PresseKat - Cybersicherheit im Krankenhaus: Hersteller, Anwender und Gesetzgeber müssen an einem Strang ziehen

(ots) - IT-Lösungen auf dem aktuellen Stand der Technik
sind der Grundpfeiler für die bestmögliche Sicherheit digitaler
Infrastrukturen im Gesundheitswesen. Cybersicherheit ist dabei nicht
nur eine Frage der Produktqualität. Auf Seiten der Anwender muss der
organisatorische Rahmen geschaffen werden, um Zwischenfälle möglichst
zu verhindern oder, im Falle eines Angriffs, den Schaden zu
begrenzen. Auch seitens des Gesetzgebers und der Regulierungsbehörden
sind klare Vorgaben nötig, die Unternehmen und Anwender umsetzen und
auf die sie sich berufen können.

Immer wieder haben es in letzter Zeit Cyberattacken auf
Krankenhäuser bis in die Boulevard-Medien geschafft. Insbesondere das
Jahr 2016 stach in dieser Hinsicht hervor. Es kam zu einer Serie so
genannter Ransomware-Attacken auf wahrscheinlich mehrere Dutzend
Krankenhäuser mit dem Ziel, Geld - in der Regel in Form von Bitcoins
- zu erpressen. Wer nicht zahlt, hat den Schaden und muss unter
Umständen weite Teile des IT-Systems neu aufsetzen. Patienten kommen
dadurch normalerweise nicht zu Schaden, aber es ist ein erheblicher
Aufwand für die betroffenen Häuser, und relevante Kosten sind die
Folge. Aber sind Krankenhäuser wirklich besonders unsicher?

Cyberattacken nehmen zu - in allen Branchen

Für die Antwort auf diese Frage hilft ein Blick in den Bericht des
Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage
der IT-Sicherheit in Deutschland 2016. Dort wird betont, dass im Jahr
2016 die Zahl bekannter Schadprogrammvarianten auf mehr als 560
Millionen gestiegen sei. Vor allem die Bedrohung durch Ransomware
habe sich verschärft. "Dies betrifft alle Nutzer: Private,
Unternehmen, Staat und Verwaltung", betont Bundesinnenminister Thomas
de Maizière. Insgesamt nähmen die "Komplexität der Bedrohungslage
ebenso wie damit einhergehenden Gefahren für die fortschreitende

Digitalisierung" zu, so das BSI. Der Zugriff auf digitale Daten werde
für Unternehmen und Bürger zunehmend essentiell. Entsprechend
verwundbarer werde das alltägliche Leben.

Michael Thoss, Sprecher des Bundesverbands der
Krankenhaus-IT-Leiterinnen/Leiter (KH-IT), betont, dass die genaue
Zahl der Cyberattacken auf Krankenhäuser in Deutschland weiterhin
kaum zu ermitteln sei: "Viele neigen dazu, solche Ereignisse nicht zu
melden statt offensiv mit ihnen umzugehen." Dass Krankenhäuser
stärker bedroht sind als andere Einrichtungen, glaubt Thoss nicht.
Würden rein die gemeldeten Zwischenfälle zugrunde gelegt, dann komme
man für das Jahr 2016 auf etwa 60 Cyberattacken auf Krankenhäuser.
Bei rund 2000 Krankenhäusern wäre das ein Anteil von 3 Prozent -
ähnlich hoch oder niedrig wie in anderen Branchen.

Insgesamt ist aber auch Thoss überzeugt, dass die Bedrohungen
zugenommen haben: "Krankenhäuser sind einfach online sehr viel
präsenter als früher. Das liegt nicht zuletzt an gesetzlichen
Vorgaben wie jenen zur intersektoralen Kommunikation oder zur
Qualitätssicherung. Je stärker Krankenhäuser digital präsent werden,
umso stärker tauchen sie als Bedrohungsgruppe auf, da geht es dem
Gesundheitswesen nicht anders als anderen Branchen."

IT-Sicherheitsgesetz auch im Gesundheitswesen in der Umsetzung

Klar ist, dass es im Gesundheitswesen genauso wie in anderen
Branchen in Zeiten der Online-Vernetzung keine absolute Sicherheit
geben kann. Es kann und sollte aber alles getan werden, um eine
bestmögliche Sicherheit zu erreichen. Dazu sind Hersteller, Anwender
und Politik bzw. Regulierungsbehörden gleichermaßen gefordert. "Die
Gesundheits-IT-Hersteller haben die IT-Sicherheit fest im Blick und
sorgen dafür, dass die von ihnen angebotenen Software-Lösungen
sicherheitstechnisch auf dem aktuellen Stand sind. Seitens des bvitg
beteiligen wir uns außerdem intensiv an politischen und
regulatorischen Arbeitskreisen, etwa im Kontext der Umsetzung und
Konkretisierung des IT-Sicherheitsgesetzes", betont
bvitg-Geschäftsführer Ekkehard Mittelstaedt.

Das im Jahr 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit
informationstechnischer Systeme ("IT-Sicherheitsgesetz") zielt darauf
ab, bei Betreibern kritischer Infrastrukturen Defizite im IT-Bereich
abzubauen. Zu den Betreibern kritischer Infrastrukturen gehören
Einrichtungen aus neun Branchen, darunter die Energiewirtschaft, die
Transportwirtschaft, die Wasserwirtschaft und auch das
Gesundheitswesen. Derzeit wird in individuellen
Branchenarbeitskreisen konkretisiert, welche Einrichtungen genau als
kritisch anzusehen sind. "Bei Krankenhäusern dürfte das an der
Fallzahl festgemacht werden. Die Details sind noch in der
Diskussion", so Thoss.

Am Ende dieses Prozesses, wohl noch in dieser Legislaturperiode,
wird es eine Rechtsverordnung geben, die festlegt, wen genau das
IT-Sicherheitsgesetz betrifft. "Dadurch wird das Gesetz quasi erst
mit Leben erfüllt", so Thoss. Eine Komponente ist eine strenge
Meldepflicht für betroffene Einrichtungen. Hier können Krankenhäuser
freilich heute schon aktiv werden: "Wir empfehlen Krankenhäusern,
sich unabhängig von der Rechtsverordnung für die öffentlich-private
UP KRITIS-Kooperation zwischen dem BSI und den Betreibern kritischer
Infrastrukturen zu akkreditieren. So werden sie in die
Informationsflüsse eingebunden und können Cyberattacken vertraulich
melden."

Personalmangel macht Umsetzung von Sicherheitsanforderungen
schwierig

Für Krankenhäuser wie für alle anderen Einrichtungen, die sich in
der Online-Welt bewegen, gilt, dass IT-Sicherheit nicht nur eine
technische, sondern auch eine organisatorische Komponente aufweist.
Das gilt beim Schutz vor Cyberattacken, aber auch bei Umgang mit
Angriffen, die erfolgt sind. So ist für die Vorbeugung von
Zwischenfällen im Kontext der Einbindung von Medizingeräten in
IT-Infrastrukturen von Krankenhäusern ein Risikomanagement nötig, das
die Einbindung und die Kontrolle der eingebunden Geräte beinhaltet
und das idealerweise schon im Beschaffungsprozess neuer Medizingeräte
greifen sollte. Wie so etwas organisatorisch aussehen kann,
beschreibt die DIN-Norm 80001. "Krankenhäuser müssen aber nicht nur
das Risikomanagement umsetzen, sondern auch organisatorisch
reagieren. Die IT muss auch sagen dürfen, wenn ein Produkt aus
Sicherheitsgründen nicht gekauft werden sollte", betont Thoss. Für
den Umgang mit Cyberattacken, zu denen es trotz aller
Vorsichtsmaßnahmen kommen kann, ist auf Anwenderseite zudem ein
belastbares Notfallkonzept erforderlich, mit dem die
Patientenversorgung auch dann aufrechterhalten werden kann, wenn die
IT als Folge einer Cyberattacke ausfällt. "Solche Konzepte müssen
ausformuliert werden und auch getestet werden, und es müssen die dann
nötigen analogen Ressourcen zur Verfügung stehen", so Thoss. Klar
ist, dass mehr IT-Sicherheit nicht umsonst ist. Gerade personell
seien viele Einrichtungen heute nicht in der Lage, organisatorische
Sicherheitsmaßnahmen umzusetzen oder sich an Arbeitskreisen wie UP
KRITIS zu beteiligen. "Ohne Anhebung der IT-Budgets dürften viele
Sicherheitsanforderungen, die auf die Krankenhäuser zukommen, nur
schwer umsetzbar sein", so Thoss.

Auch auf der conhIT - Connecting Healthcare IT 2017 wird
IT-Sicherheit eines der großen Themenschwerpunkte sein. Unter anderem
werden folgende Veranstaltungen das Thema behandeln:

- Messeführung "IT-Sicherheit" (25. April 2017; 14:30 - 15:30 Uhr)
- Podiumsdiskussion/ Präsentation focus
"EU-Datenschutz-Grundverordnung - Alles neu bei Wartung und
Auftragsverarbeitung?" (25. April 2017; 15:45 - 16:45 Uhr)
- Podiumsdiskussion/ Präsentation "IT-Sicherheit - Auf die
Software kommt es an?!" (26. April 2017; 15:45 - 16:45 Uhr)
- Kongress-Session 17 "IT-Sicherheit im Krankenhaus -
Bedrohungslage, Risiken und Aktuelles zum IT-Sicherheitsgesetz"
(27. April 2017; 11:30 - 13:00)

Weitere Informationen zum aktuellen conhIT-Programm 2017 finden
Sie hier: http://www.conhit.de/BesucherService/Programm/index.jsp

Informationen zu den Messe-Highlights finden Sie hier: http://www.
conhit.de/de/DIEConhIT/AusstellerAngebote/Messe-Highlights/

Pressekontakt:
Messe Berlin GmbH
Britta Wolters
Pressereferentin

Tel.: +49 30 3038 2279
wolters(at)messe-berlin.de

Original-Content von: Messe Berlin GmbH, übermittelt durch news aktuell