IT-Security

Gesunde IT: Wie man das „smarte“ Krankenhaus vor Hackern und Viren schützt

01.07.2020 -

Vor einiger Zeit legte ein Hacker-Angriff den Betrieb im Klinikum Fürth lahm. Um sich besser vor ­solchen Attacken schützen zu können, brauchen „smarte“ Krankenhäuser neue IT-Sicherheits­konzepte und den Einsatz innovativer IT-Sicherheitslösungen. Ein Beitrag von Dr. Falk Herrmann, CEO bei Rohde & Schwarz Cybersecurity.

Es ist der Worst Case: Kurz vor Weihnachten musste das Klinikum Fürth Operationen aussetzen und konnte keine neuen Patienten aufnehmen. Der Grund war ein Hackerangriff auf das IT-System. Offensichtlich war ein Virus über eine E-Mail eingeschleust worden. Vorsorglich wurde daher die Internetverbindung des Klinikums getrennt, um eine Verbreitung der Schadsoftware zu verhindern.

Die Digitalisierung ist in der Gesundheitsbranche auf dem Vormarsch: Patienten können Rechnungen für die Krankenkasse bequem in Apps hochladen oder Termine über die Webseiten von Ärzten vereinbaren. Vernetzte medizinische Geräte vereinfachen die Zusammenarbeit von Ärzten. Gesundheitsminister Jens Spahn möchte ab 2021 sogar eine digitale Patientenakte einführen, die Patientendaten gebündelt bereitstellt. Das Ziel: Doppeluntersuchungen vermeiden oder Unverträglichkeiten bei Arzneimitteln besser beachten. Das soll auch das Vertrauen der Patienten steigern.

Keine Seltenheit: Angriffe auf den Gesundheitssektor
Das „smarte Krankenhaus“ wird allerdings zunehmend attraktiver für kriminelle Hacker. Eine Studie der Roland-Berger-Stiftung ermittelte, dass 2017 bereits 64 Prozent aller Kliniken in Deutschland Opfer eines Cyberangriffs waren. Krankenhäuser sind gegen Angriffe häufig nicht ausreichend geschützt. Der Grund: Viele Kliniken stehen unter enormem Finanzdruck. Hinzu kommt, dass vor allem der zunehmende Einsatz sogenannter Webapplikationen neue Angriffsmöglichkeiten für Hacker bietet. Solche Anwendungen, die über den Browser zugänglich sind, machen die Zusammenarbeit in der Gesundheitsbranche erheblich flexibler und verbessern dadurch auch die Leistungen für den Patienten. Medizinische Unterlagen und Berichte lassen sich beispielsweise digital für jede berechtigte Person zugänglich machen – und zwar sowohl vom PC als auch von Tablet, Smartphone oder anderen vernetzten Geräten. Das Vertrauen der Patienten wird durch diese Anfälligkeit der Krankenhäuser jedoch erheblich geschwächt.

Das Problem: Webanwendungen sind für Hacker leicht zu knacken. Denn das Web, speziell das Protokoll HTTP und auch das etwas sicherere HTTPS, wurde nicht für die heute üblichen komplexen Anwendungen konzipiert. Schwachstellen lassen sich bei der Entwicklung kaum vermeiden. Vor allem sehr komplexe Anwendungen sind anfällig für Sicherheitslücken.

Cyberkriminelle nutzen dies gnadenlos aus. Datenbanken zählen dabei zu den beliebtesten Angriffszielen von Hackern. Denn sie halten riesige Mengen von persönlichen Daten in konzentrierter Form bereit. Bei der Speicherung in Cloud-Diensten kommt hinzu, dass nicht nur Benutzer und Administratoren Zugriff auf die Daten haben. Auch Cloud-Provider könnten sich Zugriff verschaffen, wenn Daten ungeschützt und unverschlüsselt abliegen. Finden Cyberkriminelle einen Zugang zu diesen Daten, lassen sich damit Patienten und Krankenhäuser erpressen.

Mangelnde IT-Sicherheit trotz ­gesetzlicher Auflagen
Dabei ist der Schutz von gesundheitsbezogenen Daten streng geregelt: Diese unterliegen der EU-weiten Datenschutz-Grundverordnung (EU-DSGVO). Zusätzlich gibt das „E-Health-Gesetz“ einen konkreten Fahrplan für den Aufbau einer sicheren Telematik-Infrastruktur und die Einführung digitaler medizinischer Anwendungen vor. Im Falle von Datenverlusten oder Verstößen drohen erhebliche Sanktionen. Ergänzend gilt für größere Kliniken mit mindestens 30.000 vollstationären Fällen pro Jahr die „Verordnung zur Bestimmung kritischer Infrastrukturen (KRITIS)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese Kliniken müssen seit Juli 2019 ein Mindestniveau an Informationssicherheit nachweisen. Doch auch für kleinere Häuser empfehlen sich diese Vorgaben als Leitfaden für mehr Versorgungssicherheit. Insbesondere auch deshalb, weil sie schon bald unter die KRITIS-Richtlinien fallen könnten. Für das IT-Sicherheitsgesetz 2.0 ist geplant, den derzeitigen Schwellenwert von 30.000 abzusenken. Dann besteht in den betroffenen Kliniken akuter Handlungsbedarf.

Neben rechtlichen und wirtschaftlichen Konsequenzen kann ein erfolgreicher Angriff auch zu einem beträchtlichen Imageschaden und Vertrauensverlust bei den Patienten führen. Das ist aber nicht alles: Bricht im schlimmsten Fall die gesamte gesundheitliche Versorgung durch einen Cyberangriff zusammen, bedroht das unsere ganze Gesellschaft.  

Um diese Szenarien zu verhindern, ist ein geeignetes IT-Sicherheitskonzept für Gesundheitseinrichtungen entscheidend. Zunächst müssen IT-Spezialisten prüfen, ob die Daten gut abgesichert sind und an welcher Stelle nachgebessert werden muss. Auf dieser Grundlage können Gesundheitseinrichtungen konkret handeln und individuell geeignete Sicherheitstechnologien anschaffen. Diese Technologien sollten von vertrauenswürdigen Herstellern wie beispielsweise Rohde & Schwarz Cybersecurity kommen, die BSI-zertifizierte Lösungen anbieten können. Der IT-Sicherheitsspezialist setzt bei seinen Produkten auf neue Sicherheitsansätze, mit denen sich auch Angriffe stoppen lassen, gegen die herkömmliche Lösungen machtlos sind. Dies sind einige Beispiele:

1. Webanwendungen absichern: Um Webapplikationen zu schützen, brauchen Krankenhäuser eine „Web Application Firewall“: Die Web Application Firewall verhindert, dass Webanwendungen zum Einfallstor für Schadsoftware werden, indem sie den Datenaustausch zwischen Endgeräten und Webservern analysiert. Sie prüft alle eingehenden Anfragen an den Webserver sowie dessen Antworten. Sobald bestimmte Inhalte als verdächtig eingestuft werden, verhindert die Web Application Firewall den Zugriff.

2. Daten in der Cloud schützen: IT-Sicherheitslösungen für die Cloud müssen in der Lage sein, die Daten unabhängig von ihrem Speicherort vor dem Zugriff Dritter zu schützen. Technisch umsetzen lässt sich das mit einem datenzentrischen Sicherheitsansatz: Dabei werden die Daten verschlüsselt, fragmentiert und regulatorisch konform gespeichert. Daten, die Europa nicht verlassen dürfen, werden konfigurierbar z. B. in einem europäischen Rechenzentrum abgelegt, obwohl sie virtualisiert in der Cloud vorliegen. Egal, wo ein Angreifer Zugriff erlangt: Er kann keinen großen Schaden mehr anrichten. Diese Art der Speicherung ist nicht nur besonders sicher, sie entspricht auch den strengen Datenschutz- und Sicherheitsvorgaben der EU-DSGVO.

3. Übertragungswege absichern: Zu einer IT-Sicherheitsstrategie im Gesundheitswesen gehört auch die Absicherung der Übertragungswege – sei es zwischen einem Gerät im Krankenhaus und dem Hausarzt eines Patienten oder dem Krankenhaus und einem Rechenzentrum. Die Herausforderung: Die Übertragung muss trotz hochsicherer Verschlüsselung effizient bleiben. Dazu gibt es spezielle Verschlüsselungsprodukte, die einen hohen Schutz bieten, ohne dass die Übertragungsleistung herabgesetzt wird.

4. Angriffe aus dem Internet abwehren: Da 70 Prozent der Malware über den Browser in das Netzwerk kommen, ist es ein wichtiger Schritt für Krankenhäuser, Angriffe aus dem Internet abzuwehren. Am gezieltesten ist das möglich mit einem virtuellen Browser. Dieser ist von allen anderen Anwendungen und sensitiven Daten auf dem PC hermetisch getrennt. Eine Malware-Attacke läuft ins Leere, weil sie im Browser eingesperrt bleibt und keinen Zugriff auf das PC-Betriebssystem bekommt. Der Angreifer auf das Klinikum Fürth hätte keine Chance gehabt, wenn ein solcher virtualisierter Browser zum Einsatz gekommen wäre.

Mit diesen Maßnahmen erfüllen Gesundheitseinrichtungen nicht nur wichtige Regularien und Vorschriften – sie bilden auch die Grundlage für weitere digitale Entwicklungen. Denn nur mithilfe einer effizienten IT-Sicherheit können IT-basierte Prozesse eingesetzt werden, ohne dass dabei die Datensicherheit auf dem Spiel steht. Das wiederum wirkt sich auch positiv auf das Vertrauen der Patienten in das „smarte“ Krankenhaus der Zukunft aus.

Kontakt

Rohde & Schwarz Cybersecurity GmbH

Mühldorfstraße 15
81671 München
Deutschland

+49 30 65884 222