Gesundheitswesen im Visier von Hackern

Das Gesundheitswesen ist im Wesentlichen schlecht gerüstet, um den zunehmenden Cyberangriffen zu trotzen. Das Risikobewusstsein ist gering, ebenso die finanziellen Ressourcen, die für die Sicherheit bereitgestellt werden. Häufig koexistieren in Krankenhäusern mehrere Netzwerke mit unterschiedlichem Grad an Vertraulichkeit oder Gefährdung und es mangelt an einer angemessenen Segmentierung. So können Angreifer leicht von einem Netz zum anderen gelangen.

Mit der laufenden digitalen Transformation im Gesundheitswesen und der Notwendigkeit, Krankenhäuser miteinander zu vernetzen, wird der Ressourcenmangel im Bereich Cybersicherheit noch verschärft. Neue Technologien für den Kontakt mit Patienten wie Telemedizin, Terminbuchungsplattformen und Chatbots beruhen auf dem technischen Fortschritt bei Cloud-Plattformen. Hinzu kommen vernetzte medizinische Geräte, die eine bedeutende Entwicklung für die Welt der Medizin sind, gleichzeitig aber eine Schwäche angesichts von Cyberattacken darstellen können. Ein Cyberangreifer, der die Kontrolle über einen Operationsroboter übernimmt, reicht als Beispiel aus. Vernetzte Objekte werden auch zunehmend eingesetzt und in das Krankenhausinformationssystem integriert, um die Verwaltung digitaler medizinischer Akten zu erleichtern. Wenn man dazu noch die immer größere Offenheit der Gesundheitsinformationssysteme gegenüber externen Organisationen oder medizinischen Einrichtungen Dritter hinzufügt, wird die Bedrohung, die auf dem Gebiet lastet, systemisch.

Da die Informationssysteme der Krankenhäuser weitgehend miteinander verbunden und automatisiert sind, ist die Perspektive der Sicherheit in den operativen Netzwerken (OT) zu berücksichtigen, um ihre Schwachstellen zu verstehen. Dies gilt insbesondere auch für alle Aspekte des technischen Gebäudemanagements und des zentralisierten technischen Managements, das zum Beispiel dazu dient, eine ideale Temperatur im Operationssaal oder eine optimale Kühlung für große medizinische Geräte zu gewährleisten. Das gesamte Krankenhaus wird intelligent und vernetzt. Ein Cyberangriff, der das Luftaufbereitungssystem im Operationssaal oder die Sauerstoffversorgung auf einer Intensivstation manipuliert, wäre ein kritisches Gesundheitsrisiko. Das erfolgreiche Blockieren einer Aktivität, bei der Menschenleben auf dem Spiel stehen, ist eine besonders wirkungsvolle Erpressungstaktik durch Ransomware.

Für ein gutes technisches Gebäudemanagement im Krankenhaus besteht laut Sicherheitsexperte Stormshield die erste Maßnahme darin, die Risiken zu kartieren, um sensible oder wichtige Geräte zu identifizieren, die vorrangig abgesichert werden müssen. Heute ist man sich der Wichtigkeit dieser Analyse bewusster, doch wird sie oft nur einmal durchgeführt. Um Cyberrisiken zu vermeiden, ist es jedoch essenziell, sie jedes Mal zu aktualisieren, wenn neue Geräte hinzugefügt werden, die einen Zugang zur Netzinfrastruktur benötigen. Dies bedeutet, dass die von den Geräten im Netzwerk erzeugten Protokolle verfolgt und die Einhaltung oder Abweichung von Sicherheitsrichtlinien zum Schutz vor Bedrohungen im Laufe der Zeit überprüft werden müssen.

Im zweiten Schritt sollte man technische Lösungen implementieren, die das Niveau der Cybersicherheit des Informationssystems verstärken, beginnend mit den sensibelsten Anlagen: Arbeitsstationen und die Kontrolle des OT durch Netzwerksegmentierung der verschiedenen Subsysteme, die Informationen austauschen, um die kritischsten Umgebungen zu isolieren.

Ebenso müssen Gesundheitsdaten als bevorzugte Ziele für Hacker während der Verarbeitungs-, Speicher- und Austauschphase vor Lecks geschützt werden. Dafür empfiehlt Stormshield erstens, das Bewusstsein und die Fähigkeiten nicht nur des Gesundheitspersonals, sondern auch der Patienten zu schärfen. Zweitens ist es unerlässlich, die verschiedenen bestehenden Normen und Vorschriften einzuhalten, darunter die DSGVO und die Richtlinie über die Netz- und Informationssicherheit (NIS) in Europa oder lokale Gesetze bezüglich des Schutzes sensibler Informationssysteme und von gehosteten Patientendaten. Gesundheitsdaten müssen korrekt verarbeitet werden, sei es innerhalb von Geschäftsanwendungen oder in vernetzten Umgebungen, und zwar durch sichere Kommunikation und Datenanonymisierung, wo dies möglich ist. Außerdem wird empfohlen, eine E-Mail-Verschlüsselungslösung zu verwenden, um die Vertraulichkeit des Austauschs und der gemeinsam genutzten Gesundheitsdaten zu gewährleisten.

Um das Risikobewusstsein zu stärken, benötigt das Personal ein gewisses Maß an Fachwissen, damit es offensichtliche Signale eines Cyberangriffs erkennen kann: Es geht nicht darum zu wissen, ob man gerade angegriffen wird, sondern darum, Angriffe zu antizipieren. Sollte es dennoch zu einem Angriff kommen, muss ein Mindestmaß an Operativität gewährleistet sein, damit so schnell wie möglich zur Normalität zurückgekehrt werden kann.