dem Muster von Stuxnet – dem ersten publik gewordenen Cyber-Angriff auf eine industrielle Steueranlage: Bei einer unbemerkten Manipulation etwa eines automatischen Arzneimittelmanagementsystems stünden aufgrund falscher Medikation und Dosierung Leben und Gesundheit von Patienten unmittelbar auf dem Spiel. Vor diesem Hintergrund führt früher oder später kein Weg daran vorbei, die gesamte OT eines Krankenhauses in ein ganzheitliches ISMS mit einzubeziehen. Zur Ausarbeitung effektiver Schutzmaßnahmen bietet es sich dabei an, auf die Erfahrungen anderer KRITIS-Sektoren mit ähnlichem Anforderungsprofil zurückzugreifen.
Hintergrundinformation: ISMS - Ganzheitliche Systematik für nachprüfbare IT-Sicherheit
Ein Information Security Management System (ISMS) umfasst aufeinander abgestimmte Regeln und Prozesse, die der Definition, Steuerung, Kontrolle und fortlaufenden Optimierung der IT-Sicherheit einer Organisation dienen. Ein ISMS bildet nicht nur sämtliche Bausteine der IT-Landschaft ab, sondern auch deren wechselseitige Abhängigkeiten. Als Grundlage für die Entwicklung eines unternehmensindividuellen ISMS empfiehlt das BSI die internationalen Normen ISO 27.001 beziehungsweise 27.002. Für das Gesundheitswesen steht überdies eine branchenspezifische Verfeinerung dieser allgemeingültigen Standards zur Verfügung – nämlich die ISO-Norm 27.799.