Vernetzung macht angreifbar
Nicht jedes Virus im Krankenhaus ist ein Fall für Mediziner: Die IT-Systeme von Gesundheitseinrichtungen sind hochsensible potenzielle Ziele für Cyberangriffe. Damit stehen die Spitäler auch in diesem Bereich vor neuen Herausforderungen.
Das Thema ist brisant und wird nicht gerne an die große Glocke gehängt. Vor einigen Jahren verschlüsselte ein sogenannter Trojaner in einer Klinik in Nordrhein-Westfalen unzählige Daten. Statt das geforderte „Lösegeld“ zu bezahlen, ging das Haus an die Öffentlichkeit. Später stellte sich heraus, dass vermutlich mehr als 20 weitere Krankenhäuser betroffen waren, dies aber nicht gemeldet hatten. Bekannt ist auch, dass etliche Spitäler des englischen National Health Service vom berüchtigten „Wanna Cry“-Computervirus befallen wurden.
Das alles dürfte nur die Spitze des sprichwörtlichen Eisbergs sein: Laut einer Studie der Beratungsagentur Roland Berger (2017) wurden mehr als 60 Prozent der Kliniken in Deutschland bereits einmal gehackt. Der Virenschutz-Hersteller McAfee nennt den Gesundheitsbereich als eines der am häufigsten angegriffenen Ziele, noch dazu mit den stärksten Zunahmen. Und das österreichische Bundeskanzleramt kommt in seinem jüngsten Bericht zur Cybersicherheit (2018) allgemein zu dem Schluss, dass die Gefährdungslage im Steigen begriffen ist und die Angriffe komplexer und häufiger werden.
„Solche Versuche gibt es immer wieder“, bestätigt Peter Anderla, IT-Leiter der Vinzenz Gruppe. Im Kampf gegen Schadsoftware zieht seine Abteilung alle Register, mit Software, die auf dem neuesten Stand gehalten wird, sowie mit hochautomatisierten Abwehrmaßnahmen. Die Prüfung aller Mail-Anhänge auf Schadsoftware zählt dazu ebenso wie das Blockieren unerwünschter beziehungsweise gefährlicher Internetseiten auf dem Proxyserver und vieles mehr. Als Betreiber wesentlicher Dienste im Sinne von kritischer Infrastruktur sind Krankenhäuser verpflichtet, im IT-Bereich strenge Auflagen zu erfüllen. Das regelt neben den Vorgaben der ISO 27001-Zertifizierung seit heuer auch das NISG, in vollem Wortlaut Netz- und Informationssystemsicherheitsgesetz.
Die Wirksamkeit all dieser Maßnahmen stellt Peter Anderla auch selbst auf die Probe, indem er regelmäßige „Penetrationstests“ durchführen lässt. Dabei werden externe Spezialfirmen darauf angesetzt, die Systeme der Vinzenz Gruppe zu hacken. „Aus den Erfahrungen lernen wir viel“, sagt der IT-Chef.
Neue Angriffsflächen im Visier
Angriffe auf das IT-System haben meist Erpressung, Sabotage oder Datendiebstahl zum Ziel. Aber auch medizinische Geräte selbst könnten zum Ziel von Hackern werden, etwa über Drahtlosverbindungen wie Bluetooth. Dass auf diese Weise zum Beispiel Spritzenpumpen oder Herzschrittmacher manipuliert werden könnten, hat durchaus das Zeug zur Horrorvision. „Derartige Vorfälle gab es bei uns aber noch nie“, betont Anderla. Man sei sich dieser Gefahr jedoch bewusst, speziell in Spitalsbereichen mit regem Publikumsverkehr.
Digitalisierung statt Stand-Alone-Geräten, zunehmende Vernetzung mit extramuralen Partnern und vermehrte Präsenz im Internet (zum Beispiel zur Online-Terminvereinbarung) bieten neue potenzielle Angriffsflächen bei Krankenhäusern. Steht Anderla als IT-Verantwortlicher bei diesen Neuerungen deshalb auf der Bremse? „Wo es wirklich nur um Spielereien ohne konkreten Nutzen geht, erhebe ich meine Stimme. Aber das kommt nur sehr selten vor“, versichert Anderla. Vielmehr gelte es, die vielen guten Ideen zu diesem Thema richtig zu priorisieren: „Das sind eben die Anforderungen, die unser Business stellt, und wir sind gefordert, sie sicher umzusetzen.“
Im Spannungsfeld von Innovation und Sicherheit
Die Verknüpfung von Innovation und Sicherheit ist auch für Robert Bauchinger wesentlich: „Diese beiden Pole klaffen oft auseinander“, berichtet der stellvertretende CIO der OÖ. Gesundheitsholding, zuständig für Medizininformatik und Informationstechnologie. Richtschnur sind für ihn drei Leitlinien: Daten müssen rund um die Uhr verfügbar sein, sie müssen stets richtig sein, und nur Berechtigte dürfen Zugang dazu haben.
„Wir werden uns hüten, Patientendaten in eine Cloud zu stellen, das ist ein völliges No-Go“, stellt Robert Bauchinger klar.
Diese Kriterien gelten auch, was das Thema Cloud-Lösungen betrifft. Neben der Wahl von vertrauenswürdigen, zertifizierten Partnern müsse man sehr genau und mit großem Respekt schauen, welche Daten in eine Cloud ausgelagert werden. „Wir werden uns hüten, Patientendaten in eine Cloud zu stellen, das ist ein völliges No-Go“, stellt Bauchinger klar. Kein Thema ist für ihn auch derzeit die viel zitierte Blockchain-Technologie: „Es gibt bis heute keine derartigen Produkte, die wir nutzen könnten“.
Auf jeden einzelnen Mitarbeiter kommt es an
So komplex das Thema Cybersicherheit sein mag: Wichtige Maßnahmen können auch recht banal sein, vom Verzicht auf den persönlichen USB-Stick bis zum sorgsamen Umgang mit Passwörtern. Und sie setzen bei jedem einzelnen Mitarbeiter an, dessen Bewusstsein („Awareness“) für das sensible Thema ständig geschärft werden muss. Denn schlecht aufgeklärte und wenig geschulte Mitarbeiterinnen und Mitarbeiter zählen zu den größten Risiken bei der Cybersicherheit, unterstreichen sowohl Anderla als auch Bauchinger. Ständige Informationssicherheits-Schulungen sind angesichts der Größe der Belegschaft mit mehreren tausend Mitarbeiterinnen und Mitarbeitern freilich schwierig. Umso mehr spielen daher Awareness-Programme mit eLearning zur Bewusstseinsbildung in den Sicherheitskonzepten eine zentrale Rolle.
Einig sind sich Anderla und Bauchinger auch darin, dass es hundertprozentige Sicherheit gegen Cyber-Attacken nicht gibt: „Aber“, erklären die beiden unisono, „wir machen es potenziellen Angreifern so schwer wie nur möglich.“
Lesen Sie zu diesem Thema auch ein Interview mit dem IT-Security-Experten Michael Punz, der erklärt: „Cyber-Angriffe auf Krankenhäuser gibt es täglich Dutzende!“
Text: Josef Haslinger