BSI-Studie
So schlimm steht es um die IT-Sicherheit in Kliniken
Sehr viele Krankenhäuser in Deutschland sind vor Cyberangriffen offenbar nicht besonders gut geschützt. Das Bundesamt für Sicherheit in der Informationstechnik sieht viele Defizite.
Veröffentlicht:Bonn. In der gegenwärtigen Coronavirus-Pandemie ist es ruhig geworden um Angriffe Cyberkrimineller auf Einrichtungen des Gesundheitswesens. Doch die Bedrohungslage auch für Krankenhäuser in Deutschland hat sich keineswegs geändert, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Dienstag anlässlich der Teil-Veröffentlichung einer Studie zur Informationssicherheit in der stationären medizinischen Versorgung betonte.
„Die Studie ist als Verschlusssache eingestuft und daher nicht öffentlich zugänglich“, nennt das BSI den Grund für die nur teils veröffentlichten Ergebnisse.
Aktuell erreichten rund zehn Prozent der Krankenhäuser in Deutschland den Schwellenwert von 30.000 vollstationären Fällen pro Jahr und seien somit beim BSI als Betreiber Kritischer Infrastrukturen gemäß der KRITIS-Verordnung registriert.
Keinen Plan und kein Geld
Im Fokus der BSI-Studie aber stehen die rund 1800 öffentlichen, frei-gemeinnützigen und privaten Krankenhäuser, die nicht unter die KRITIS-Regulierung fallen. In diesen Häusern fehle es bislang an einer IT-spezifischen Sicherheitskultur.
Häufig fehlten finanzielle Mittel, um die notwendigen strukturellen Grundlagen für IT-Sicherheit zu schaffen. „Dies betrifft gleichermaßen Investitionen in Hard- und Software, die Durchführung von Schulungen wie den personellen Aufwand zur Dokumentation, Überprüfung, Auditierung und kontinuierlichen Weiterentwicklung der Compliance-Regelungen“, heißt es in der Studienzusammenfassung.
BSI-Präsident Arne Schönbohm appelliert gerade angesichts der Pandemiesituation an die Kliniken, sich auch IT-seitig fit für die digital-gestützte medizinische und pflegerische Versorgung zu machen.
„Die Digitalisierung im Gesundheitswesen eröffnet große Chancen für eine bessere Versorgung und mehr Effizienz in der Zusammenarbeit zwischen den verschiedenen medizinischen Einrichtungen“, so Schönbohm. Und ergänzt: „Angesichts einer Bedrohungslage jedoch, die auch vor Krankenhäusern und anderen medizinischen Einrichtungen nicht Halt macht, rückt Informationssicherheit auch für die Betreiber immer stärker in den Fokus, deren Einrichtungen nicht unter die Regelungen des IT-Sicherheitsgesetzes fallen.“
Daher sei es notwendig, dass die Betreiber verstärkt die Systeme und Prozesse bestmöglich absichern, die für ihre kritischen Dienstleistungen notwendig sind.
Komfort vor Sicherheit ist Klinikalltag
Knackpunkt defizitärer IT-Sicherheitsstrukturen ist laut BSI die Management-Philosophie. „Prinzipiell wird der schnelle Zugriff auf Patientendaten als wesentlich wichtiger beurteilt, als die Sicherheit des Zugangs zu Daten von IT-Anwendungen oder medizinischen Geräten, da der Informationszugriff allzu oft im Kontext der Behandlung erfolgt und in kritischen Situationen Zeitverluste durch Anmeldevorgänge oft nicht hinnehmbar sind“, heißt es in der Studie.
Zudem erschwere der Umstand häufig wechselnden Personals aufgrund von Schichtwechsel, Teilzeitarbeit, Leiharbeit oder durch Belegärzte die Sensibilisierung der Beschäftigten im Bereich IT-Sicherheit.
Bis zu 30.000 Endgeräte im Einsatz
Die Herausforderungen für die Klinik-IT sei gewaltig, da die Einrichtungen in der Regel über eine Vielzahl von IT-Anschlüssen verfügten – 30.000 Endgeräte seien keine Seltenheit. Zusätzliches Manko: „Durch Digitalisierungsprojekte kommen zahlreiche vernetzbare IT- und Medizingeräte hinzu bei gleichzeitiger Nutzung von (nicht mehr gepflegten) Altsystemen.“
Insgesamt zeige sich bei der Umsetzung der Informationssicherheitsmaßnahmen, dass die Betreiber ihren Fokus primär auf die Umsetzung von technischen Maßnahmen zum Schutz ihrer kritischen Dienstleistung (kDL) gelegt haben. Zu den kDL zählen die medizinische Versorgung, die Versorgung mit Arzneimitteln (einschließlich Impfstoffen und Schutzwirkstoffen nach Strahlenschutzrecht), die Versorgung mit Medizinprodukten sowie die Laboratoriumsdiagnostik.
Redundante Auslegung dominiert
Ein Blick in den IT-Maschinenraum der Kliniken zeige, so das BSI, dass „relevante IT-Systeme und Komponenten zur Erbringung der kDL in der Regel redundant ausgelegt und durch klassische Abwehrmaßnahmen (z.B. Firewall, DMZ, zentraler SPAM- und Malware-Schutz, Routing, VPN/https, dezentrale Malware-Scanner) zum Schutz vor Angriffen sowie Schadsoftware technisch umgesetzt“ seien. Dennoch ergebe sich bei der Umsetzung organisatorischer wie auch einzelner technischer IT-Sicherheitsmaßnahmen noch Verbesserungspotenzial.
Weiterer Befund: „Eine (virtuelle) Netztrennung und Netzsegmentierung in Medizintechnik-Netz, Verwaltungsnetz, Applikationsnetz und Patienten-/Gästenetz ist oftmals noch nicht vollständig vollzogen.“ Es zeige sich zudem, dass die Krankenhäuser häufig keine Tests- und Freigabeprozesse für neue Softwaresysteme oder Gerätetechnik durchführten. Darüber hinaus erfolgten Maßnahmen im Patch- und Änderungsmanagement immer wieder verzögert.
„Weitere Einschränkungen ergeben sich auch durch Restriktionen der Speichersysteme. Aufgrund der immer stärker zunehmenden Datenmengen kommt es schon jetzt zu Kapazitätsengpässen. Dieser Trend wird mittelfristig weiter zunehmen“, so das BSI.
KRITIS-Sichtweise hilft, Klinik-IT sicherer zu machen
Als Tipp für die sicherere Gestaltung der Klinik-IT-Landschaft in den einzelnen Häusern empfiehlt das BSI den Klinikmanagern, bei der Umsetzung organisatorischer IT-Sicherheitsmaßnahmen das Thema KRITIS noch stärker in den gesamtorganisationalen Kontext einzubetten.
„Dabei ist das IT-Risikomanagement der für die kDL notwendigen IT-Systeme und Komponenten stärker an das bereits vorhandene klinische Risikomanagement einzubinden. Dies hat den Vorteil, dass IT-Sicherheitsmaßnahmen risikoorientierter geplant werden können und die Geschäftsführung in regelmäßigen Abständen über IT-Sicherheitsrisikeninformiert wird“, so das BSI.
Wer das IT-Rad in der Klinik eh schon neu erfinde, der könne dann auch gleich an die Zukunftstrends denken, mahnt das BSI. Seiner Ansicht nach wird es in Zukunft vermehrt zur Point-of-Care-Diagnostik kommen, die einige Herausforderungen an die Netzinfrastruktur stelle.