Cyberangriffe - Wie sich Krankenhäuser schützen können
Hans-Wilhelm Dünn ist Gründungsmitglied und Präsident des Cyber-Sicherheitsrat Deutschland e.V. (CSRD) sowie unter anderem Leiter des Energy Hubs und Mitglied des eHealth Hubs. Er berät Betreiber kritischer Infrastrukturen zu cybersicherheitsrelevanten Themen. Er ist außerdem Herausgeber des Buches „Cybersicherheit im Krankenhaus“, einer Publikation der Medizinisch-Wissenschaftliche Verlagsgesellschaft. Im Interview erläutert er das Thema Cybersicherheit und was medizinische Unternehmen bei dem Thema beachten sollten.
Herr Dünn, warum sollten sich Mediziner*innen für das Thema Cybersicherheit interessieren?
Jede*r sollte sich für die Sicherheit seiner IT-Infrastruktur interessieren, genauso wie für Strom und fließend Wasser. IT-Sicherheit ist nicht alles, aber ohne Sicherheit der eigenen Systeme ist alles nichts. Ich weiß, dass viele Beschäftigte im Gesundheitssystem hart an der Belastungsgrenze arbeiten und Cybersicherheit als zusätzliche Aufgabe wahrgenommen wird. Doch nur wenn Daten wirklich sicher sind, können die Errungenschaften der Digitalisierung vollständig zum Wohl von Patient*innen und Beschäftigten eingesetzt werden. Cybersicherheit macht vieles möglich.
Wo sehen Sie die größten Herausforderungen im Bereich Cybersicherheit in der Medizin?
Wir erleben eine Vernetzung verschiedener Systeme in Krankenhäusern, bei denen jede Schnittstelle vom Röntgengerät bis zum Drucker ein potenzielles Einfallstor für Cyberkriminelle darstellt. Die Vielzahl von Einzelsystemen ist meist organisch gewachsen und der Schutz dadurch umso komplexer. Zudem wird Cybersicherheit oft als Nischenthema betrachtet, um dass sich die Nerds aus der IT-Abteilung gefälligst kümmern sollen. Fakt ist, jeder ist dafür verantwortlich das System zu schützen. Das fängt damit an, dass Passwörter nicht auf die Rückseiten von Tastaturen geschrieben werden, Tablets mit sensiblen Patientendaten nicht auf Rollwägen offen zugänglich sind und führt bis hinein in die Leitungsebene. Dort muss allen Beteiligten klar sein, dass Cybersicherheit eine hohe Priorität im Riskmanagement zukommt und das Thema dementsprechend behandelt wird.
Ist das nicht ein bisschen übertrieben? Der Klinikalltag hat vielfältige Herausforderungen und schließlich geht es hier ja nicht um Leben und Tod.
Da möchte ich Ihnen widersprechen. Anfang Oktober wurde bekannt, dass in den USA eine Klage bei Gericht anhängig ist, die nahelegt, dass der Tod eines Neugeborenen auf einen Cyberangriff zurückzuführen ist. Im Springhill Medical Center in Alabama konnten bestimmte Untersuchungen nach einem Cyberangriff nicht durchgeführt werden, sodass ein Sauerstoffmangel nicht erkannt wurde. Das Baby erlitt Hirnschäden und verstarb neun Monate später. Neben der dramatischen menschlichen Dimension sind auch wirtschaftliche Folgen absehbar. Verklagt werden nämlich nicht die anonymen Hacker, sondern die Klinik, die den Angriff auch Tage später geheim gehalten hat und kein voll funktionstüchtiges System zur Verfügung hatte. Das kann massive Auswirkungen auf die wirtschaftliche Lage und die Reputation von Einrichtungen haben. Dies ist nur ein Fall von vielen. Das Uniklinikum Düsseldorf und das Lukaskrankenhaus Neuss waren beispielsweise auch Opfer von Cyberattacken, die die Behandlung von Patient*innen massiv beeinträchtigt haben.
Existieren Versicherungen mit denen Krankenhäuser zumindest das finanzielle Risiko minimieren können?
Es gibt teilweise entsprechende Policen, die jedoch sehr teuer sind. Versicherungsanbieter wissen, welch hohes Schadenspotenzial bei Cyberangriffen möglich ist. Zudem werden solche Policen oftmals nicht vergeben, weil der Grundschutz der IT-Infrastruktur zu schwach ist. Bei Ransomware-Angriffen, also der Verschlüsselung des Systems durch Angreifer, die mit der Freigabe Lösegeld erpressen wollen, wird im Schadensfall häufig nur die Hälfte kompensiert. Das führt oft dazu, dass Häuser gar keinen Versicherungsschutz gegen Cyberangriffe haben. Krankenhäuser können Sicherheit also nicht bequem bei Versicherungen erwerben, sondern müssen in Infrastruktur und Personal investieren, um sich zu wappnen.
Was können Krankenhäuser konkret tun, um sich zu schützen?
In unserem Buch ‚Cybersicherheit im Krankenhaus‘ skizzieren wir verschiedene Lösungsansätze. Zum einen müssen Information Security Management Systeme (ISMS) eingeführt werden, die sich an den ISO- und DIN-Richtlinien orientieren. Zum anderen muss ein Bewusstsein dafür geschaffen werden, dass Cybersicherheit die Aufmerksamkeit jeder und jedes Einzelnen verdient. Zum Glück hat das auch der Gesetzgeber erkannt und mit dem Krankenhauszukunftsgesetz 3 Milliarden Euro für die Modernisierung der digitalen Infrastruktur bereitgestellt. Diese Mittel müssen nun von den Häusern bis zum Jahresende beantragt und dann sinnvoll eingesetzt werden.
Der Cyber-Sicherheitsrat Deutschland e.V. wurde im August 2012 von namhaften Persönlichkeiten gegründet. Der in Berlin ansässige Verein ist politisch neutral und berät Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie Bundesländer und Bundesinstitutionen, Expert*innen und politische Entscheider*innen mit Bezug zum Thema Cyber-Sicherheit. Der Cyber-Sicherheitsrat Deutschland e.V. informiert und unterstützt mit vielfältigen Angeboten seine Mitglieder und richtet seine Tätigkeiten an deren operativen und betrieblichen Bedürfnissen aus.
