Klinik-Hacker
BSI will stärkere Anti-Cybercrime-Auflagen für Klinikverbünde
Das Bundesamt für Sicherheit in der Informationstechnik will höhere Sicherheitsanforderungen im Gesundheitswesen durchsetzen. Derweil will Rheinland-Pfalz bei Cyberangriffen auf Krankenhäuser ein Zeichen setzen – auch bundesweit.
Veröffentlicht:MAINZ.Das Bundesamt für Sicherheit in der Informationstechnik (BSI) plädiert dafür, auch Klinikverbünden verschärfte IT-Sicherheitsvorschriften verbindlich vorzuschreiben. Das sagte Isabel Münch, beim BSI Fachbereichsleiterin Präventive Cyber-Sicherheit und Kritische Infrastrukturen (KRITIS), am Mittwoch in Mainz im Gespräch mit der „Ärzte Zeitung“.
Das solle nach dem Wunsch des BSI bei einer Novelle des im Juli 2015 in Kraft getretenen Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) berücksichtigt werden. Damit müssten nicht nur die bundesweit rund 90 Kliniken, die mehr als 30.000 vollstationäre Fälle pro Jahr haben, nachweislich den erhöhten Sicherheitsanforderungen nach der BSI-KRITIS-Verordnung genügen.
Münch gehörte zu den Teilnehmern des Runden Tisches IT-Sicherheit am Mittwoch in Mainz. Geladen hatte die rheinland-pfälzische Gesundheitsministerin Sabine Bätzing-Lichtenthäler (SPD) im Nachgang zu Cyberangriffen auf Krankenhäuser und andere Einrichtungen des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz und im Saarland. Damals war das komplette Netzwerk des Krankenhausverbundes von einer Schadsoftware befallen, die Verfügbarkeit von Daten war eingeschränkt. Die Versorgung der Patienten sei aber gewährleistet gewesen, hieß es im Juli.
Wie Münch in Übereinstimmung mit anderen Teilnehmern des Runden Tisches betonte, sei nach bisherigem Erkenntnisstand nicht von einem gezielten Angriff auf die Kliniken auszugehen. Die Ermittlungen liefen aber noch. Vorbildlich sei gewesen, dass das DRK kein Lösegeld für die gekaperten Daten gezahlt habe.
Für den Fall einer Cyberattacke wies Münch auf Nachfrage der „Ärzte Zeitung“ darauf hin, dass alle Kliniken Anspruch auf Hilfe der Mobile Incident Response Teams (MIRT) des BSI hätten, da Krankenhäuser per se zum Gesundheitssektor und damit zu einem der sieben definierten kritischen Infrastruktur-Bereiche gehörten. Die Leistungen des MIRT seien für Kliniken kostenlos, so Münch.
Nach der potenziellen Bedrohung von Arztpraxen durch Cyberkriminelle befragt, nannte Münch die Telematikinfrastruktur (TI) eine Option, sicher ins Netz zu gehen. Generell rate sie Praxischefs, professionelle Hilfe für die Abwehr von Cyberrisiken zu suchen.
Mainz versus Cybercrime
Der Schutz von Gesundheitsdaten soll in der Cybersicherheitsstrategie des Landes Rheinland-Pfalz eine größere Rolle spielen als bisher – nicht zuletzt als Lehre aus den jüngsten Cyberattacken auf Krankenhäuser und andere Einrichtungen des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz und im Saarland.
Das ist laut Landesgesundheitsministerin Sabine Bätzing-Lichtenthäler (SPD) eine von zwei konkreten Maßnahmen, auf die sich die Teilnehmer des Runden Tisches IT-Sicherheit am Mittwoch im Mainzer Ministerium geeinigt haben.
Eine mit Fachexperten der vertretenen Organisationen besetzte Projektgruppe soll nun in den kommenden Wochen konkrete Vorschläge, Maßnahmen und Empfehlungen zur Verbesserung der IT- Sicherheit in Krankenhäusern ausarbeiten. Ergebnisse sollen bis Ende des Jahres vorliegen.
Zudem forderte Bätzing-Lichtenthäler ein Sofortprogramm Bund zur IT-Sicherheit in Krankenhäusern, das besonders kleinere Kliniken dabei unterstützen soll, verstärkt in die Sicherheit der Krankenhaus-IT zu investieren. „Mit dem Sofortprogramm Bund zur IT-Sicherheit in Krankenhäusern sollen die Mittel des Krankenhausstrukturfonds für Investitionen in die IT-Sicherheit auf alle Krankenhäuser ausgeweitet werden. Dafür ist eine Aufstockung der im Rahmen des Strukturfonds zur Verfügung stehenden Mittel unerlässlich. Investitionen in die IT-Sicherheit dürfen nicht zu Lasten anderer sinnvoller Maßnahmen zur strukturellen Verbesserung der Krankenhausversorgung gehen“, betonte die Ministerin.
Als Landesgesundheitsministerin werde sie sich im Rahmen der Gesundheitsministerkonferenz für die Bereitstellung der notwendigen Haushaltsmittel für die erforderliche Ko-Finanzierung einsetzen. Bislang ist Voraussetzung für eine Förderung entsprechender Investitionen, dass die Krankenhäuser als „Kritische Infrastruktur“ (KRITIS) jährlich mehr als 30.000 Behandlungsfälle – entsprechend der „BSI-Kritisverordnung“ – aufweisen.
Sofortprogramm nötig?
Die Forderung der Ministerin nach einem Sofortprogramm Bund zur IT-Sicherheit in Krankenhäusern sei von den Teilnehmern des Runden Tisches ausdrücklich begrüßt worden.
Teilgenommen hatten der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und aktuelle Vorsitzende der Datenschutzkonferenz, Professor Dieter Kugelmann, Isabel Münch, beim Bundesamt für Sicherheit in der Informationstechnik Fachbereichsleiterin Präventive Cyber-Sicherheit und Kritische Infrastrukturen, Georg Baum, Hauptgeschäftsführer der Deutschen Krankenhausgesellschaft, Bernd Decker, Vorsitzender der rheinland-pfälzischen Krankenhausgesellschaft sowie der Geschäftsführer des Westpfalz-Klinikums und Landesvorsitzender des Verbands der Krankenhausdirektoren Peter Förster.
Aus Sicht der Patientensicherheit sei es zu begrüßen, dass bei den Cyberattacken auf die DRK-Einrichtungen keine Gesundheitsdaten in die Hände der Kriminellen gelangt seien, betonte Landesdatenschützer Kugelmann. Er rief Praxen wie Kliniken dazu auf, ihrer Pflicht nachzukommen und Angriffe umgehend zu melden.
Lesen Sie dazu auch den Kommentar: Sicherheit: Cybercrime – Zeit zu handeln