Neue Anforderungen an die Cybersicherheit

Krankenhäuser müssen sich in Kürze auf neue Anforderungen bei ihrer IT-Sicherheit einstellen. Denn auf deutscher und europäischer Ebene laufen neue Gesetzesvorhaben zur Cybersicherheit. Der bisherige Klinik-Sicherheitsstandard wird künftig wohl nicht mehr ausreichen.

von Melanie Croyé

Wenn dieser Tage über Sicherheit in Krankenhäusern gesprochen wird, geht es zumeist um das Coronavirus. Die Blicke richten sich vor allem auf die Auslastung der Intensivbetten und wie das Virus aus den Einrichtungen herausgehalten werden kann. Dabei ist die Sorge wegen einer ganz anderen Art von Viren in den Hintergrund geraten: Computerviren, die die Datensicherheit der Kliniken bedrohen. Und vor dieser Gefahr sind medizinische Einrichtungen auch während der Corona-Pandemie nicht gefeit, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im vergangenen Sommer warnte.

Das wird zunehmend zum Problem, denn die Digitalisierung in Gesundheitsbetrieben schreitet immer weiter voran. Wie in vielen anderen Bereichen hat die Corona-Pandemie auch hier einen Beitrag zur Beschleunigung geleistet. Das Thema Cybersecurity spielt dabei eine wesentliche Rolle doch fehlt es in vielen Krankenhäusern in Deutschland laut einer BSI-Studie noch immer an einer IT-spezifischen Sicherheitskultur – oft aus Mangel an Geld oder aber, weil Cybersecurity im Zuge der Digitalisierung schlicht zu spät oder zu wenig mitgedacht wird. „Prinzipiell wird der schnelle Zugriff auf Patientendaten als wesentlich wichtiger beurteilt als die Sicherheit des Zugangs zu Daten von IT-Anwendungen oder medizinischen Geräten“, heißt es in der Studie.

Dieses Versäumnis kann fatale Folgen haben. Immer wieder waren Einrichtungen des Gesundheitswesens in den vergangenen Jahren Ziel von Cyberattacken: Krankenhäuser mussten in den Notbetrieb gehen, sensible Patientendaten wurden gestohlen oder waren über einen längeren Zeitraum öffentlich ohne Passwortschutz im Internet zugänglich. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. „Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben eines Patienten haben“, warnt BSI-Sprecher Tim Griese. „Diese Vorfälle kann sich eine moderne Gesellschaft nicht leisten.“

Das hat nun auch die EU-Kommission auf den Plan gerufen. Erst im Dezember war bekannt geworden, dass Hacker die Europäische Arzneimittelagentur angegriffen haben – und dabei Informationen zum Impfstoff gegen Covid-19 der Firmen Biontech/Pfizer und Moderna erbeutet haben. Passend dazu hat die EU-Kommission nun vorgeschlagen, die Sicherheitsregeln für Netz- und Informationssysteme (NIS) in der Europäischen Union zu verschärfen. Dabei sollen kritische Strukturen in verschiedenen privaten und öffentlichen Sektoren gestärkt werden: Energie- und Schienennetze, aber auch Rechenzentren, öffentliche Verwaltungen, Forschungslabore – und Krankenhäuser. „Unsere Krankenhäuser, Abwassersysteme oder Verkehrsinfrastruktur sind nur so stark wie ihre schwächsten Anbindungen“, sagte EU-Innenkommissarin Ylva Johansson. Wie dringlich der Vorschlag der EU-Behörde ist, zeigt eine Zahl: Allein 2019 gab es nach Angaben der EU-Kommission rund 450 sicherheitsrelevante Zwischenfälle bei kritischen Infrastrukturen (KRITIS) in der EU.

Das Konzept der Kommission sieht dabei unter anderem Sanktionen vor, wenn Betreiber kritischer Infrastrukturen sich nicht an Sicherheitsauflagen halten. Zudem schlägt die Kommission vor, ein Netz von Sicherheitszentren in der gesamten EU aufzubauen. Es soll wie ein Schutzschild wirken, Cyberangriffe frühzeitig erkennen und dann entsprechende Maßnahmen einleiten. Die Vorschläge der EU-Kommission sollen nun im EU-Parlament und in den Mitgliedsländern besprochen werden. Sollten EU-Parlament und Mitgliedstaaten den Daumen heben, müssten die Mitgliedstaaten die Richtlinie innerhalb von 18 Monaten umsetzen. Damit käme auf die KRITIS-Einrichtungen einiges zu. In Deutschland zählen Kliniken zu diesen Einrichtungen, wenn sie mehr als 30.000 vollstationäre Fälle im Jahr haben. Laut BSI sind das etwa zehn Prozent der Krankenhäuser. Für diese Einrichtungen wird es nicht nur neue Sicherheitsvorgaben auf europäischer Ebene geben. Mit dem geplanten IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) werden auch auf nationaler Ebene die Regeln weiter verschärft. Das Bundeskabinett hat kürzlich den Entwurf zu dem Gesetz auf den Weg gebracht, das Bundesinnenminister Horst Seehofer (CSU) einen „Durchbruch für Deutschlands Cybersicherheit“ nannte. Es sieht vor, dass die Betreiber der KRITIS-Kliniken im kommenden Jahr beim Thema Cybersecurity weiter aufrüsten müssen. Vor allem der enge Zeitplan sorgt in der Klinikbranche für Aufruhr. Demnach wären KRITIS-Kliniken verpflichtet, bereits ab 1. Januar 2022 Systeme einzusetzen, die Angriffe erkennen – sogenannte Intrusion Detection Systeme. Inwiefern das deutsche Gesetz mit der von der EU geforderten Richtlinie kollidiert, ist bisher aber noch unklar.

Schon jetzt erfüllen viele Krankenhäuser strenge Richtlinien. Viele davon folgen dem von der Deutschen Krankenhausgesellschaft (DKG) entwickelten Sicherheitsstandard B3S. „Dieser ist seit 2019 anerkannt und seither in Deutschland für Krankenhäuser zur Richtschnur geworden“, erklärt Markus Holzbrecher-Morys, DKG-Geschäftsführer für IT, Datenaustausch und E-Health. Dabei spiele es für eine bessere IT-Sicherheit auch keine Rolle, ob ein Krankenhaus als KRITIS klassifiziert werde oder nicht. Der Unterschied besteht lediglich darin, dass KRITIS-Häuser alle zwei Jahre ihre Maßnahmen für IT-Sicherheit nachweisen müssen.

Intrusion Detection-Systeme, wie sie im neuen Gesetzentwurf verlangt werden, sind allerdings nicht Teil des Sicherheitsstandards B3S. Für DKG-Geschäftsführer Holzbrecher-Morys zeichnet sich daher ab: „Da kommt was auf die Krankenhäuser zu, das mit deutlich höheren Anforderungen verbunden ist.“ Die Abwehrsysteme seien ausgeklügelt, nur mit Fachpersonal könne man sie einsetzen. Das in nur zwölf Monaten umzusetzen, hält Holzbrecher-Morys für eine enorme Herausforderung für die meisten Einrichtungen. Denn ohnehin wird das Thema IT-Sicherheit in den nächsten Jahren für alle Kliniken an Bedeutung gewinnen. Unter anderem durch das Patientendaten-Schutz-Gesetz: Es verpflichtet die Krankenhäuser ab 1. Januar 2022, „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ zu treffen.

Eine Alternative zu solch schärferen Sicherheitsmaßnahmen ist nur schwer vorstellbar. Jegliche Kommunikation in das Krankenhaus und aus dem Krankenhaus heraus zu unterbinden, kann es jedenfalls ganz sicher nicht. Das kommt auch für IT-Sicherheitsexperte Holzbrecher-Morys nicht infrage: „Das Krankenhaus wird nicht zur Black Box, auch nicht mit dem neuen Gesetzesentwurf “, sagt er. Man müsse den Austausch von Daten eben entsprechend schützen. Genau das sieht das geplante IT-Sicherheitsgesetz vor, auch wenn es für die Krankenhäuser zusätzliche Investitionen bedeutet. „Wir werden unseren B3S-Standard entsprechend anpassen“, kündigt Holzbrecher-Morys an. Da trifft es sich gut, dass der Bund den Kliniken mit dem Krankenhauszukunftsgesetz in den kommenden Jahren drei Milliarden Euro Fördermittel zur Verfügung stellt. Mindestens 15 Prozent davon sind ohnehin für IT-Sicherheit vorgesehen.

ANZEIGE