Sicherheit muss (finanziert) sein
22.03.2021 - Wenn IT im Krankenhaus genutzt wird, dann muss sie sicher sein.
Doch hier gibt es immer wieder Probleme, die u.a. im aktuellen Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik. Klar ist: In die IT muss investiert werden. Das gilt nicht nur für Häuser, die zur kritischen Infrastruktur gerechnet werden.
419 Problemfälle bei kritischen Infrastrukturen – zu der auch Krankenhäuser zählen - wurden vom 1. Juni 2019 bis zum 31. Mai 2020 gemeldet. Das schildert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem jährlich erscheinenden Bericht „Die Lage der IT-Sicherheit in Deutschland 2020“. Zum Vergleich: Im Vorjahresbericht waren es noch 252. Das BSI stellte in seinem Bericht fest, dass sichere, verfügbare, funktionierende Informationstechnologie die Voraussetzung dafür ist, dass das medizinische Personal seine Aufgabe erfüllen kann, aber: „Dass es bei der Absicherung dieser Technologien an einigen Stellen noch Nachholbedarf gibt, haben die teils erfolgreichen Cyber-Angriffe auf Krankenhäuser sowie auch die immer wieder bekannt gewordenen Schwachstellen in Medizinprodukten gezeigt.“ Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärft die Situation.
Schwachstellen auch bei Medizinprodukten
Zu den Schwachstellen zählen vernetzte Medizinprodukte. So prüfte das BSI in einer Marktanalyse stichprobenartig je zwei Geräte aus den Kategorien implantierbare Herzschrittmacher und Defibrillatoren sowie deren Equipment, Insulinpumpen, Beatmungsgeräte, Infusionspumpen und Patientenmonitore. Insgesamt fand das Bundesamt mehr als 150 Schwachstellen. Darunter waren beispielsweise Abstürze der Benutzeroberfläche eines Herzschrittmachers – der sich allerdings im Prototypstadium befand – und das mögliche Versenden von SMS auf das Gerät, was aber kein weiteres ausnutzbares Verhalten zuließ. Die gefundenen Schwachstellen sind nun geschlossen – weitere, auch in Geräten, bleiben aber wahrscheinlich.
Auch zentrale Systeme können betroffen sein. Als Beispiel für einen solchen Angriff wählte das BSI im Bericht die DRK-Trägergesellschaft Süd-West im Jahre 2019. Hier sei es zur Verschlüsselung durch eine Ransomware gekommen. Die angeschlossenen Krankenhäuser in Rheinland-Pfalz und im Saarland sollen dadurch erheblich in ihrer Versorgungsleistung beeinträchtigt worden sein. Die Schadsoftware Sodinokibi wurde als wahrscheinlichster Verursacher ausgemacht. Ein wichtiger Erfolgsfaktor für die Bewältigung des Cyber-Sicherheitsvorfalls war ein funktionierendes und eingeübtes Notfallmanagement. Das BSI versorgte den betroffenen IT-Dienstleister als erste Sofort-Maßnahme mit einem fallspezifischen Unterstützungspaket. Dies enthielt aktuelle Warnungen und Hilfen sowie Informationen zur identifizierten Schadsoftware. Zusätzlich unterstützte ein Mobile Incident Response-Teams (MIRT) die Arbeit vor Ort. Das MIRT des BSI und der IT-Dienstleister arbeiteten demnach gemeinsam erfolgreich daran, den Umfang des Angriffs festzustellen, das wahrscheinlichste Einfallstor zu ermitteln, den Angreifer aus dem Netz zu entfernen und auszusperren und das IT-Netz wieder in einen arbeitsfähigen Zustand zu versetzen. Wesentlich war laut BSI die übergreifende Krisenbehandlung im Krankenhaus, d. h. ein Zusammenwirken des Business Continuity Managements im Bereich der Patientenversorgung, z. B. durch Umstellung der Behandlungsdokumentation mittels Stift und Papier, und des IT-Notfallmanagements. Für die IT-Vorfallsbehandlung gilt laut BSI: Problem eingrenzen, Ursache finden, erforderliche Maßnahmen auswählen. Das regelmäßige Durchführen von Backups kann laut BSI helfen, nach einem Ransomware Angriff schnell wieder handlungsfähig zu werden - aber nur dann, wenn die Backups nicht betroffen bleiben. Offenbar ist es dazu sinnvoll offline zu sichern. Das alles verdeutlicht noch einmal die Bedeutung der IT-Sicherheit. Der Gesetzgeber setzt vor diesem Hintergrund nicht nur auf Freiwilligkeit.
Wie dies bezahlt werden soll
Betreiber Kritischer Infrastrukturen (KRITIS) unterlagen bereits seit einiger Zeit besonderen Regelungen. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess mit der Bereitstellung eines „Branchenspezifischen Sicherheitsstandards“. Der Aufwand sollte eigentlich bereits über Mittel aus dem Krankenhausstrukturfonds abgedeckt sein – auch wenn die Gelder oft anders verwendet wurden (§ 12a Absatz 1 Satz 4 Nummer KHG in Verbindung mit § 11 Absatz 1 Nummer 4 Buchstabe a KHSFV). Es bleiben Wünsche offen, die in KRITIS-Häusern nicht durch das Krankenhauszukunftsgesetzes (KHZG) erfasst sind: Speziell Vorhaben, durch die eine Verbesserung der IT- bzw. Cybersicherheit erreicht werden soll, sind hier diese Häuser ausgeschlossen.
Und die Aufgaben im Bereich der IT-Sicherheit wachsen. Künftig sollen die Betreiber von Krankenhäusern der KRITIS verpflichtet werden, Systeme zur Angriffserkennung einzusetzen. Nach den Vorstellungen der Regierung zählen dazu durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Ein Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten, soll die Angriffserkennung ermöglichen. Zur KRITIS all jene Kliniken, die mehr als 30.000 vollstationäre Fälle pro Jahr haben. Und die anderen Einrichtungen, die nicht zur KRITIS gerechnet werden?
Kleine Krankenhäuser profitieren
Dass mehr IT-Sicherheit auch in kleinen Krankenhäusern mit mehr Ausgaben verbunden sein können, das würdigt der Gesetzgeber mit dem KHZG. So enthalten die dazugehörigen Richtlinien die IT-Sicherheit als eigenen, zehnten Fördertatbestand. Hiermit ist sowohl die Sicherheit der IT-Systeme als auch der dabei verarbeiteten Informationen in der Gesundheitsversorgung gemeint. Eine Vermeidung von Störungen der Verfügbarkeit, der Integrität und der Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse muss sichergestellt werden. Gleiches gilt für die Authentizität der Informationen. Gefördert wird die Prävention, die Detektion, Mitigation, Awareness oder eine Kombination davon. Ausgenommen von diesem besonderen Fördertatbestand sind Krankenhäuser, die zur KRITIS gerechnet werden. Mindestens 15% der gewährten Fördermittel müssen sowieso für Maßnahmen zur Verbesserung der Informationssicherheit verwendet werden. Ziel ist es, dass alle geförderten Maßnahmen bereits zu Beginn den Anforderungen und Standards der IT- und Cybersicherheit entsprechen. Und so heißt es in den Förderrichtlinien: „Cybersicherheit ist die notwendige Bedingung für die fortschreitende Digitalisierung in den Kliniken.“
Autor: Dr. Lutz Retzlaff, Neuss
Profitieren Sie vom Expertenwissen rund um das KHZG! Melden Sie sich jetzt zur online Panel Discussion an: "Krankenhauszukunftsgesetz - die Förderung optimal nutzen" am 21. April, 10-11:45 Uhr. Sie ist organisiert vom Wiley Verlag und kostenfrei.