Aktuelles, Branche - geschrieben von am Montag, November 30, 2020 18:38 - noch keine Kommentare

IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher

PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt

[datensicherheit.de, 30.11.2020] Laut einer aktuellen Stellungnahme der PSW GROUP sei es um Krankenhäuser, Kliniken und Arztpraxen „nicht gut bestellt – zumindest in Hinblick auf IT-Sicherheit und Datenschutz“. So tauchten in jüngerer Zeit wieder vermehrt Meldungen zu IT-Vorfällen im Gesundheitswesen auf: Erst im September 2020 sei das Uniklinikum der Universität Düsseldorf Opfer eines Ransomware-Angriffs geworden, „der zum Tod einer Patientin beigetragen haben könnte“. Da dieser Cyber-Angriff massiv die hauseigenen Systeme gestört habe, „konnte eine Frau, die dringend auf medizinische Hilfe angewiesen war, nicht aufgenommen werden und musste nach Wuppertal ausweichen. Ein Umweg von 30 Minuten, der sie vermutlich das Leben kostete“.

Patrycja Tulinska

Patrycja Tulinska: Cyber-Sicherheit in den meisten Kliniken und Praxen mehr als mangelhaft…

Digitalisierung im Gesundheitswesen sinnvoll

Patrycja Tulinska, Geschäftsführerin der PSW GROUP, betont indes: „Dabei ist die Digitalisierung im Gesundheitswesen sinnvoll, denn die Wege für erkrankte Personen werden kürzer. Zudem können sich die Menschen über den digitalen Weg in die Praxis vor Ansteckungen schützen und die elektronischen Patientenakte kann Informationen schneller verfügbar machen.“

Doch abgesehen von der technischen Ausrüstung sei auch die Cyber-Sicherheit in den meisten Kliniken und Praxen „mehr als mangelhaft“. Wohl auch aus diesem Grund habe die Bundesregierung im September 2020 das „Krankenhauszukunftsgesetzes“ (KHZG) verabschiedet. Demnach wird der Bund ab Januar 2021 drei Milliarden Euro bereitstellen, um Krankenhäuser zukunftsfähig zu machen: Diese sollten die Möglichkeit haben, in moderne Notfallkapazitäten zu investieren, aber auch in die Digitalisierung im Gesundheitswesen sowie in ihre IT-Sicherheit. Auch die Länder seien gefragt – diese sollten 1,3 Milliarden Euro an Investitionsmitteln aufbringen.

Absicherung der IT-Systeme: Gesundheitswesen vor großen Herausforderungen

Tatsächlich stünden Krankenhäuser und Arztpraxen vor großen Herausforderungen in Hinblick auf die Absicherung von IT-Systemen, -Komponenten sowie -Prozessen. Der Großteil der Einrichtungen falle unter die Anforderungen aus dem BSI-Gesetz, aber auch unter die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV).

Doch auch Krankenhäuser und Kliniken, die unterhalb des Schwellenwerts der BSI-KritisV liegen, müssten sich mit Datenschutz und IT-Sicherheit beschäftigen, denn die Digitalisierung im Gesundheitswesen schreite voran. Gleichzeitig sei das Gesundheitswesen mit all seinen Akteuren in einer schwierigen Lage: Personelle und finanzielle Engpässe machten nicht nur die Digitalisierung, sondern auch die dafür zwingend notwendige IT-Sicherheit schwer.

Handlungsempfehlungen der PSW GROUP für das Gesundheitswesen

IT-Sicherheitsexperten der PSW GROUP haben nach eigenen Angaben folgende Handlungsempfehlungen zusammengestellt, welche jedes Krankenhaus und jede Arztpraxis umsetzen könne, um die IT-Sicherheit effizient zu erhöhen:

  • Web-Anwendungen schützen!
    Plattformunabhängige, browser-basierte Anwendungen erleichterten die Zusammenarbeit zwar immens, denn Portale und Apps erlaubten es, medizinische Unterlagen und Berichte vom Rechner, Tablet, Smartphone oder anderen vernetzten Geräten aus einzusehen. „Web-Aanwendungen sind aber ein leichtes Spiel für Hacker, wenn sie nicht mittels Verschlüsselung entsprechend geschützt werden. Ein anderer Weg ist die sogenannte ,Web Application Firewall‘, die den Datenaustausch zwischen Clients und Webservern analysiert. Werden Inhalte als verdächtig eingestuft, lässt sich der Zugriff verhindern“, erläutert Tulinska.
  • Internetzugänge sowie Übertragungswege sichern!
    „Emotet“- und andere Ransomware-Angriffe seien besonders schwerwiegend für Krankenhäuser, wie der Fall der Uniklinik Düsseldorf auf tragische Weise gezeigt habe. Einen effizienten Schutz vor Ransomware bringe das Absichern von Internetzugang und Übertragungswegen. Ersteres lasse sich mit einem virtuellen Browser umsetzen: Nutzer arbeiteten mit einer vom Betriebssystem separierten Maschine. Eine komplett virtuelle Surf-Umgebung sei hierfür entscheidend, denn so gelinge die konsequente Netzwerktrennung. „Die Absicherung der Übertragungswege sollte sowohl Wege zwischen dem Krankenhaus und seinem Rechenzentrum als auch Wege zwischen Geräten im Krankenhaus und dem Hausarzt eines Patienten einbeziehen. Moderne Verschlüsselungslösungen bieten einen hohen Schutz, ohne die Performance der Übertragung negativ zu beeinflussen“, rät Tulinska.
  • Backups als Ransomware-Schutz erstellen!
    Ransomware-Attacken ließen sich verhältnismäßig einfach und kostengünstig mit Backups begegnen: Die Sicherungen aller Daten sei die effizienteste und wichtigste Verteidigungsstrategie gegen Ransomware. Dennoch rät Tulinska zu Vorsicht: „Cyber-Kriminelle wachsen mit ihren Herausforderungen und zielen immer häufiger auch auf Backups ab. Deshalb rate ich, diese verschlüsselt aufzubewahren und sie nicht in Lese-/Schreibformat verfügbar zu machen. Findet dann doch ein Ransomware-Angriff statt, durch den die Systeminhalte verschlüsselt werden, lässt sich das geschützte Backup einspielen und der ,saubere‘ Zustand wiederherstellen.“
  • Awareness: Mitarbeiter schulen!
    Ein Krankenhaus könne das beste Sicherheitskonzept haben – und doch blieben die Anwender der Systeme die größte Schwachstelle. Arglos würden Phishing-Mails geöffnet, Anhänge heruntergeladen, Sicherheits-Updates vergessen oder Passwörter unbedarft an die vermeintliche Mitarbeiterin der IT-Abteilung ausgegeben. „Technik allein ist eben nicht alles. Sie muss auch angewandt werden können. Deshalb ist die Sensibilisierung der Belegschaft eine wichtige Maßnahme, um die IT-Sicherheit zu steigern“, unterstreicht Tulinska.
  • Risikomanagement mit Notfallplänen vorhalten!
    Unabhängig davon, ob ein IT-Vorfall durch eine Sicherheitsverletzung durch Mitarbeiter verursacht wurde oder durch einen Cyber-Angriff: Wenn alle Beteiligten wissen, was wann durch wen zu tun ist, lasse sich wertvolle Zeit bei der Systemwiederherstellung gewinnen: „Ich rate zur Erstellung verschiedener Pläne für unterschiedliche Szenarien, beispielsweise Datenschutzverletzungen, Cyber-Angriffe mit Ransomware oder auch Phishing. Mitarbeiterschulungen sorgen dann im Anschluss dafür, dass auch alle mit den konkreten Schritten vertraut sind.“

Weitere Informationen zum Thema:

PSW GROUP, 04.11.2020
Digitalisierung im Gesundheitswesen: IT-Sicherheit hinkt nach wie vor hinterher

datensicherheit.de, 04.11.2020
Deutschlands Gesundheitswesen nicht ausreichend gegen DDoS geschützt / 2020: Bereits mehr als 2.000 DDoS-Angriffe gemeldet

datensicherheit.de, 28.10.2020
Cyber-Attacken: Gesundheitsorganisationen laut Forescout-Studie weiter anfällig / „Connected Medical Device Security Report“ von Forescout basiert auf Analyse von drei Millionen Geräten



Kommentieren

Kommentar

Theiners Talk

Das europäsiche Cybersecurity-Center

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Mitgliedschaft

German Mittelstand

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Gefragte Themen


Datenschutzerklärung