Um vor möglichen Cyberattacken gewappnet zu sein, ist ein umfassendes Sicherheitskonzept das A und O. Eine Checkliste aus zehn Tipps zeigt, wie sich Krankenhäuser schützen können und welche strategischen Schritte wichtig sind.
1. Einer hat den Hut auf
IT-Sicherheit erfordert handfeste Strategien. Sie ist Chefsache. Ein Informationssicherheitsbeauftragter sollte den Hut auf haben und die Cybersecurity eines Krankenhauses managen.
2. ISMS etablieren
Anhand eines Informationssicherheitsmanagementsystems (ISMS) sollten Krankenhäuser Regeln, Methoden und Prozesse definieren, um sich vor Cybercrime zu schützen. Ein Security Operations Center (SOC), eine Zwei-Faktor-Authentifizierung oder eine Firewall können darin formulierte Maßnahmen sein. Der jeweilige Informationssicherheitsbeauftragte verantwortet die Umsetzung in allen Bereichen und auf allen Ebenen. Das ISMS orientiert sich unter anderem an den Normierungen ISO 27001 (Zertifizierungsanforderungen) und ISO 27003 (Entwicklung und Implementierung).
3. Notfallszenarien üben
Ein Hackerangriff kommt meist ohne Vorwarnung. Ein lückenfreier Notfallplan ist eine wichtige Voraussetzung, um im Fall der Fälle richtig zu reagieren. Kliniken sollten regelmäßig Übungen abhalten, Szenarien durchspielen und damit ihre Krisenreaktionsmechanismen auf die Probe stellen.
4. Sicherheitslücken finden
Eine regelmäßige Bestandsaufnahme der Informationstechnik kann das konkrete Cyberrisiko eines Hauses senken. Deshalb sollten Kliniken ihre IT-Systeme ständig auf mögliche Sicherheits- lücken überprüfen und diese schließen.
5. Datenschätze schützen
Krankenhäuser verwahren einen riesigen Datenschatz. Nicht alle Informationen sind gleich wichtig. Besonders wertvolle, sensible und persönliche Daten – beispielsweise Patienteninformationen – sollten dem größten Schutz unterliegen.
6. Back-ups erstellen
Erpressungssoftware – sogenannte Ransomware – sind die beliebteste und ertragreichste Masche von Cyberkriminellen. Sind die Serverdaten nicht ausreichend geschützt, haben die Hacker leichtes Spiel und das Geschäftsmodell Erpressung ist vorprogrammiert. Kliniken sollten daher Back-ups – also Sicherheitskopien – ihrer Daten erstellen und diese ausreichend schützen, um einer möglichen Lösegelderpressung entgehen zu können.
7. Awareness schaffen
Vor allem der Faktor Mensch bleibt eines der größten Risiken in der IT-Sicherheit. Krankenhäuser sollten ihr gesamtes Personal in der Informationssicherheit schulen sowie gegen Cybergefahren sensibilisieren. Passwörter sollten beispielsweise nicht an Pinnwänden oder Bildschirmen kleben, persönliche Informationen sollten nicht an andere herausgegeben werden und E-Mails oder darin enthaltene Dokumente sowie Links sollten Mitarbeitende nicht ohne Weiteres öffnen. Penetrationstests oder Phishing-Simulationen können Teil einer Awareness-Kampagne sein.
8. Patches installieren
Hacker dringen immer häufiger über Sicherheitslücken in die Klinik-IT ein. Um diese Lücken zu schließen, entwickeln die Hersteller unentwegt Sicherheitsupdates – sogenannte Patches. Die IT-Systeme und Medizintechnik eines Krankenhauses sollten mithilfe der Updates jederzeit auf dem neusten Stand sein, um die möglichen Cyberrisiken zu minimieren.
9. Daten verschlüsseln
Die Informationen im IT-System eines Krankenhauses sollten kryptografisch verschlüsselt sein, um einen möglichen Datenklau zu vermeiden. Mithilfe von elektronischen Codes werden die Daten dabei in eine nicht lesbare Form umgewandelt.
10. In den Dialog gehen
Die Hackerindustrie entwickelt ständig neue Strategien, um Schwachstellen auszunutzen und in IT-Systeme einzudringen. Eine nachhaltige Informationssicherheit setzt voraus, kontinuierlich neue Ideen zu entwickeln und auf den Weg zu bringen. Sich mit anderen Krankenhäusern zu vernetzen oder mit IT-Spezialisten in den Austausch zu gehen, kann helfen, um in der Cyber- sicherheit immer up to date zu sein. Frische Ideen und neue Strategien können zielführende Schutzmaßnahmen vorantreiben und Kooperationen schaffen. Beispielsweise bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Netzwerk Up Kritis für Betreiber Kritischer Infrastrukturen mit allen zuständigen staatlichen Stellen, oder die Plattform Allianz für Cyber-Sicherheit für Information und Austausch zum Netzwerken an.