Datenschutz und Datensicherheit im Krankenhaus

Digitalisierung in der Medizin bringt Vorteile – keine Frage. Die Effizienz der Abläufe lässt sich steigern, Patientenwünsche und -bedürfnisse können direkter erfasst sowie passgenau umgesetzt werden. Die Vernetzung von medizinischen Geräten und Systemen über das Internet, sowie deren Ausstattung mit zusätzlicher Intelligenz für einen optimalen Einsatz sind, ebenso wie eine effektive Überwachung von Gesundheitsdaten, somit ein Kernziel. Das klingt perfekt mit Blick auf das Wohlergehen der Patienten. Aber diese Welt ist (noch) nicht so verheißungsvoll wie sie scheint – denn hierdurch werden weitere oder neue Angriffspunkte für Kriminelle geschaffen, nicht zuletzt auch, da adäquate Schutzmaßnahmen und -konzepte meist nur rudimentär vorhanden sind.

Gerade im Gesundheitswesen ist der Zwiespalt zwischen der Notwendigkeit zur Digitalisierung einerseits sowie der damit einhergehenden Risiken andererseits besonders eklatant. Denn während in den Nachbarländern wie Dänemark oder den Niederlanden die Entwicklung in Richtung übergreifender Vernetzung zur effizienteren Behandlung von Patienten oder der Einsatz von alltäglichen Kommunikationsmitteln wie WhatsApp mit dem Ziel eines durchgängigen Informationsflusses zur effektiveren Krankenbetreuung weit vorangeschritten ist, geht es hier in Deutschland nicht so schnell voran. Versus einer übereilten Bewertung stellt sich die Frage, ob dies vielleicht zu Recht so ist – denn müssen nicht erst einmal die entsprechenden Problemstellungen bezüglich der Cybersecurity hinreichend geklärt werden, da das Thema in zweifacher Hinsicht brisant ist? Weil, neben den computergesteuerten lebenserhaltenden Maßnahmen und weiteren wichtigen Prozessen können auch sensible Personendaten zur Zielscheibe eines Angriffs werden. Keine graue Theorie laut Bernd Fuhlert, Experte für IT-Security „Fakt ist, dass sich mit Gesundheitsdaten im Darknet sehr viel Geld verdienen lässt.

IT-Sicherheit – ein nicht zu vernachlässigendes Thema

Im Gegensatz dazu, dass in den Unternehmen das Bewusstsein für die Unabdingbarkeit von IT-Sicherheit inzwischen stetig wächst, wird die gesamte Krankenhaus-IT vielerorts noch immer stiefmütterlich behandelt. Zahlreiche öffentliche Häuser sind, aufgrund ihrer angespannten finanziellen Situation, in der Regel nicht in der Lage, genug Budget hierfür zur Verfügung stellen. So wird im Durchschnitt lediglich sieben Prozent des Umsatzes investiert. Aber auch wenn, wie im Falle des Lukas-Krankenhaus, die Investitionssumme weitaus höher – sprich dreizehn Prozent – liegt, so ist dies kein Garant dafür, dass sich damit unmittelbar ein hundertprozentiger Schutz erreichen lässt. Denn neben gravierenden Versäumnissen können oftmals auch banale Ursachen, wie etwa die Unachtsamkeit eines Mitarbeiters, zu massiven Störungen und Ausfällen führen.

Hinzu kommt, dass momentan auch die zunehmende Nutzung von mobilen Endgeräte wie Tablets oder Smartphones bei der Visite eine Herausforderung darstellt, denn deren Management (MDM) ist nicht trivial – allein weil das interne Netzwerk für diese Kommunikation geöffnet werden muss und dadurch weitere Angriffspunkte entstehen. Zukünftig wird, aufgrund der Vernetzung von Anwendungen, die Abhängigkeit und damit einhergehend die Verwundbarkeit weiter ansteigen, auch weil viele Vorgänge gar nicht mehr manuell ausführbar sind. Beispielsweise erfolgt die Medikamentenverwaltung oftmals ausschließlich web-basiert – von daher gibt es häufig weder einen Katalog noch die entsprechenden Aufzeichnungen bezüglich der Bestände, mithilfe dessen ein Mitarbeiter die Bestellung telefonisch vornehmen könnte.

Was kann in der Realität passieren?

Angreifer haben kein moralisches Gewissen – allein in dem Jahr, als das Lukas-Krankenhaus in Neuss angegriffen wurde ermittelte das FBI in weiteren 28 registrierten Fällen, wobei mit hoher Wahrscheinlichkeit diese Fälle in keinem Zusammenhang standen. Vielfach steht bei Angriffen der Faktor Mensch im Mittelpunkt – wie auch bei jenem im Februar 2016 auf das Lukas-Krankenhaus in Neuss. Der Auslöser für den Vorfall war ein alltäglicher Vorgang: ein Mitarbeiter hatte den Anhang einer E-Mail mit dem Betreff „Rechnung“ geöffnet. Das Resultat daraus war hingegen gravierend, denn in diesem Dokument befand sich ein Virus mit einer Verschlüsselungssoftware – eine so genannte Ransomware – durch die alle IT-Systeme der Klinik tagelang lahmgelegt wurden. Die Auswirkungen können als weitreichend bezeichnet werden: sämtliche digitalen Prozesse mussten – soweit möglich – manuell durchgeführt werden, so ließ sich die Aufrechterhaltung der Intensivmedizin gewährleisten. Allerdings konnten 15 Prozent der Operationen nicht stattfinden und auch der Betrieb in der Notaufnahme war stark beeinträchtigt.
Was lässt sich der Betrieb sicherer machen?

Die Angriffsmethoden werden immer ausgefeilter während der Aufwand für deren Durchführung zunehmend sinkt, häufig verwenden insbesondere professionelle Angreifer Standard-Werkzeuge, unter anderem entwickelt auf Basis der Erkenntnissen aus dem Metasploit-Framework. Von daher müssen Betriebe und Unternehmen nicht nur mehr in den Schutz ihrer Infrastruktur investieren, sondern sich auch mit den bekannten Sicherheitsproblemen dezidiert auseinandersetzen.

Die Basis für eine Grundabsicherung im Krankenhaus stellen ausfallsicherere E-Mail-Gateways und ein mehrstufiges Konzept zur Erkennung von Schadsoftware mittels Virenscanner dar. Da die Patientendaten in hohem Maße schützenswert sind sollte der Zugang nach draußen sorgfältig kontrolliert und eventuell beschränkt werden, zum Beispiel über die Prüfung von Personenberechtigungen, durch Inhaltsfilter und durch Löschen oder Verschieben in lokale Quarantäneverzeichnisse. Diese strikte Filterung hilft unter anderem um ausgeklügelten Angriffsmethoden wie Malvertising – hier wird harmlos aussehende Internet-Werbung als Vehikel eingesetzt, um Programmcode auszuführen oder nachzuladen – entgegenzuwirken.

Als elementare Sicherheitskomponenten empfiehlt sich, für Krankenhäuser ebenso wie für Industrieunternehmen, die Segmentierung des Netzwerks sowie des Weiteren die Einrichtung von unterschiedlichen Sicherheitsstufen pro Mandanten, wie etwa WLAN, Krankenhausinformationssystem oder Dienstleister. Eine redundante Auslegung der kritischen Systeme ist obligatorisch, damit bei einem Störfall der Betrieb nicht unterbrochen wird.

Auch Konzepte wie Bring-your-own-Device (ByoD), die unter anderem eine Nutzung von freiverfügbaren Apps in der Krankenhaus-Umgebung ermöglichen würden, sollten unter dem Aspekt der Sicherheit sehr sorgfältig überprüft werden. Denn allgemein stellt bereits das Management von mobilen Endgeräten (MDM) sowie explizit der Schutz der gespeicherten Daten eine große Herausforderung für die IT-Verantwortlichen dar, auch weil Smartphones und Tablets in den vergangenen Jahren immer mehr zur Zielscheibe von Angriffen wurden. Dieses Risiko erhöht durch die Vermischung von privater und beruflicher Nutzung noch beträchtlich.

Dreh- und Angelpunkt für ein angemessenes Schutzniveau sind jedoch die Mitarbeiter. Das bedeutet nicht nur die Einstellung von qualifiziertem Personal für die IT-Sicherheit, sondern umfasst ebenso Qualifizierung und Weiterbildung aller Mitarbeiter, die IT für die Ausübung ihrer Tätigkeit benötigen. Gerade die kontinuierliche Schulung in Puncto Awareness erhöht sowohl das Verständnis für Schutzmaßnahmen als auch die Sensibilität für aktuelle Angriffsmethoden.

IT-Sicherheit ist Chefsache

Im Hinblick auf die aktuellen und vor allem zukünftigen konvergenten Technologien im Gesundheitswesen ist es dringend erforderlich, bekannte Sicherheitslücken sowohl kontinuierlich aufzudecken als auch zu schließen. Insbesondere wenn daraus potentiell eine Gefahr für den Mensch erwächst, sind höchste Anforderungen an die IT-Sicherheit zu stellen, um die funktionale Sicherheit zu gewährleisten. Aus diesem Grund sollte in jedem Krankenhaus ein Notfallplan für die Aufrechterhaltung des Betriebs vorliegen. Denn im Falle eines muss der Krankenhausbetrieb auch ohne IT zu führen sein – von daher sind die entsprechenden Konzepte unabdingbar.