iX 1/2019
S. 80
Report
IT-Sicherheit
Aufmacherbild

Krankenhaus-IT auf dem Prüfstand

Angekränkelt

Zu lange wurde in Krankenhäusern der Aspekt der IT-Sicherheit vernachlässigt. Angriffe aus jüngster Zeit zeigen, dass das ein Fehler war.

Das Krankenhaus ist krank. Es hat sich keinen Audits oder Sicherheitsprüfungen unterzogen – war also nie zur „Vorsorgeuntersuchung“ – und war jahrelang der Sparpolitik im Gesundheitswesen unterworfen. So konnte sich unbemerkt eine Mangelversorgung tief in den Krankenhausorganen etablieren. Und als es aufgrund von ausgeführtem Schadcode, volkstümlich Kryptotrojaner genannt, schließlich zusammenbrach, da waren alle überrascht. Aber wie wird es wieder gesund? Dieser Artikel gibt Tipps, wie man auf der Basis der richtigen Anfangsdiagnose an der Genesung arbeiten kann.

Dass Krankenhäuser ein Ziel für Cyberkriminelle sind, ist hinlänglich bekannt. Die Vorfallsmeldungen ein- bis zweimal im Monat gehören inzwischen zum grundlegenden Nachrichtenfeed. Doch warum sind Krankenhäuser als Ziel interessant?

Unser Gesundheitssystem und insbesondere die teuren Krankenhäuser sind einerseits seit Jahren ein Ziel für Sparmaßnahmen jedweder Art. Die Patienten sind ja schon froh, wenn der eigentliche Zweck, die Behandlung, noch gelingt. Da kommen typischerweise Backoffice-Themen wie die Informationstechnik als Letztes zum Zuge, wenn es um die Verteilung des knappen Budgets geht. Informationssicherheit kommt nicht vor. Wozu auch? „Wir retten hier Menschenleben“ ist die Devise der meisten.

Übungsterrain für Kriminelle

Daher sind die grundlegenden Maßnahmen, die dem heutigen Stand der Technik entsprechen, nur in geringem Umfang umgesetzt. Solange das Thema Informationssicherheit aber noch in den Kinderschuhen steckt, ist es für Unberechtigte eben auch kinderleicht, die niedrigen Hürden zu überwinden oder gleich ganz ohne Hindernis Zugriff auf nicht öffentliche Informationen zu erlangen. Dieser Zustand bietet Tätern ein ideales Umfeld, zu üben und sich vor Gleichgesinnten oder in der Öffentlichkeit damit zu brüsten.

Außerdem finden diese „Erfolge“ eine rasche Verbreitung in den Medien. Immer wenn es um die persönliche Nähe zur möglichen Schädigung von Menschen oder gar um Menschenleben geht, ist die Öffentlichkeit besonders interessiert. Niemanden schert die Sicherheit von Google, Amazon oder Facebook, es sei denn, man ist selbst vielleicht mit eigenen Daten betroffen. Dann besteht ein gewisses Interesse.

Durch diese Kombination steigt für Cyberkriminelle die Attraktivität von Krankenhäusern und anderen Einrichtungen im Gesundheitswesen als Ziel ihrer Angriffe.

Der Gesetzgeber hat die notwendige Versorgung der Bevölkerung mit medizinischen Dienstleistungen ebenfalls als relevanten Aspekt erkannt und die Gesundheitsbranche in die kritischen Infrastrukturen (KRITIS) gemäß dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz oder IT-SiG) aufgenommen. Dadurch erhofft er sich mehr Krisenfestigkeit für die Branche. Die Umsetzung der KRITIS-Anforderungen hat begonnen, erweist sich aber häufig als schwierig [1].