Im Gesundheitswesen stehen die Zeichen ja stark auf "verstärkte Digitalisierung". Elektronische Patientenakte (ePA), elektronische Krankschreibung, elektronische Rezepte sollen die Ärzte entlasten, sagen die Propagandisten. Weiterhin ist ein EU Gesundheitsdatenraum in Planung, der neue Herausforderungen bringt. Andererseits erleben wir ständig, dass neue Hacks und Cyberangriffe auf Kliniken oder Gesundheitsdienstleister stattfinden und Kliniken lahm lagen. Auch gibt es immer wieder Datenskandale. Sicherheitsanbieter Check Point sieht im Gesundheitswesen einen erheblichen Nachholbedarf in Bezug auf IT-Sicherheit.
Anzeige
Die Information erreichte mich zwar zum Weltgesundheitstag (7. April 2023), ist aber auch nach diesem Stichtag weiterhin relevant. Beobachtungen von Checkpoint zeigt, dass das Gesundheitswesen seine IT-Sicherheit dringend verstärken muss. Jüngste Daten des Unternehmens zeigen, dass die Zahl der weltweiten Angriffe in der Branche im Vergleich zum Vorjahr um 78 Prozent zugenommen hat. Mit durchschnittlich 1426 Angriffsversuchen je Woche ist ein besorgniserregendes Niveau erreicht.
Angriffe auf Gesundheitsversorger
Immer wieder hat ein Angriff auf einen Gesundheitsversorger erhebliche Auswirkungen, schreiben die Sicherheitsexperten von Check Point. Erwähnt wird ein Cyberangriff auf mehrere Kliniken in Franken (ich hatte diesbezüglich im Blog-Beitrag Cyberangriffe auf Rechtsanwälte Kapellmann, Geomed-Klinik Gerolzhofen; Angriffe auf ESXi-Server berichtet). Dieser Cyberangriff legte nur die Internetseiten der Kliniken lahm.
Im Blog-Beitrag BIG-Krankenkasse wurde am 28. März 2023 Opfer eines Cyberangriffes hatte ich berichtet, dass die Bundesinnungskrankenkasse Gesundheit von einem Cyberangriff betroffen ist. Zum 6. April 2023 meldet heise in diesem Artikel, dass die Krankenkasse "tagelang" nicht für Versicherte erreichbar war – und auch hier im Blog gab es entsprechende Kommentare. Obwohl in beiden Fällen (Krankenkasse sowie Webseiten von Kliniken) die eigentlichen IT-Systeme von Kliniken nicht betroffen worden waren und es nur zu einem Ausfall der Internet-Seiten bzw. bei der Krankenkasse deren Kommunikationssysteme und die internen IT kam, war das problematisch.
Anzeige
Bei Cyber-Angriffen auf Kliniken oder Labors, aber auch Praxen, kann es um "Leben und Tod" gehen, wenn wichtige Infrastruktur nicht mehr arbeitsfähig ist. Eine vom Ponemon Institute durchgeführte Umfrageergab, dass mehr als 20 Prozent der Organisationen im Gesundheitswesen nach einer Sicherheitsverletzung einen Anstieg der Patientensterblichkeitsrate meldeten.
Gesundheitsbereich attraktiv für Hacker
In seinem jüngsten Security Report stellte Check Point fest, dass die Attraktivität für Hacker nicht nur vom Zugriff auf wichtige Patientendaten und medizinische Aufzeichnungen herrührt. Sondern die Angreifer können sich sicher sein, dass die Vorfälle ihren Niederschlag in den Medien erhalten. Beide Faktoren setzen die Opfer unter immensen Druck und erhöhen die Wahrscheinlichkeit, dass bei Ransomware-Angriffen ein hohes Lösegeld gezahlt wird.
Der Gesundheitssektor ist aus mehreren Gründen verwundbar: Die zunehmende Raffinesse und Quantität von Cyber-Angriffen stellen eine Bedrohung dar, auf die diese Unternehmen im Gesundheitsbereich schlicht nicht eingestellt sind. Viele Krankenhäuser verlassen sich auf eine Mischung aus alten und neuen Technologien, von denen die meisten entweder nicht direkt verwaltet oder aufgrund unsachgemäßer Dokumentation vergessen werden.
Dieses Problem hat sich im Laufe der Zeit noch verschärft, da immer mehr IoT- und medizinische Geräte hinzukommen, obwohl sie selten von vornherein sicher konstruiert sind und von den IT-Teams nicht verwaltet werden. Der derzeitige Fachkräftemangel im Bereich der IT-Sicherheit bedeutet auch, dass es an Fachwissen mangelt, um diese wachsende Angriffsfläche zu verwalten.
Stress für Cyber-Spezialisten
Andererseits habe ich von Gartner bereits im Februar 2023 eine Analyse gesehen, dass Cybersecurity-Fachleute (in allen Bereichen, nicht nur im Gesundheitswesen) unter enormen Druck stehen. Entweder sie werden gehackt oder nicht – aber die Experten sind immer in der Defensive. Diese Situation wirkt sich psychologisch direkt auf die Entscheidungen und die Leistung der Verantwortlichen und ihrer Teams aus Gartner prognostiziert, dass fast die Hälfte der Cybersecurity-Führungskräfte wird bis 2025 den Job wechseln wird. Und 25 Prozent der Cybersecurity-Führungskräfte werden sich aufgrund von Stress am beruflich neu orientieren. Keine besonders guten Aussichten.
Check Point hofft auf Technologien …
Trotz dieser Herausforderungen gibt es, nach der Sichtweise von Check Point, Technologien und Strategien, die zum Schutz von Gesundheitsdienstleistern beitragen können. Die Sicherheitsspezialisten habe fünf zentrale Aspekte formuliert, die jede Organisation befolgen sollte, um maximale Sicherheit zu gewährleisten:
- Kommunikation: Unternehmen müssen ihre Mitarbeiter aufklären, wie sie sicher bleiben können. Wenn ein Gerät außerdem nicht ordnungsgemäß verwaltet wird, ist dieses, falls es Zugang zu einem Netzwerk hat, ein Einfallstor für Hacker. Dieses Problem hat sich mit hybriden und Remote-Arbeitsplätzen und der Verbreitung von persönlichen Mobilgeräten, die für den Zugriff auf medizinische Daten in E-Mails und Microsoft 365 verwendet werden, vervielfacht.
- Sichtbarkeit und Segmentierung: Es ist unmöglich, ein Netzwerk erfolgreich zu sichern, ohne alle darin enthaltenen Ressourcen zu verstehen. Ein umfassender Überblick, der auch Cloud und Rechenzentrum einschließt, deckt Schwachstellen auf, z. B. mögliche Sicherheitsupdates oder Geräte mit veralteter Firmware. Sobald das Netzwerk kartiert ist, können hilfreiche Maßnahmen, wie die Segmentierung, vollzogen werden. Diese schafft virtuelle Grenzen zwischen den Segmenten, die verhindern, dass sich Hacker seitlich bewegen können, um weitreichenden Schaden anzurichten.
- Konsolidierte Sicherheit ist Pflicht: Da betrügerische E-Mails weiterhin die Nummer Eins unter den Bedrohungen sind, dicht gefolgt von Schwachstellen und Fehlkonfigurationen, ist eine Strategie, die auf der Implementierung mehrerer Einzellösungen beruht, kein ausreichender Schutz mehr. Sicherheitsprozesse benötigen eine vollständige End-to-End-Transparenz, weniger Fehlalarme und die absolute Gewissheit, dass alle Vektoren das gleiche hohe Niveau an gemeinsamer Bedrohungsintelligenz und präventionsbasierter Sicherheit aufweisen, um sicherzustellen, dass alle potenziellen Bedrohungen abgedeckt sind.
- CISOs müssen ihren Teil beitragen: Die Rolle eines CISOs besteht darin, sicherzustellen, dass die Geschäftsleitung ein klares und deutliches Verständnis für die Risiken hat, denen ein Unternehmen ausgesetzt ist. Ihre Aufgabe ist es, diese Punkte in einer für alle Positionen leicht verständlichen Sprache deutlich zu machen und die geschäftlichen Konsequenzen einer schwachen Sicherheit zu erklären. Wenn es generell an Kommunikation zwischen CISOs und dem Unternehmen mangelt, muss sich das ändern, um kritische Dienste besser zu schützen.
- Zusammenarbeit ist der Schlüssel: Unternehmen aller Branchen müssen ihre Sicherheitsprogramme verbessern, aber sie können es nicht allein tun. Sicherheitsanbieter müssen zusammenarbeiten, um einen einheitlichen Schutz gegen Bedrohungen zu schaffen, und es sollte eine einheitliche Regulierungsbehörde eingerichtet werden, um die Umsetzung von Standardverfahren zu unterstützen und Ungleichheiten bei den Ausgaben für Cyber-Sicherheit zu verringern.
"Viele Organisationen des Gesundheitswesens verfügen über ein gutes Risikomanagement, aber es fehlt ihnen an einer konsolidierten, kooperativen und umfassenden Strategie, die eine echte Widerstandsfähigkeit im Bereich der Cyber-Sicherheit bietet. Die Bedrohungslage nimmt weiter zu, und die Folgen können nur schwerwiegender werden", erklärt Lothar Geuenich, VP Central Europe/DACH bei Check Point. "Solche Angriffe können nicht nur den Betrieb dieser Gesundheitsorganisationen stören, sondern auch zum Verlust von Menschenleben führen, wenn Dienstleistungen nicht erbracht werden können. Wir brauchen Lösungen, um sofort handeln zu können, aber vor allem, um solche Angriffe von vornherein zu verhindern und nicht nur zu entdecken."
Die obigen fünf Punkte sind zwar einleuchtend und bedenkenswert, aber die Hürden sind in der Praxis doch enorm hoch. Der arme CISO, der eh nur Anhängsel einer Klinik und Kostenfaktor ist, soll also dem Verwaltungschef der Klinik, der ständig finanzielle Löcher stopft, erklären, dass er die Hälfte seiner medizinischen Geräte auf den Stationen aussortieren muss, weil diese nicht mehr verwaltet werden können?
Und ich kann noch so viel Mitarbeiterschulung veranstalten, bei mehreren Hundert bis Tausend Mitarbeitern ist es eine Frage der Wahrscheinlichkeiten, bis es zu einem Vorfall kommt. Hinzu kommen jetzt die Eingangs skizzierten Vorhaben der deutschen und europäischen Gesundheitspolitik zur Digitalisierung, die technisch, datenschutzmäßig und organisatorisch bei weitem nicht geklärt sind, Da wird nach meiner Einschätzung noch viel Freude aufkommen und ich sehe ehrlich gesagt nicht, wie das Thema "IT-Sicherheit im Gesundheitsbereich" auf sicherheitstechnisch solide Füße gestellt werden könnte.
Ähnliche Artikel:
Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?
Elektronische Patientenakte: Bär will Datenschutz schleifen
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
Datenleck: Old-School-'Hack' für Gesundheitskarte
KBV: Gematik verschiebt eRezept-Einlösung mit eGK auf Sommer 2023
TI-Konnectoren im Gesundheitswesen – der "400 Millionen Euro"-Hack des Chaos Computer Clubs
Sicherheitslücken im deutschen Gesundheitsdatennetz
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen
Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant
EU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pläne, offene Fragen
Cyberangriffe auf Rechtsanwälte Kapellmann, Geomed-Klinik Gerolzhofen; Angriffe auf ESXi-Server
BIG-Krankenkasse wurde am 28. März 2023 Opfer eines Cyberangriffes
Was ist bei amedes Medizinische Dienstleistungen los? Verdacht auf Cyberangriff?
Cyber-Angriff zieht IFAP-Arzneimitteldatenbank in Mitleidenschaft
Cyberangriffe auf CompuGroup Medical SE & Co. KGaA
Ransomware bei britischem Labor HMR, Daten veröffentlicht
Cyber- und Ransomwareangriffe: Rodgau, Rosenbauer, Dole, Medibank – Facebook-Seite und TikTok-Gebrauch untersagt
Medibank und Deutsche Bank vom gleichen Angreifer gehackt?
Sicherheitslücken im deutschen Gesundheitsdatennetz
Tenable zeigt: Fast 106 Millionen Gesundheitsdaten offengelegt
Gesundheitsdaten ziehen Kriminelle besonders an
Heartbleed-Lücke zum Klau der Gesundheitsdaten genutzt
Gesundheitseinrichtungen: E-Mail-Sicherheit mangelhaft
Digitalisierung Deutschland: Patientendaten in Praxissoftware einsehbar
Anzeige
Es muss doch irgendo noch jemand geben, der Zeit und Lust und das juristische Know How hat um nach § zu suchen, bei denen die dilettantistischen Propagandisten mit ihrer ePA gegen das Gesetz verstossen.
Keiner der nicht völlig weltfremd ist und noch etwas Hirn im Kopf hat, kann heute noch behaupten die Sicherheit der Daten in einem Onlinesystem garantieren zu können.
Anscheinend ist unser Gesundheitsminister beim Denken genauso lahmarschig wie er spricht, und labert einfach die tollen Ideen der Lobbyisten nach.
Da müsste doch jeder Richter erkennen, dass ePA nicht sicher genug sein kann, und daher die Speicherung von Patientendaten ohne ausdrückliche Zustimmung verbieten würde…
Der Weg ist imho ein steiniger: Wenn der Gesundheitsminister ein Gesetz durch Bundestag und Bundesrat bringt, welches ePA einführt und ein Opt-out vorgibt, wird man erst in Karlsruhe gegen dieses Gesetz klagen müssen (Verstoß gegen das Recht auf informelle Selbstbestimmung) – schätze ich mal. Zudem wird man vor dem EuGH klagen, um prüfen zu lassen, ob die ePA Opt-out-Geschichte gegen EU-Gesetze (DSGVO) verstößt. So ist zumindest meine laienhafte Einschätzung, welche Hebel ziehen könnten.
Wie schlecht es um die Sicherheit im Gesundheitswesen bestellt ist weiß ich schon seit Jahren. Spätenstens bei der Angabe des Berufs wurde ich häufiger von den Ärzten selbst mit den Unzulänglichkeiten der jeweiligen Praxis belästigt.
In vielen Praxen laufen dauherhaft auf den Rechnern Teamviewer UND/oder! Anydesk und Konsorten. Einmal für den Arzt wenn er von zu Hause aus arbeiten möchte oder auch für den IT-Dienstleister damit dieser die Wartung ohne Hilfe von Personal aus der Praxis am Wochenende oder nach Feierabend durchführen kann.
Die Clients sind natürlich per WLAN vernetzt, häufig irgendwas billiges das schon seit einem halben Jahrzehnt keine Updates mehr gesehen hat.
In der Infrastruktur für Medizinische Geräte wie z.B. bei MRTs wird von den Herstellern natürlich in allen Praxen das gleiche Passwort eingesetzt!
Gerade bei kleineren Praxen werden Computer nach Ausmusterung auch gerne an Mitarbeiter verschenkt, natürlich ohne vorher die Festplatte zu löschen. Wird das Endgerät tatsächlich beim Entsorger abgegeben wird auch dann vorher nichts gelöscht.
Auch aus größeren Praxen oder gar Krankenhäusern landen die Endgeräte wie z.B. auch Ipads mit Patientenfotos im E-Mail-Account ungelöscht beim Entsorger.
Manchmal werden Endgeräte sogar zersägt aber dann doch oftmals so das die M.2 SSD dabei unbeschädigt bleibt und das sogar auf den ersten Blick erkennbar ist.
Die Sicherheit für Patientendaten ist also auch jetzt schon auf dem untersten Niveau. Die Gefahr steigt doch bei der ePA nur wegen der Menge der Daten an einer Stelle, die schon eher Begehrlichkeiten weckt als der Inventar der kleinen Praxis um die Ecke!