BSI-Studie

So schlimm steht es um die IT-Sicherheit in Kliniken

Sehr viele Krankenhäuser in Deutschland sind vor Cyberangriffen offenbar nicht besonders gut geschützt. Das Bundesamt für Sicherheit in der Informationstechnik sieht viele Defizite.

Matthias WallenfelsVon Matthias Wallenfels Veröffentlicht:
Hat es die Klinik-IT dem Angreifer zu leicht gemacht? Viele Kliniken sind nicht wirklich gut aufgestellt in puncto Cyberkriminalität, so das BSI.

Hat es die Klinik-IT dem Angreifer zu leicht gemacht? Viele Kliniken sind nicht wirklich gut aufgestellt in puncto Cyberkriminalität, so das BSI.

© James Thew / stock.adobe.com

Bonn. In der gegenwärtigen Coronavirus-Pandemie ist es ruhig geworden um Angriffe Cyberkrimineller auf Einrichtungen des Gesundheitswesens. Doch die Bedrohungslage auch für Krankenhäuser in Deutschland hat sich keineswegs geändert, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Dienstag anlässlich der Teil-Veröffentlichung einer Studie zur Informationssicherheit in der stationären medizinischen Versorgung betonte.

„Die Studie ist als Verschlusssache eingestuft und daher nicht öffentlich zugänglich“, nennt das BSI den Grund für die nur teils veröffentlichten Ergebnisse.

Aktuell erreichten rund zehn Prozent der Krankenhäuser in Deutschland den Schwellenwert von 30.000 vollstationären Fällen pro Jahr und seien somit beim BSI als Betreiber Kritischer Infrastrukturen gemäß der KRITIS-Verordnung registriert.

Keinen Plan und kein Geld

Im Fokus der BSI-Studie aber stehen die rund 1800 öffentlichen, frei-gemeinnützigen und privaten Krankenhäuser, die nicht unter die KRITIS-Regulierung fallen. In diesen Häusern fehle es bislang an einer IT-spezifischen Sicherheitskultur.

Häufig fehlten finanzielle Mittel, um die notwendigen strukturellen Grundlagen für IT-Sicherheit zu schaffen. „Dies betrifft gleichermaßen Investitionen in Hard- und Software, die Durchführung von Schulungen wie den personellen Aufwand zur Dokumentation, Überprüfung, Auditierung und kontinuierlichen Weiterentwicklung der Compliance-Regelungen“, heißt es in der Studienzusammenfassung.

BSI-Präsident Arne Schönbohm appelliert gerade angesichts der Pandemiesituation an die Kliniken, sich auch IT-seitig fit für die digital-gestützte medizinische und pflegerische Versorgung zu machen.

„Die Digitalisierung im Gesundheitswesen eröffnet große Chancen für eine bessere Versorgung und mehr Effizienz in der Zusammenarbeit zwischen den verschiedenen medizinischen Einrichtungen“, so Schönbohm. Und ergänzt: „Angesichts einer Bedrohungslage jedoch, die auch vor Krankenhäusern und anderen medizinischen Einrichtungen nicht Halt macht, rückt Informationssicherheit auch für die Betreiber immer stärker in den Fokus, deren Einrichtungen nicht unter die Regelungen des IT-Sicherheitsgesetzes fallen.“

Daher sei es notwendig, dass die Betreiber verstärkt die Systeme und Prozesse bestmöglich absichern, die für ihre kritischen Dienstleistungen notwendig sind.

Komfort vor Sicherheit ist Klinikalltag

Knackpunkt defizitärer IT-Sicherheitsstrukturen ist laut BSI die Management-Philosophie. „Prinzipiell wird der schnelle Zugriff auf Patientendaten als wesentlich wichtiger beurteilt, als die Sicherheit des Zugangs zu Daten von IT-Anwendungen oder medizinischen Geräten, da der Informationszugriff allzu oft im Kontext der Behandlung erfolgt und in kritischen Situationen Zeitverluste durch Anmeldevorgänge oft nicht hinnehmbar sind“, heißt es in der Studie.

Zudem erschwere der Umstand häufig wechselnden Personals aufgrund von Schichtwechsel, Teilzeitarbeit, Leiharbeit oder durch Belegärzte die Sensibilisierung der Beschäftigten im Bereich IT-Sicherheit.

Bis zu 30.000 Endgeräte im Einsatz

Die Herausforderungen für die Klinik-IT sei gewaltig, da die Einrichtungen in der Regel über eine Vielzahl von IT-Anschlüssen verfügten – 30.000 Endgeräte seien keine Seltenheit. Zusätzliches Manko: „Durch Digitalisierungsprojekte kommen zahlreiche vernetzbare IT- und Medizingeräte hinzu bei gleichzeitiger Nutzung von (nicht mehr gepflegten) Altsystemen.“

Insgesamt zeige sich bei der Umsetzung der Informationssicherheitsmaßnahmen, dass die Betreiber ihren Fokus primär auf die Umsetzung von technischen Maßnahmen zum Schutz ihrer kritischen Dienstleistung (kDL) gelegt haben. Zu den kDL zählen die medizinische Versorgung, die Versorgung mit Arzneimitteln (einschließlich Impfstoffen und Schutzwirkstoffen nach Strahlenschutzrecht), die Versorgung mit Medizinprodukten sowie die Laboratoriumsdiagnostik.

Redundante Auslegung dominiert

Ein Blick in den IT-Maschinenraum der Kliniken zeige, so das BSI, dass „relevante IT-Systeme und Komponenten zur Erbringung der kDL in der Regel redundant ausgelegt und durch klassische Abwehrmaßnahmen (z.B. Firewall, DMZ, zentraler SPAM- und Malware-Schutz, Routing, VPN/https, dezentrale Malware-Scanner) zum Schutz vor Angriffen sowie Schadsoftware technisch umgesetzt“ seien. Dennoch ergebe sich bei der Umsetzung organisatorischer wie auch einzelner technischer IT-Sicherheitsmaßnahmen noch Verbesserungspotenzial.

Weiterer Befund: „Eine (virtuelle) Netztrennung und Netzsegmentierung in Medizintechnik-Netz, Verwaltungsnetz, Applikationsnetz und Patienten-/Gästenetz ist oftmals noch nicht vollständig vollzogen.“ Es zeige sich zudem, dass die Krankenhäuser häufig keine Tests- und Freigabeprozesse für neue Softwaresysteme oder Gerätetechnik durchführten. Darüber hinaus erfolgten Maßnahmen im Patch- und Änderungsmanagement immer wieder verzögert.

„Weitere Einschränkungen ergeben sich auch durch Restriktionen der Speichersysteme. Aufgrund der immer stärker zunehmenden Datenmengen kommt es schon jetzt zu Kapazitätsengpässen. Dieser Trend wird mittelfristig weiter zunehmen“, so das BSI.

KRITIS-Sichtweise hilft, Klinik-IT sicherer zu machen

Als Tipp für die sicherere Gestaltung der Klinik-IT-Landschaft in den einzelnen Häusern empfiehlt das BSI den Klinikmanagern, bei der Umsetzung organisatorischer IT-Sicherheitsmaßnahmen das Thema KRITIS noch stärker in den gesamtorganisationalen Kontext einzubetten.

„Dabei ist das IT-Risikomanagement der für die kDL notwendigen IT-Systeme und Komponenten stärker an das bereits vorhandene klinische Risikomanagement einzubinden. Dies hat den Vorteil, dass IT-Sicherheitsmaßnahmen risikoorientierter geplant werden können und die Geschäftsführung in regelmäßigen Abständen über IT-Sicherheitsrisikeninformiert wird“, so das BSI.

Wer das IT-Rad in der Klinik eh schon neu erfinde, der könne dann auch gleich an die Zukunftstrends denken, mahnt das BSI. Seiner Ansicht nach wird es in Zukunft vermehrt zur Point-of-Care-Diagnostik kommen, die einige Herausforderungen an die Netzinfrastruktur stelle.

Lesen sie auch
Ihr Newsletter zum Thema
Mehr zum Thema

62 Kassen im Beitragssatz-Check

Höhere Zusatzbeiträge: So teuer wird Ihre Krankenkasse 2025

Das könnte Sie auch interessieren
Ein Roboter, der Akten wälzt? Künstliche Intelligenz kann bereits mit Leitlinien umgehen – jedenfalls wenn sie so gut strukturiert sind wie die der DEGAM.

© Iaroslav / stock.adobe.com

Digitalisierung in der Medizin

Kollegin Dr. ChatGPT? Wie Künstliche Intelligenz Ärzten helfen könnte

Digital und innovativ: Klinikum Siegen überzeugt von Fluency Direct

© Solventum Germany GmbH

Solventum Spracherkennung

Digital und innovativ: Klinikum Siegen überzeugt von Fluency Direct

Anzeige | 3M Healthcare Germany GmbH
Innovationsforum für privatärztliche Medizin

© Tag der privatmedizin

Tag der Privatmedizin 2024

Innovationsforum für privatärztliche Medizin

Kooperation | In Kooperation mit: Tag der Privatmedizin
Eine Sanduhr, durch die Geldstücke fall

© fotomek / stock.adobe.com

Tag der Privatmedizin 2024

Outsourcing: Mehr Zeit für Patienten!

Kooperation | In Kooperation mit: Tag der Privatmedizin
Buch mit sieben Siegeln oder edles Werk? KI-Idee einer in Leder eingebundenen neuen Gebührenordnung für Ärzte (GOÄ)

© KI-generiert mit ChatGPT 4o

Exklusiv Entwurf unter der Lupe

Das brächte Ihnen die neue GOÄ

Kommentare
Sonderberichte zum Thema
Carl Billmann, Leiter der Stabsstelle IT, Marketing & Kommunikation bei BillmaMED, Medizinstudent mit dem Berufsziel Dermatologe.

© Doctolib

Interview

„Am Empfang haben wir Stress rausgenommen“

Sonderbericht | Mit freundlicher Unterstützung von: Doctolib GmbH
Die Patientin tippt ihre Nachricht ins Smartphone, das Praxisteam antwortet direkt über
den Desktop. So sind Vereinbarungen über ein E-Rezept oder eine Befundmitteilung vom Facharzt schnell übermittelt.

© [M] Springer Medizin Verlag | Foto: A_B_C / stock.adobe .com

Digitale Patientenkommunikation

„Das Potenzial für die Zeitersparnis ist riesig“

Sonderbericht | Mit freundlicher Unterstützung von: Doctolib GmbH
KI-Einsatz mit Robotern im Krankenhaus oder in der ambulanten Pflege? In Deutschland noch schwer vorstellbar. Aber vielleicht ist das dieZukunft. Ein Feld auch für die Geldanlage.

© sirisakboakaew / stock.adobe.com

Interview zum Thema Geldanlage

KI für Anleger: „Ich sollte verstehen, in was ich investiere“

Sonderbericht | Mit freundlicher Unterstützung von: Deutscher Apotheker- und Ärztebank
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen
Lesetipps
Krankenkassen haben zum Jahreswechsel schlechte Botschaften für ihre Mitglieder: die Zusatzbeiträge steigen stark. Die Kritik an versäumten Reformen der Ampel-Koalition ist einhellig.

© Comugnero Silvana / stock.adobe.com

Update

62 Kassen im Beitragssatz-Check

Höhere Zusatzbeiträge: So teuer wird Ihre Krankenkasse 2025